ふたぎさんによるNetwork Forensic話。
資料はこちら（Network Forensicを考える）。

• ふたぎさんによる定義：
  • ネットワーク上で行われた行為を立証、解明するための技術・技法
  • 5W1Hを明らかにするためのもの

• Network Forensicの対象と手法
  • 情報源

各種ログ（IDSやキャプチャマシンなどの記録も含む）

• • 分析手法

データマイニングと通信の再構築・再現

• 情報源とそこから得られる情報の例
  • ファイアウォールのログから発信元・通信先の情報
    • ペイロードの内容以外のあらゆる情報
  • サーバのログ
    • アクセスの傾向、認証の成否など
  • ネットワーク機器のログ

• アノマリーの発見
  • 長期間にわたる傾向の多面的な分析。

• 相関関係
  • 時間、空間、統計的なもの

• ツール
  • ログ解析、アノマリー発見
  • 関連性分析

• モニタリングデバイスとForensic
  • モニタすることで抑止力（見ているぞ）
  • 事象発生した時の関連情報取得がやりやすい。

• IDSとパケットキャプチャの使い分け

検出：IDS、分析：キャプチャ

• キャプチャデバイスとForensic

• Network Forensicとは何か（総括）
  • NW上に分散した情報から事実を検証するための技法である。
  • いたるところに存在する情報をどう集約し、分析するかが鍵。

• Network Forensicに関連する法律的な部分の課題

• 管理面での留意事項
  • 運用状態を常に把握しておく
  • データを適宜保全可能にしておく
  • 解析前の原本複製と原本の厳重保管

• 結論（？）
  • Network Forensicは、Cyber Forensicを構成するもの。
  • Computer ForensicとNetwork Forensicは、相互補完的なもの。
  • セキュリティインシデントを解明する時には両方とも必要になることが多い。
  • ツールや情報源は多くあるものの、やることに応じて使い分けが必要（ツールつかえばどうにかなるものではない）。

補足：ちょっと書いた内容を刈り込みました（見づらかったので）。
追記：質疑応答はharupuさんの日記に詳しいです。