Rethinking Open-Source Intelligence for Security in Commercial Settings
2024/02/16 InfoSecurity — グローバルなセキュリティとインテリジェンスの状況が進化し続ける中で、OSINT (Open-Source Intelligence) は、政府/軍/法執行機関にとって貴重なツールとして支持を得ている。捜査官やアナリストたちは、通常の手作業では数時間/数日/数ヶ月かかるプロセスを、OSINT により僅か数分で自動化できるようになった。
OSINT の活用は、地域の犯罪捜査から、軍事の世界の戦略的イニシアティブに至るまで、今後も続いていくだろう。私は年の初め近くになると、特に商業的な環境における OSINT コミュニティの軌跡と現在の状況を考察している。
民間企業では、企業のリスク/詐欺/人材ニーズ/インサイダー脅威などへの対処のために、OSINT を採用するというシフトが起きている。
こういった問題の対処は、これまで、サイバー/インテリジェンス以外のチームが担当してきた。しかし最近の組織では、これらのタスクは、セキュリティ・オペレーションやネットワーク・セキュリティなどの、従来の脅威インテリジェンス能力を活用するグループに割り当てられ始めている。
民間企業における OSINT の従来の活用からの教訓
OSINT は、人身売買ネットワークから国家安全保障に関わるものまで、高度な犯罪事案への対応などの、公共部門における強固な応用実績がある。OSINT の有効性は、現在進行中のロシアとウクライナの紛争に見られるように、現代の戦争において特に顕著だ。
社会全体として、我々は、ソーシャルメディアと共に育ち、Telegram のようなプラットフォームで大きな存在感を示す軍隊を通じて、次世代の兵士たちが台頭してくるのを目撃している。これは、現代の軍隊の個々のメンバーが、より多くのことをオンラインで公表する傾向を助長している。場合によっては、部隊の動向や場所に関する情報や、国家が推進していることを洞察できる機密情報を、彼らは意図せずに漏らしてしまうこともある。
これは、一般人よりもオンライン・アイデンティティを自認している可能性のある、軍属の個人だけに当てはまることではない。今日において、我々は、かつてないほど多くの一般公開情報 (PAI:Publicly Available Information) をオンライン上で作成している。そのため、今後の数年のうちに、OSINT の能力は民間部門のネットワーク・セキュリティに統合される方向へと、移行していくことを、私は予想している。
ビジネスにおける OSINT の可能性を引き出す
データ・プライバシーの懸念が迫る中、リスクとプライバシーに関連するテクノロジーを積極的に採用することで、CISO は対策を講じようとしている。この動向の目的は、組織が侵害に効果的に対応し、データ漏えいの意味を理解し、EU の GDPR (General Data Protection Regulation) や、CCPA (California Consumer Privacy Act) のような、規制要件を迅速に満たすことにある。
当然のことながら、データ・プライバシーと法律事務所の関心は、情報漏えいが発生した場合の、次のステップを知ることにある。その、ネットワーク・セキュリティに適用されるのと同じ技術と方法論が、OSINT にも当てはまる。
CISO が求めるのは、詐欺やインサイダーの脅威の調査/幹部のなりすましの調査/人事目的の身元調査などのリスクを軽減するために用いる、ネットワーク/インフラのセキュリティ・チームからの洞察である。
たとえば、大規模な不正行為が行われているのであれば、それを防ぐためにネットワーク・セキュリティ・チームが実現できることを、CISO は知りたがるだろう。また、脅威アクターが技術や手法などを公開しているのであれば、その情報のオンライン共有の有無といった情報を求めるだろう。このような OSINT は、非常に重要だ。
従来の脅威アクターたちは、ネット上で自分たちが行っていること、そして、用いている技術などを自慢するのが大好きだ。したがってユーザー組織は、市販のサイバー脅威インテリジェンスとは異なる、別の情報源として OSINT を活用することで、脅威アクターたちの動向を補足できる。つまり、彼らがオンラインで何を言っているのかを、一般に公開されている情報から知ることが可能であり、潜在的/能動的な脅威に対して、より適切な対応をとれる。
OSINT の価値を浮き彫りにする、最近の例としては、KCSIE (Keeping Children Safe in Education) の法定ガイダンスがある。このガイダンスは、学校がより良い仕事をし、より安全にするために役立つものだ。
民間部門の抵抗を乗り越えなければならない
私は、ネットワーク・セキュリティの分野で 30年のキャリアを積み、そのうちの 20年近くは、商業的なセキュリティ・オペレーションに携わり、攻撃/防御の両方のセキュリティ・ツールとしての脅威インテリジェンスが、かつてない成長を遂げるのを目の当たりにしてきた。最も重要なことは、それらのテクノロジーが、法執行機関や政府以外の分野でも活用されているということだ。PAI には、商業的/法的用途もある。
OSINT の利点にもかかわらず、一部の営利産業は、プライバシーや倫理的な懸念を理由に、その導入を躊躇している。私は、OSINT を悪用する企業が絶対に存在することを強調したいが、このようなネガティブな動向は、OSINT の採用を妨げるものではないと言える。むしろ既存のツールセットや情報源を徹底的に評価し、これらのソリューションに何を求め、何を求めていないのかを、見極めることを促すものである。OSINT の倫理的な利用は極めて重要であり、組織は適切に見極めた上で、その価値観に合致するテクノロジーを選択すべきである。
これは、AI アプリをめぐる議論と大差ないものだといえる。企業は、倫理に反する方法で人々や集団をプロファイリングする可能性のある、ブラック・ボックスを望んではいないのだ。そうであれば、AI には手を出さず、PAI や OSINT のような、非倫理的な利用を可能にするソリューションを避けるべきだ。そして、正しい理由で使用していることを確認して、このデータをどこから、なぜ得ているのかを知ることだ。
商業部門、特にネットワーク・セキュリティの専門家たちは、OSINT を活用することで、組織の内外を問わず様々な脅威から身を守ることができる。また、インシデント対応担当者は、自分たちの組織をハッキングする攻撃者たちに対抗するために、公開されているソーシャルメディアのプロフィールを、一日かけて調査することを嫌がるかもしれない。しかし OSINT の技術的要素は、ますますその仕事内容の一部になっていくだろうと、私は見ている。
OSINT について、私が推奨するのは、このような専門家たちの日々の仕事を、強化するための利用方法を検討することにある。
この記事は、ShadowDragon の COO である、Jonathan Couch さんの寄稿とのことです。OSINT の定義というのは、十人十色なのかと、いつも思います。それだけ、OSINT を構成する要素は多く、また、その全てを揃えていなくても、OSINT は成り立つからだと感じています。よく言われるのが、たしか oo7 の MI6 は、90% の公開情報で諜報活動を行っているとかいう話です。つまり、公開情報を組み合わせるだけでも、さまざまな事柄を、推測していくことが可能だというわけです。なお、以前の記事ですが、2022/08/15 の「OSINT について考える:企業のセキュリティ保護に適用する理由と方法とは?」も、よろしければ ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.