脅威インテリジェンス・ソリューションの市場規模は、2018年時点では総額わずか40億ドルでしたが、2025年までに3倍以上の 130億ドルに達すると予想されています。[1] 政府や企業、その他組織は、職員、住民、インフラ、運用、データ、IT システムに対する組織内外からの脅威がもたらす危険性への理解をますます認識するようになりました。そのため、脅威管理に特化したテクノロジーへの支出が大幅に増加しています。
一般公開情報 (PAI) と市販情報 (CAI) から収集された脅威インテリジェンスは、しばしばオープンソース・インテリジェンス (OSINT) と呼ばれます。
OSINTを詳しく見る
オープンソース・インテリジェンスは、一般公開情報 (無料で容易に入手可能) と市販情報 (有料で入手可能) から収集されます。
PAIの情報源には、Web サイト (ディープウェブおよびダークウェブでホストされているものを含む) や ソーシャルメディア (SNS) プラットフォーム、掲示板でのやり取り、オンラインコメント、特定のニュースメディアの記事や動画、政府発行のデータ、法的データなどがあります。人々が毎日 250 兆バイトを超えるデータを作成している世界では、[2] 膨大な量のPAIが検索対象となっています。
市販情報には、市場調査や財務および投資分析、消費者データ、学術雑誌、地理空間情報、知的財産データベース、SNS 分析、業界ニュースレター、購読プラットフォームを通じて入手可能なデータなどが含まれます。
脅威ランドスケープ
政府や民間企業が恐れるべきものとは?
国の安全保障を脅かす外部からの脅威には、テロ、サイバー攻撃、インフラへの攻撃、軍事侵攻、国外からの選挙干渉、麻薬取引、人身売買、偽造品の取引、偽情報キャンペーンなどがあります。テロリズム、偽情報キャンペーン、サイバー攻撃、インフラ攻撃などの脅威の多くは内部からの脅威です。内部からの脅威には、これら以外にも、機密情報の漏洩、汚職、一般的な犯罪と暴力、自然災害などがあります。
民間企業もこうした脅威や同様の危険とは無縁ではありません。企業が直面する外部からの脅威には、サイバー攻撃、経済の不確実性、規制上の義務の不履行、従業員や職場に対する身体的脅威、不当な訴訟、サプライチェーンの混乱、 イベント会場への攻撃などがあります。内部からのビジネス上の脅威は、従業員や元従業員、パートナー、請負業者によってもたらされる場合がほとんどです。ネットワークの脆弱性と、盗難、事故、不注意による情報漏洩などによる企業データの損失は、重大な懸念事項です。その他の内部からの脅威には、IT システムの妨害、業務障害、従業員の暴力、デバイスの盗難などがあります。
脅威管理プログラムの開発
危険の発見、軽減、防止において特効薬はありません。むしろ、組織全体のプログラムの一部として脅威を管理するのが最善なのです。
内部脅威に対抗するにあたり、組織は包括的な内部リスク管理プログラムを開発する必要があります。これらのプログラムは、企業全体の内部脅威を特定し、これらの脅威が業務や任務に与える影響を評価し、それら脅威を軽減し、常にデジタル環境をスキャンして新たな危険がないか調べます。包括的リスクマネジメントには、通常以下が含まれます。
- ポリシー: 脅威の特定、評価、軽減のための社内の実情に密着したポリシーの策定
- リーダーシップ: 従業員の賛同を得て、プログラムの実施に必要な資金を確保するためのリーダーシップの強化
- 堅牢なセキュリティプロトコルとアクセス制御: 重要なシステムやデータへの不正アクセスの防止
- 従業員教育: 意図的で有るか無いかに関わらず、自分や同僚が組織や自分自身を危険にさらす可能性があることについての従業員教育
- OSINTテクノロジーの採用: 社員のオンライン行動を調査するためにPAIとCAIをスキャンするテクノロジーの導入
外部脅威を管理するには、 各種脅威がビジネスに与えうる影響を考慮して、脅威の評価、優先順位付け、防止/軽減のプログラムを開発する必要があります。 これらプログラムには以下の機能が備わっている必要があります。
- 地政学的リスク評価: 戦争、テロ、国家間の緊張状態に関連するリスクを特定する
- サイバーセキュリティ対策: システムおよびネットワーク、データ、アプリケーションを攻撃から保護する
- サプライヤーの多様化: サプライチェーン混乱時のリスクを最小限に抑える
- 緊急対応と事業継続計画: 災害や騒乱が発生しても組織が活動を継続できるようにする
- 規制遵守: 規制上の義務に従わなかったことによる罰金、評判の低下、その他の影響を回避する
- 定期的なセキュリティ監査と更新: 組織のセキュリティ態勢を継続的に再評価する
- OSINT テクノロジーの採用: PAIとCAI を継続的にスキャンして、組織を脅かす可能性のある状況を特定するテクノロジーの導入
このように、オープンソースインテリジェンスツールは、内部および外部からの脅威を管理するプログラムにとって極めて重要です。
OSINTによる脅威の検出
OSINT は、民間企業および公共機関が運用上の脅威インテリジェンスおよびセキュリティ脅威インテリジェンス、戦略的脅威インテリジェンスを入手する上で不可欠なものです。組織は、既知または疑わしい脅威に関連するキーワードのリストを作成します。その後、優れた OSINT プラットフォームは、インターネット上のPAIおよびCAIソースを迅速かつ永続的にスキャンします。これには、情報が売りに出される可能性のあるディープウェブやダークウェブ上のアクセスしにくいサイトも含まれます。(ダークウェブへのアクセスに使用されるツールの性質上、匿名性が確保されているため、違法行為の温床となっています)。検索はリアルタイムで行われるため、被害軽減に向けた取り組みをより迅速に開始することができます。
OSINTテクノロジーとユーザーアクティビティの監視との違いは?
多くの組織がセキュリティの向上のためにユーザーアクティビティ監視ソフトウェア (UAM) を導入しています。こうしたソフトウェアは、従業員が所有するデバイスやネットワークでのユーザーの行動を追跡します。サイバーハッキングやその他の違法行為を示唆している可能性のある、異常なネットワークアクセスの事例を発見できます。例えば、研究開発部門に所属する人物がオフィスのコンピューターから電子メールで、会社のバイオテクノロジー分野の画期的な発見を競合他社に売り込んでいるような状況を発見することができます。
UAMにはさきほどの人物が、自宅のコンピューターを使ってダークウェブにアクセスし、そこで 情報を売っていることを検出することはできません。
会社から支給または認可されたデバイスの使用に関する情報しか提供できないUAMやその関連技術の追跡機能だけでは、デジタル時代において十分な対応とはいえません。なぜなら従業員個人が所有するデバイスにおけるユーザーアクティビティを追跡することはできないからです。PAI と CAI を能動的にスキャンする AI 搭載の OSINT 技術で UAMシステムから得られる情報を補うことで、このセキュリティギャップを埋めることができます。OSINT テクノロジーにより、組織は使用するデバイスに関係なく、従業員のオンライン行動をは調べることができます。
これらの機能は脅威に対して保護をする上でどのように役立つのでしょうか。
ここでは、脅威インテリジェンスの活用事例を分野と地域別にいくつかご紹介します。
- 入国管理官 は、OSINT プラットフォームを使用して旅行者のビザを事前に選別することができます。SNS の投稿やその他のコンテンツにより、監視リストに載っている犯罪者と申請者との間に何らかの関係があるかどうかを判断できます。
- 国境警備機関の職員は、OSINT システムの利用により、国境を越えた違法行為の検出と追跡、調査対象となる個人やグループの動きの監視、対応計画を立ち上げることができます。
- 国家安全保障機関では、 OSINTを使用して疑わしいテロ組織の SNS 上での活動を監視することができます。
- 銃乱射犯は犯行計画をオンライン上で発表する傾向があるため[3]、法執行機関は OSINT プラットフォームを使って、該当地域の潜在的な銃乱射犯の SNS を監視することができます。
- 空港警備においては、 OSINTの導入により施設警備におけるより詳しい情報を得ることができます。例えば、PAI システムが、「リバプール・ジョン・レノン空港 8 番ゲートで、女性がバッグを置いて立ち去ったのを見た」というSNS投稿を検知すると、空港当局にアラートを発することができます。
- 米国防総省は世界中のPAIとCAIを検索することで、機密情報の漏洩に関連するキーワードを検出することができます。
- OSINTプラットフォームにより、法執行機関はディープウェブやダークウェブを精査して、潜在的な麻薬密売人、 潜在的な人身売買業者、人身売買の被害者を特定することができます。また、PAI と CAI を分析して、人身売買のパターンや犯罪者が仲間を募る方法、募集広告に関するインサイトを得ることもできます。
- 企業幹部は、SNSの監視やその他の OSINT機能を使用して、悪意ある行動が疑われる従業員や元従業員、請負業者のオンライン行動を監視できます。
- 公衆衛生と安全当局は、OSINTプラットフォームを導入することで、自然災害の範囲を特定し、適切な対応をすることができます。しばしば、人々は緊急サービスに電話するより前に、災害等の出来事をオンラインに投稿することがあります。こうした SNSの投稿を監視して収集した情報は、どこで何が起こっているのかを政府や緊急サービスに知らせることができます。それから、収集した情報に基づきリソースを配置することができます。
脅威インテリジェンスライフサイクルのさまざまな段階における OSINTの活用
脅威インテリジェンスの発見、理解、対応は、情報の収集から行動、見直しに至るまで、多段階にわたるプロセスです。OSINTはさまざまな段階にて重要な役割を果たします。
収集
脅威インテリジェンスを取得するための第一段階は、データの収集です。膨大な数の異種 OSINT ソースから、関連する脅威データ (構造化および非構造化データ) を収集する必要があります。優れたOSINTプラットフォームは、PAIとCAI を収集し、それをユーザーの言語に翻訳し、充実した関連性の高いインサイトへと情報を変換します。
処理
脅威インテリジェンス管理を改善するために、収集したデータを整理・構造化してから OSINT で処理する必要があります。現在市場に出ている OSINTシステムは、情報を分析するために分類を行い、無関係なデータを削除します。
分析
最先端の OSINTプラットフォームで情報のテーマとセンチメンを特定し、情報の分析を支援します。情報の関連性、特に人の目には見分けることのできない関連性を洗い出すことができます。これにより、アナリストは幅広い分析的な視点を通してデータを探索できます。こうした関連性の中には、地理空間的、時間的、社会的なものほか、関心のあるトピックなどが含まれます。最良のシナリオとしては、インサイトは単一のインターフェースで表示されるため、各チームが協力して横断的に分析を行うことができます。
視覚化
最良の OSINTプラットフォームは、アナリストがデータを視覚化し、検索語句語と関心のあるトピックとの間の重要なつながりをよりよく理解できるように支援します。このリレーションシップマップ作成の一環として、OSINTプラットフォームはSNSやビジネス的、政治的ネットワークを調査し、組織やイベントに影響を与える可能性が最も高いインフルエンサーを特定します。
統合
技術的に進歩したプラットフォームは、OSINTを内部データ (データベース、ネットワークログ、インシデントレポートからの情報を含む) と組み合わせることで、組織が直面する潜在的脅威についてより完全な見解を提供することができます。
優先順位付け
OSINTプラットフォームは、脅威の重大性と発生可能性に基づき優先順位をつけることができます。
その他に、脅威インテリジェンスプログラムには以下の段階があります。
普及: 関連するステークホルダーやパートナーとの脅威情報の共有
アクション: 脅威に対する対策を実施
反復: 脅威インテリジェンスプロセスの有効性を継続的に評価し、将来の情報収集を改善
OSINTプラットフォームで探すべきもの
OSINTを中心とした脅威インテリジェンスプラットフォームが市場には数多く出回っています。 ソリューションとして求めるべきものは?
今日の脅威を検知するという課題に対応するためには、脅威インテリジェンスプラットフォームは膨大な量のデータの中から必要な情報を見つけ、分析し、まとめ上げる能力を備えていなければなりません。ディープウェブやダークウェブを含むインターネットのあらゆるレイヤーにアクセスできる自動化ソリューションが必要なのです。無料で利用可能なソースや商用利用できるソースから得られた豊富なデータからなる、大規模で多様なライブラリを含むプラットフォームを選択してください。もちろん、社内データのこともお忘れなく。データが組織のどこにあっても検出できなければ、脅威インテリジェンスソリューションとは言えません。費用対効果の高い方法でこうしたことを実現するには、古いシステムを交換したりツールを変更したりすることなしに、あるアプリケーションやデータサイロから別の場所への共有を容易にする、API ベースのソリューションを検討する必要があります。
また、以下の機能もご確認ください。
翻訳機能
利用者が理解できない言語で情報を提供されても、OSINTは何の役にも立ちません。最高の OSINT ソリューションなら、さまざまな言語のコンテンツを自動的に翻訳し、組織が世界中のコンテンツを監視できるようにします。
エンティティ解決
「エンティティ解決」とは、非構造化テキストに含まれる名称を調べ、それらの名称を公開ナレッジベースや組織が管理するナレッジベースのエンティティと照合するプロセスです。この機能は、同様または類似した名称を持つ複数のエンティティを区別するのに役立ちます。
この機能が重要な理由。地球上には 80 億人の人々がおり、同じ名前を持つ人々が数多くいます。エンティティ解決能力がなければ、B-1ビジネスビザを発行する国務省職員は、潜在的な投資家と会うためにロサンゼルスを訪れたテック系スタートアップの創設者であるウェイ・ザンと、偽造デザイナーハンドバッグを製造する工場のオーナーであるウェイ・ザンとを区別することができません。
優れたOSINTプラットフォームのエンティティ解決機能ならば、さまざまなオンライン上のアイデンティティを、ハンドル名に隠れた実在の人物に一致させることができます。例えば、法執行機関が銃乱射事件の可能性を懸念している場合、適切なプラットフォームがあれば、Shoot2Kill587 と AimForTheHead91 が同一人物 (オクラホマ州イーニドのジョン・スミス) であることを知ることができます。
可用性
脅威は平日の午前 9 時から午後 5 時の間だけに起こるものではありません。組織のメンバーが直ちに OSINT にアクセスする必要がある場合を考えれば、ソリューションはダッシュボード、デスクトップ、モバイルデバイスを問わず機能しなければいけません。
永続検索
永続検索は、ユーザーが活発に検索を使用しているかどうかに関わらず、検索操作を継続し、更新や変更を記録し、その情報を検索語に自動的に追加する技術です。この機能により、組織側で余計な手間をかけずに検索を最新の状態に保つことができます。
永続検索は、ユーザーが活発に検索を使用しているかどうかに関わらず、検索操作を継続し、更新や変更を記録し、その情報を検索語に自動的に追加する技術です。この機能により、組織側で余計な手間をかけずに検索を最新の状態に保つことができます。
Babel Street Insights は、この記事で説明されているすべての脅威インテリジェンスツールと機能を提供する AI 搭載の OSINTプラットフォームです。200以上の言語で公開されている PAI とCAIを迅速かつ永続的に検索します。このデータは、10億を超えるトップレベルドメイン、ディープウェブ、ダークウェブ、その他の商用および公開されているソースからなります。これらのソースの中には、数十のSNS プラットフォーム、何百万もの掲示板で生成されたリアルタイムのやり取り、オンラインコメントなどがあります。リアルタイムで検索し、ユーザーが設定した閾値に従って警告します。
Babel Street InsightsのAIを活用した分析機能は、政府や企業のデータベースにすでに存在するデータを充実させるのにも役立ちます。地理位置情報およびテレメトリーデータは、資格のある政府機関が利用できます。
Babel Street はこれらの機能を提供することで、リスクと信頼性のギャップを埋めるのにも役立ちます。リスクと信頼性のギャップとは、脅威インテリジェンスを改善するために調査しなければならないデータの量や種類の増加と、組織がそのデータを監視するために利用できるリソースとの間に広がりつつある溝を指します。米国の国家安全保障機関の84%、そして世界中の同様の機関が当社と提携しているのはそのためです。
巻末資料
1. Global Market Insights, “Threat Intelligence Market Size,” accessed January 2024, https://www.gminsights.com/industry-analysis/threat-intelligence-market
2. Skelly, William, “Turning Quintillion Bytes of Data Into Opportunities,” Datanami, February 2023, https://www.datanami.com/2023/02/16/turning-quintillion-bytes-of-data-into-opportunities/#:~:text=Approximately%202.5%20quintillion%20bytes%20of,and%20opportunity%20of%20organized%20data.
3. Peterson, J., Densley, J., Spaulding, J., & Higgins, S., “How Mass Public Shooters Use Social Media: Exploring Themes and Future Direction,” Social Media + Society, accessed October 2023, https://doi.org/10.1177/20563051231155101
開示事項
この文書に記載されているすべての名称、企業、事象は架空のものです。実在の人物 (生死を問わない)、場所、会社、製品と同一とみなすことは意図されておらず、そのように推測されるべきでもありません。
