NTTグループの専門家による特別講義「セキュリティ脅威分析ハンズオン EDRログ分析」を実施
2026年2月3日(火)、大学院講義「情報セキュリティ技術論」(担当教員:橋本正樹准教授)において、NTTセキュリティ・ジャパン株式会社およびNTTドコモビジネス株式会社(旧NTTコミュニケーションズ)から計4名の専門家を外部講師としてお迎えし、EDR(Endpoint Detection and Response)ログ分析に関する特別講義を実施しました。本講義は昨年度に引き続き2回目の開催となります。
講師紹介
羽田大樹氏は、NTTセキュリティ・ジャパン株式会社マネージドセキュリティサービス部でアナリストとして活躍されています。2008年より脆弱性診断、インシデントレスキュー、セキュリティサービス開発などを経て、現在はRed Team業務に従事。情報セキュリティ大学院大学でインシデントレスポンスの効率化について研究され、2019年に博士(情報学)を取得されました。NTTグループ認定セキュリティプリンシパル。情報セキュリティ大学院大学客員講師、マルウェア対策研究人材育成ワークショップ(MWS)、Black Hat Arsenalでの講演など、多方面で活躍されています。
榎本尚代氏は、2017年にNTTセキュリティ・ジャパン入社後、SOCアナリストとして主にログ分析や脅威検出ロジック開発に従事されています。情報セキュリティ大学院大学博士前期課程(田中英彦研究室)を修了されており、担当教員の橋本とは同門にあたります。前職ではSIerでサーバエンジニアとしての経験も持たれています。
神田敦氏は、NTTドコモビジネス株式会社(旧NTTコミュニケーションズ)イノベーションセンターに所属するセキュリティリサーチャーです。2007年にNTTコミュニケーションズに入社し、ネットワークエンジニアとしてネットワークの設計・構築・監視運用に従事した後、2015年よりセキュリティエンジニア・リサーチャーに転身。攻撃インフラの解明・撲滅を目指すプロジェクトチーム「NA4Sec」を立ち上げ、マネージャー兼テックリードを務められています。NTTグループ認定セキュリティプリンシパル。東京大学で情報工学の修士号を取得後、情報セキュリティ大学院大学で情報学の修士号を取得され、2026年3月には同大学院にて博士号を取得される予定です。JSAC2024やBSides Las Vegas 2024、Internet Week等での講演実績があり、脅威インテリジェンスの分野で幅広く活躍されています。
赤羽秀氏は、神奈川工科大学大学院情報工学専攻を修了後、NTTセキュリティ・ジャパン株式会社に入社し、マネージドセキュリティサービス部にて官公庁や国内大手企業むけに提供するインテリジェンスサービスの設計・開発・運用業務に従事されています。在学中にはIoTマルウェアの静的解析手法の研究に取り組み、コンピュータセキュリティシンポジウム(CSS)で最優秀論文賞を受賞。国際セキュリティカンファレンスCODE BLUE 2023では、IoTマルウェア解析ツール「stelftools」を発表されています。
講義内容
前半の講義パートでは、EDR製品で取得したログをベースに、エンドポイントのログ分析手法が体系的に解説されました。エンドポイントログ分析の要点として、まずプロセス単位(PID単位)でログを追跡し、不審なプロセスを起点に調査範囲を広げていくアプローチが紹介されました。端末上では複数のプロセスが並行して動作しているため、個々のプロセスの挙動を時系列で整理することが分析の基本となります。
具体的な着眼点として、プロセスの親子関係(どのプロセスから起動されたか、どのようなプロセスを生成したか)、プロセス起動時のコマンドライン引数、作成されたファイルのハッシュ値やコード署名の有無、通信先のレピュテーション、レジストリの操作内容、そしてRun keyやタスクスケジューラなどを悪用した永続化(Persistence)の手法が解説されました。また、VirusTotalなどの外部サービスを活用した脅威情報の調査手法についても紹介がありました。
ハンズオン演習
後半の演習パートでは、受講者はデジタルフォレンジック/インシデント対応ツール「Redline」を用いて、実際のEDRログの分析に取り組みました。Redlineでは、Agent Eventsからプロセスイベントや通信イベントなどの各種ログを確認でき、Timeline機能によりすべてのログを時系列で横断的に分析することが可能です。受講者はこれらの機能を活用しながら、CTFd形式のスコアリングプラットフォーム上で出題された課題に挑戦しました
演習1では、マルウェア感染によりPCが使用不能になったインシデントを想定し、同一のマルウェア検体を検証環境で実行して収集したEDRログを解析して、マルウェアの振る舞いを解明する課題に取り組みました。演習2では、不審なサイトへのアクセスを契機としたマルウェア感染事例を題材に、ユーザがマルウェアに感染するまでの過程をEDRログから明らかにする課題が出題されました。いずれも実際のインシデント対応で求められる分析スキルを実践的に習得できる内容となっています。
大学院生を中心に、参加を希望した学部生も含めて約30名が受講し、最前線で活躍するセキュリティ専門家から直接学ぶ貴重な機会となりました。
