著者

羽田 大樹 後藤 厚宏

雑誌

情報処理学会論文誌 (ISSN:18827764)

巻号頁・発行日

vol.59, no.9, pp.1596-1609, 2018-09-15

---

組織におけるWebアクセスの利用には多くの脅威が存在するため,悪性Webサイト情報のブラックリストが利用される.悪性Webサイト情報には登録理由やレピュテーションなどが付与されることがあるが,CSIRTのインシデントレスポンスにおいて合理的な判断を行うために適した情報を提供しているとはいえない.本稿では,インシデントレスポンスの「トリアージ」「対応実施」業務において,既存のブラックリストを活用した業務における課題を示し,合理的な判断を可能とするための「所有者」「コンテンツ」「現在の状態」「最終確認」という4項目による悪性Webサイト情報の分類を提案する.さらに,公開されている38種類のブラックリストの仕様について調査し,この分類に相当する情報がほとんど含まれていないことを示す.また,実際にブラックリストに一致してインシデント判定が求められた400件の悪性Webサイト情報について手動で調査を行い,一定数のWebサイト情報が外部からの調査によって定義に従った分類ができることを示す.この分類を活用することで速やかな対応ができることをケーススタディとして紹介し,提案分類が有効に働くことを示す.