第３８２号コラム「３つのインテリジェンス」

第３８２号コラム：佐々木 良一　会長（東京電機大学　未来科学部　情報メディア学科　教授）
題：「３つのインテリジェンス」

Intelligence（インテリジェンス）という言葉がある。ウエブスター大辞典によると「インフォメーションとは身の回りに存在するデータや生情報の類。インテリジェンスとは使うために何らかの判断や評価が加えられた情報」とされているのだという［１］。加工度が進むに従って、データ＝＞インフォメーション＝＞インテリジェンス＝＞ノレッジとなると言う人もいるが、いずれにしてもインテリジェンスはある目的のために加工度を上げた情報のことを言うようである。

国家間の情報収集の場合のインテリジェンスに関し、米国のCIAでは、「もっとも単純化すれば、インテリジェンスとは我々の世界に関する知識のことであり、アメリカの政策決定者にとって決定や行動の前提となるものである」と定義しているようだ［１］。一方、伊東寛氏はインテリジェンスとは「政策決定者が、国家の安全保障に関する政策決定するために提供される情報収集・分析活動」であるとしている［２］。２つの定義からわかることは、国家の安全保障を目的とするものであり、政策決定者のためのものであるということであろう。そして、情報そのものを言う場合と、情報を得るための活動を言う場合があるようである。

このインテリジェンスの手段には、公開情報を利用するものと非公開情報を利用するものがあると言われている。この公開情報を利用するものは、オープン・ソース・インテリジェンス（Open Source Intelligence）、略称はOSINT（オシント）とよばれているようである。 このオシントを有効に利用するだけで、知るべき情報の９８％は得られるという人もいる。一方の非公開情報を入手するための手段はいろいろに分類されるが、一般の人がすぐに思い浮かぶのが、スパイ活動による情報入手だろう。これは、一般にヒューマンインテリジェンス（Human Intelligence）、略称HUMINT（ヒューミント）とよばれ、スパイ活動以外に外交官や駐在武官による合法的活動も含むと言われている。また、通信などの傍受に基づく諜報活動もある。これは、シギント（SIGINT、英語: Signals Intelligence）と呼ばれることが多い［１］－［３］。

通信の手段が発達してきて、インターネット等のサイバー空間のシステムを利用して情報を得ようと言うのが、シギントの発展形であるサイバーインテリジェンスであり、本稿で対象とする１つ目のインテリジェンスである。警察庁によれば、サイバーインテリジェンスとは「情報通信技術を用いた諜報活動であり、機密情報が窃取されれば、我が国の治安、外交、安全保障、社会経済活動等に重大な影響が生じるおそれがある。」とし、「最も安全で安価なスパイ」であるともしている［４］。無線通信の傍受や海底ケーブルなどからの情報の取り出しの他に、インターネットを流れる情報やサーバの中身を自国で監視したり、標的型攻撃のようにインターネットを構成するサーバやPCに他国から侵入して情報を取り出すということも行われているようである。したがって、サイバーインテリジェンスはサイバー攻撃の目的の１つであると考えることもできる。また、平時のサイバー戦の手段の１つであるということもできるだろう。

サイバーインテリジェンス等の目的のためのサイバー攻撃から自国の安全を確保するためには、適切なセキュリティ対策を行うことが大切になる。このためには攻撃側の出方を適切に把握するための手段が必要になる。これがセキュリティインテリジェンスであり、本稿で扱う２つ目のインテリジェンスである。

セキュリティインテリジェンスはNTTセキュアプラットフォーム研究所では 「セキュリティ対策に役立つ知識ベースのこと。」と定義している［５］。IT mediaの記事によると日本IBMでは「組織のセキュリティやリスクに影響を与えるユーザーやアプリケーション、IT基盤が生成するデータを、リアルタイムに収集、正規化、分析すること。」としており、情報そのものではなく情報を得るための行動と考えているようである［６］。「セキュリティ対策に必要な高度な情報やそれを得るための行動」と考えておくとよいだろう。情報のもととなるデータとしては、自社にあるシステムのログなどを主対象と見る場合が多いようである。したがって、セキュリティインテリジェンスはデジタル・フォレンジックと関連性が深いと言えよう。なお、ワクチン会社などでは、自社の強みを生かし、全世界に広がる攻撃や被害のデータを対象としている。今後は、国際政治や社会状況もデータとして組み込みつつ、セキュリティインテリジェンスを行うことが必要になっていくだろう。

このセキュリティインテリジェンスを行うために、機械学習やデータマイニングなどの技術がつかわれ始めている。これがもう１つのインテリジェンス、アーティフィシャルインテリジェンス（AI：Artificial Intelligence）である。わたしは、セキュリティ対策におけるAIの応用分野はもっと広いだろうと考えている。標的型攻撃等の高度な攻撃に対処できるセキュリティ人材は非常に限られている。そこで、私たちは自動的な応急対応を可能とするとともに、運用者が適切な対策をとれるようにするため、ルールベースのAIを用いたLIFT（Live and Intelligent Network Forensic Technologies:以下LIFT）システムの開発を２０１３年から行ってきた。この結果、過去に起こった種々の攻撃には適切な対策がとれる見通しが得られた。しかし、本システムは、既に発生した攻撃と同様な攻撃が起きた場合には対応できるが、新しい攻撃に対応するのは困難であるという問題がある。この問題を解決するためAI技術を利用して攻撃者の攻撃を予測し、対策をとれるようにしていきたいと考えた。そして、Beyond the Attackersを実現し、Proactiveな対策を可能にするためマルチエージェントなどのAI技術を用いるSuper -LIFTの研究・開発をスタートした［７］。

３０数年前にセキュリティの研究をスタートするとき、ネットワークが発達し安全の問題が重要な問題になるのだから、この研究は重要になるはずだと考えた。１０数年前にデジタル・フォレンジックの研究をスタートするとき、デジタル化が進展し、民事訴訟が増えていくのだからこの研究が重要にならないはずはないと考えていた。今、サイバー攻撃はますます厳しくなり、人材はそう簡単には増えないのだからこの研究は不可欠であると考えている。AI機能を持ったマルウェアは確実に表れるのである。攻撃側が賢くなる以上、防御側もAIを用いて賢くならざるを得ないと思う。さらに、セキュリティ技術者は長い間、新しい攻撃が出てきて初めて後追いで研究を行ってきた。これでよいはずはないのである。高い研究目標を設定し、なんとか先回りして対策ができるようにしていきたいと考えている。

以上

参考文献
［１］小谷賢「インテリジェンス」ちくま学芸文庫、２０１２
［２］伊東寛「サイバー・インテリジェンス」祥伝社新書、２０１５
［３］土屋大洋「サイバーセキュリティと国際政治」千倉書房、２０１５
［４］警察庁：https://www.npa.go.jp/keibi/biki3/230804shiryou.pdf
（２０１５年９月２２日確認）
［５］NTT：http://www.seclab.ecl.ntt.co.jp/keywords/security_intelligence.html
（２０１５年９月２２日確認）
［６］http://www.itmedia.co.jp/enterprise/articles/1302/07/news001.html
（２０１５年９月２２日確認）
［７］佐々木良一、八槇博史
「標的型攻撃に対する知的ネットワークフォレンジックシステムLIFTの開発（その3）－　今後の研究構想　－」
情報処理学会DICOMO2015

【著作権は、佐々木氏に属します】