第１０９号コラム「お手軽なオープン・ソース・インテリジェンスの手法」

第１０９号コラム：　名和　利男　理事（株式会社サイバーディフェンス研究所　上級分析官、IDF理事）
題：「お手軽なオープン・ソース・インテリジェンスの手法」

読者のみなさんの中には、日々の業務において、様々な情報を収集及びまとめをしなければならない、或いは、特定の事象について詳細に調査しなければならない立場の方々がおられるかと思います。

ただ、「情報の収集及び調査」は、意外に大変な作業であり、相当の根気と忍耐が必要となることが多いと思います。どうしても見つからない場合は、その筋の専門家を活用するという手段があると思いますが、本当に望む情報は、自ら手を動かさないと得られないものです。

特に、サイバーセキュリティは、専門性が高いものでありながら、どこでも発生する可能性のある厄介のものです。また、サイバーセキュリティインシデントの発生頻度の上昇により、予防的措置及び事後的措置等の目的のため、サイバーセキュリティに関する情報収集をしなければならない方々に出会うことが多くなりました。
そこで、今回のコラムについては、オープン・ソース・インテリジェンスという考え方に基づいて、みなさんにお役に立ちそうな「お手軽な手法」を紹介させていただきます。

オープン・ソース・インテリジェンスとは、Wikipedia日本語版（２０１０／６／７ 時点）によれば、「公開情報（オープン・ソース：一般公開され利用可能な情報源）から収集された情報を元にする、（機密）情報収集の専門領域を指す」と定義付けられています。米国の国土安全保障省では、このような考え方の一部を活用したと思われる、次のような Daily Report を毎営業日に発行しています。

DHS Daily Open Source Infrastructure Report
http://www.dhs.gov/files/programs/editorial_0542.shtm

オープン・ソース・インテリジェンスに関するプロシージャやテクニックは、実に奥深いものがありますが、サイバーセキュリティに関する情報収集の観点で、有用と思われるお手軽な手法とその例示について触れていきたいと思います。

■情報の収集について

①インターネットによる検索を工夫する

インターネットによる検索は、最もお手軽な手法ですが、幾つかのポイントがあります。

サイバーセキュリティに関する情報の多くは、海外にあることが多く、日本語以外の言語でインターネット上に流通していることが多いです。

例えば、お隣の韓国におけるサイバーセキュリティに関する状況を把握する必要があるとします。

誰かが翻訳した思われる日本語による情報は、言葉の定義や文化等の違い、そして翻訳者のサイバーセキュリティに関するリテラシーの程度により、元の情報の一部が意訳されている場合があります。したがって、可能な限り直訳して読むことをおすすめします。

例えば、”サイバー攻撃” というキーワードを、無料の翻訳サービスサイト等を使用して、韓国語の “사이버 공격” に翻訳し、そのキーワードで検索します。この検索結果は韓国語で出力されることになり、韓国語が読めないと理解することが難しいと思いますが、この検索結果をすべてにコピーし、翻訳サービスサイト等にペーストして翻訳してみると、大体のことは把握できると思います。

また、お使いの検索サイトに日付範囲のオプションがあれば、「開始日：２０１０／５／３１」と「終了日：２０１０／５／３１」にして、同じキーワードで検索すると、５／３１にインターネットで公開された情報が確認することができます。さらに、このキーワードを “사이버 공격 site:go.kr” とすると、韓国の政府関係機関からの公表情報を効率的に収集することができます。

それと、まとまった情報の存在を期待する場合には、次のような手法があります。

キーワード： “사이버 공격 filetype:pdf”

その際、日付範囲を、事象発生後から数日程度経過した日程を開始日とするとよいと思います。理由は、情報をまとめて公開するには、それなりの時間が必要になるからです。また、pdf ではなく、ppt や doc としてみるとよいかもしれません。最近は、pptx や docx として公開されているのを見かけることがあります。

ちなみに、上記の例の場合、中国におけるサイバーセキュリティ関連情報を把握するには ”网络攻击”（簡体）、台湾は ”網絡攻擊”（繁体）とすると、筆者の経験上、情報が集まりやすいことが多いです。

インターネット検索サイト以外の手段としては、Twitter、Facebook、LinkedIn 等のSNS（ソーシャル・ネットワーク・サービス）サイトにおける検索機能で、特定の言語でキーワード検索することにより、そのキーワードを含む情報に対するさまざまなコメントや解釈等を把握することができます。

②SNS活用による情報収集

あるリサーチによると、SNS　はコミュニケーション目的で使用し、Twitter 等のミニブログは情報収集で利用する事が多いという結果が出たそうです。筆者は、このような使い方はとても理にかなっていると考えています。

以前までの情報収集は、さまざまなサイト情報にアクセスし、キーワード検索等を駆使しながら、特定のテータを見出していました。そのため、筆者の RSS リーダーに登録しているURL 数は、１,０００を超えてしまいました。しかし、Twitter 等のミニブログを活用するようになると、その情報収集の効率性は飛躍的に向上しました。

以前までは、情報収集のターゲットを「特定の『情報元』」にしていましたが、種類や量があまりにも多すぎるために限界を感じていました。今は「特定の情報元によくアクセスしている『人』」をターゲットにすることにより、「他の人が特定情報にアクセスし、その情報に関することを、（私に）タイミングよく伝えてくれる」という図式になっています。ただし、特定の情報に詳しい人を、見つけるかが重要となります。筆者は、国内外の有名カンファレンスの講演者や、（Twitter であれば）リツイート（RT）される頻度の多い情報発信者をターゲットにすることが多いです。

③必要な情報を持っていると思われる有識者（専門家）やコミュニティと情報交流しておく。

至極当然のようなことですが、日頃から、必要な情報を持っていると思われる有識者（専門家）やコミュニティと積極的に情報交流をしておくことが重要です。有識者や専門家に出会うには、セミナーに参加するのが一番です。筆者は、興味のあるセミナーを見つけるために、次のようなサイトを利用することが多いです。

IT勉強会カレンダー
https://www.google.com/calendar/embed?src=fvijvohm91uifvd9hratehf65k%40group.calendar.google.com

また、徹底的に有識者や専門家と膝を交えて語ることができる場もあります。

サイバー犯罪に関する白浜シンポジウム
※　http://www.sccs-jp.org/SCCS2010/　リンク切れ　※

情報セキュリティワークショップ in 越後湯沢
http://www.anisec.jp/yuzawa/

一番重要なのは、そのような場で出会った有識者（専門家）やコミュニティと、継続的に情報交流を図っていくことです。

■情報の分析とまとめについて

◯ 情報内の「主体」の役割や位置づけを確認する。

入手できた情報の内容を漫然と読むのではなく、何かしらの観点を手がかりにして分析することをおすすめします。筆者は、情報から読み取れる事象や行為等の「主体の役割や位置づけ」を必ず調べるようにしています。

事実は一つしかしかありません。しかし、それを伝える表現方法は数限りなくあります。そのため、伝達者によって表現が異なってくる「事象や行為」に着目するのではなく、それらの「主体」の理解に努めることで、本質的なことの理解を深めることができることが多いです。

◯ 他の情報ソースとの関連性や相違性を明らかにする。

オープン・ソース・インテリジェンスの本格的なマニュアルには、この部分が詳細に述べられており、リンク・ダイアグラム（Link Diagram）や認知の評価マトリックス（Perception Assessment Matrix）などを作成する場合がありますが、いずれもお手軽ではありません。ただ、それぞれに共通する観点として、複数の情報を見比べて関連性や相違性のある情報パーツを見出すということがあります。

筆者がおすすめするお手軽な手法としては、最初に見つけた情報をベースにして、他の情報ソースから新しく得られた部分情報をパーツとして追加していく形をとるのがよいのではないかと考えています。ポイントとしては、一定時間内に、まるで宝探しのようなゲーム感覚で、様々な情報を読み解き、そして、見出していく作業をしていくことです。

◯ 情報パーツを組み立てる基軸を明確にする。

これも、オープン・ソース・インテリジェンスの本格的なマニュアルには、次のような成果物があることを示しています。

手段　|　　　　　　　　　　　　成果物
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
記述　|　報告書、想定書（Estimates）、調査書（Studies）
図画　|　チャート、スライド、状況図（Situation Map）
口頭　|　ブリーフィング（あらまし、意思決定、目的／意義、人的情報）

これらのような手段によって作成される成果物は、収集済みの情報パーツを、「どのような基軸で並べ替えるとよいのか」を見出すことで、読み手にとって優しいスタイルで作成することができます。この基軸で最も多くみられるのは、「時間軸」や「５W１H」です。

以上、サイバーセキュリティに関する情報収集に関するお手軽な手法として、例示をもってご紹介させて頂きました。もし、本格的なオープン・ソース・インテリジェンスに関する勉強をされたい方がいらっしゃいましたら、”open source intelligence filetype:pdf” で入手できるファイルをご参考にしてください。

このコラム中の情報が、みなさまの日頃の業務上の情報収集活動のご参考になれば大変幸いです。

【著作権は名和氏に属します】