雑談: AVTOKYO JP ありがとうございました
AVTOKYO JP に短い時間ではありますが、参加してきました。
200人規模のイベントということで、この寒空の中、外で資料を配布していたHasegawaさんはじめ、スタッフの皆さんお疲れ様です。*1
各プレゼンターの時間を気にしない発表には、素晴らしい意気込みを感じたわけですが、パネルは比較的時間内に収まった?んですかね。
45分間ということで、短い時間内でテーマについてどう野次を飛ばすかをこの一週間くらい結構真面目に考えていたわけですが、ちょっと時間足りなかったですね(笑)
基本的には、マルウェア解析の手段の一つとしてメモリ・フォレンジックがあるわけですが、従来型の手続きというか手順だけで今後もやっていくと、対象サイズや規模が増えれば、遅かれ早かれ破綻するのは当たり前のお話かと思います。
それに対して、このままではいけないけど、どうしますかね?という問いになるわけです。個人的には実際にメモリ・フォレンジックの解析現場でやっている工程をもう少し細分化し、何が必要とされているのかを明確にすることで、何を改善する必要があるのかをパネルの中で明確にできないものかと考えていました。
パネルの中では幾つかヒントになるお話としてIOCとノイズという部分が出ていましたが、解析者がハッピーになれるかどうかも視点としては大切ですよね(笑)
いまのやり方は、件数やサイズが増えると解析する人はハッピーになりません。*2
その為、解析する人がハッピーになれる情報(データ)を渡す必要が出てきますが、その為にIOCの利用とかノイズの除去が前工程で必要になるという事だと思います。
また、解析する人がハッピーになれば、その結果として新しいIOCなどの情報を、前工程で使うことができ、前工程もハッピーになるという循環により、全体としてHappy!!が実現できるのではないかと。
そして、世代交代が必要なオッサンのやる事は、解析する人ががハッピーになれる工程や仕組みを整理していく事なのかなとも思ったりするわけです。
とはいえ、10台とかは工程の改善でいけるかもしれませんが、100台とか1000台になってくると、まったく違った考え方をしないと壁を破れないのではないか?という考えは持っています。
今日はキーワードとしてIOCなども出てましたが、立ち話の中では具体的に何をみておいて欲しいのか、ノイズとの区別などといった細かい話もちょっとしていました。そのあたりの細かい部分を含め工程を整理して、更に他の知見も取り入れる事ができればよいなぁと思うわけです。もう少し具体的な解析技術の流れに触れた方がよかったのかもしれませんが、先に園田さんとかとネゴっておくべきだったかと反省してます(笑)
まぁ、どちらかというと、ホワイトボードを前に議論すべき内容ではないかと思ったりもしますけど。
他の発表などを聞いていて感じたのは、大量生産に対して大量生産で対抗するのが従来からのやり方で、少量多品種に対しても引き続き大量生産のやり方で対応しても無理があるんだろうなぁと漠然と思ったりする今日この頃でした。