とりあえず、実体とのマッピング取れるように自画像描いてみました（右図）。え、逆にマッピング取れないって？まあ、そこは気にしない・・・。ちなみに新年会もこの格好で行きますた。次回もきっとこの格好。
今日はNetwork Forensicのお話。まだ、不正アクセス検知との違いがはっきりできないもののなんとなくだがわかってきた。たぶん。ツールじゃなくて行為ってのも重要かも。
まだまだ、勉強始めたばっかで議論できるレベルにないが、そのうち皆さんにも有用な情報提供できるようになっていきたいです。。。
帰りにコンビニで「いちごのモンブラン」という始めて見るものがあったので、家でも一人でケーキオフ（謎

▼ですかっしょんのあたりのめも（自分用なのでキーワードくらいしか取ってないですが・・・。）
Q.複製、原本。何を持って原本とするか
A.データの正当性→ネットワークを流れてるデータは正しいか？
　原本と同じか？同一性→複数人で行うことで保証
　　　　　　　　　　　　　　→本当にネットワークを流れた？

Q.「何をするために」は起こったことを正確に知ったとして何がゴールかご意見は？
A.ケースバイケース
　・犯罪があったとき
　・企業での規定に対する違反対応
　・想定していない攻撃の証拠保全、追跡、解析
　ニーズがあってインシデントの対応の家庭で必要。どんなデータが必要か。とかそういう話。
Q.不正アクセスとの関連をどうやって証明？
A.証明するためにパケキャプ
Q.それとフォレンジックの関連が違和感があるです。不正アクセス検出との違いは・・・？
A.不正なアクセスじゃない場合も視野に入る
（話しつめないとうまく表現できないとかそんな話がはいる）
Q.フォレンジックサーバはどう思いますか？
A.「フォレンジック」というのは言いすぎだけど、フォレンジックに利用できるものであるとおもう。
Q.不正アクセス検知とはここが違う！っていえるとこはどこですか？
A.不正アクセス検知はインシデントがないと探せない。
　高速で大量に溜め込んでおける。
Q.不正アクセスを証明するためにフォレンジック？
A.フォレンジックと不正アクセスは分けて考えたい。
Q.第3者をはさめば証明能力があるという認識ですが。
A.フォレンジックとシステム監査は違う。フォレンジックは何かあったらやること（ログを取り始めるのはもっと前から）。ログの根拠は法律がまだ整備されていないので、そこを突っ込むと足元をすくわれるかも。攻撃があって、出てきた結果をごにょごにょする。
A2.アメリカ？のほうはやったことは全て記録。Witnessを用意するってのが基本。
R.何かが起きてからってどういうことですか？
A.通常の何もないときにも動かしておかないともちろんダメ。監視カメラとかと同じイメージ。
R.レポートだけでいいの？原本は？
A.両方必要。レポートだけじゃ話になりません。
R.テラバイトってたまりすぎたらどうするの？
A.ぼーっとしちゃいました。（後で聞いた話だと、当然HDDの容量きついし、書き込みつづけるのでハード的にしんどい。書き込みがボトルネックになったりする。ある程度情報を落として保存する。）
A.フォレンジックは行為。ツールには左右されない。テラバイトの紙を提出するのはあれなので、前後の部分だけとか。フロッピ、テープの場合は保存形式とかも明示すべし。
・製品の信用性、改ざんされてるか？ログをどこまで信用できるかと言うそもそもの話も問題。
・時間に関する問題は電波時計とかを基準にしてずれがどれくらいかなど。
・各デバイスの時間をあわせておくのは重要。
・ポートミラーリングはソフトなのでパケットロス前提、リピーターハブいいよね。
・ポートミラーリングでIDSすると誤検知すごいです。
追記（犬な方より補足いただきました）：高トラヒック環境において、ポートミラーリングでNIDSを運用した場合、パケットロスが発生し、その結果ステートフルなNIDSの場合誤検知を発生する可能性が高い（経験上、ただしネットワーク機器による）

って、ちゃんと意味取り違えてないかなぁ。大丈夫かなぁ。
ニイハオで伊原さんや吉岡さんとかとお話できたし、帰りの電車でふたぎさんとちょこっとお話できてよかったでふ♪
ところで、SoftEtherの検知の補助として5秒ごとに投げられるKeep-Aliveみるってだめかなぁ。設定で投げないようにできるけど、デフォルトだと投げるようになってるし。