OSINTとは、公開されている情報を収集、評価、分析し、価値あるインサイトを導き出すプロセスです。
目次
OSINT(Open Source Intelligence)の意味
サイバーセキュリティにおけるOSINTは、セキュリティ専門家だけでなく、サイバー犯罪者によって悪用されるリスクも孕んでいます。元来は軍事情報活動の一環であり、SIGINT(Signals Intelligence)やHUMINT(Human Intelligence)と並び、国家安全保障や軍事戦略に不可欠な要素でした。現在、OSINTの活用は民間部門へも拡大し、多くの企業や団体において標準的な活動となっています。
OSINTの対象となる公開情報は多岐にわたります。政府刊行物、インターネット上のオープンな情報、書籍、報道記事などがその代表例です。
OSINTとは?
OSINT(オシント)とは「Open-Source Intelligence」の略語で、一般的に入手可能である公開情報を収集、評価、分析を行うことで意思決定のための洞察を作り出す手法を指します。元々は軍事の諜報活動の一部で、SIGINT(Signal Intelligence:通信傍受による諜報)やHUMINT(Human Intelligence:人的情報による諜報)と並行して用いられ、国家の安全保障や軍事的な戦略策定に活用されていました。現在では、民間にもOSINTが広がっており、多くの企業や非営利組織で日常的に用いられるようになっています。
OSINTで収集する公開情報は多岐に渡ります。政府が公開しているもの、広くインターネットからアクセスできるもの、書籍や報道記事なども当てはまります。
OSINTを活用するために把握しておきたいプロセス
OSINTを活用していくためには、まずそのプロセスを理解しておく必要があります。公開情報の収集や分析はあくまでプロセスの一段階であり、それらだけで完結するものではありません。綿密に計画したうえで、収集した情報を意味のあるインテリジェンスに変換するというOSINTの一連の手順はインテリジェンスサイクルと呼ばれています。
インテリジェンスサイクル
では、具体的に企業のサイバーセキュリティ対策において、サイバー脅威に対抗するためのOSINT活動がどのようなプロセスで進められるかを、インテリジェンスサイクルに沿って説明します。
1. 計画
この段階では、自社が直面しているセキュリティ上の脅威やリスクを評価し、どの情報が必要かを特定します。また、ここで情報収集の目的と優先順位を設定します。
2. 収集
次に、指定された情報ニーズに基づいて、公開情報源からデータを収集します。これには、ダーウウェブ、ソーシャルメディア、専門のセキュリティブログやニュースサイト、公的な脆弱性データベース(CVE)などが情報源として期待されます。このプロセスでは、専用のOSINTツールやWebスクレイピング技術が用いられることもあります。
3. 処理
収集した情報は非常に大量かつ非構造化データであるため、処理して分析に適した形式に変換する必要があります。ここでは、データのフィルタリング、標準化、重要でない情報の排除などが行われます。この段階での効果的なデータ処理が、後続の分析の品質を大きく左右します。
4. 分析
整理したデータに対して、脅威分析が行われます。これには、サイバー攻撃者が用いる脆弱性の特定、攻撃パターンの識別、攻撃者の意図や能力の推測などが含まれます。分析結果から、企業は具体的な脅威とその対策を理解し、優先順位をつけて対応計画を立てます。
5. 共有
最後に、生成された脅威インテリジェンスは関連する意思決定者(IT部門、経営陣、場合によっては他の業界の同業者や政府機関など)に共有されます。意思決定者のフィードバックを受けて、さらにインテリジェンスサイクルを継続することもあります。
ここで意識しておきたいことは、ただ情報を集めるだけではなく、その情報をどのように有効に活用するか、どのように組織の目標達成に貢献させるかがインテリジェンスの役割であるということです。そのためには計画から共有に至るまで、意思決定者とのコミュニケーションは欠かせません。また、意思決定者が何を求めているのかということを常に意識しておかなければなりません。
サイバー脅威におけるOSINTのツール
昨今、サイバー脅威におけるOSINTツールは充実してきており、必要な情報を効率的に集められるようになりました。実際に広く使われているOSINTツールを一部紹介します。
【Shodan】
一般的なWeb検索(Googleなどを用いて検索)ではヒットしないような、インターネットに接続されているデバイスを検索できる検索エンジンです。公開されているサーバやIoT機器のポート番号やIPアドレス、位置情報などを収集しています。脆弱性情報やアクセス制御の確認などに用いることができます。
【Maltego】
データの関連付けとビジュアル分析を行うツールで、人物、グループ、組織、Webサイト、インターネットインフラ、社会ネットワークなどの関連性を視覚的にマッピングできます。複雑な関連性の可視化ができるため、情報を結びつけた全体像を理解するうえで役立ちます。
【Google Dorks(Google検索の高度なコマンド利用)】
Googleが提供している検索機能は高度なコマンドを組み合わせることで、通常の検索では得られない詳細な情報や特定のデータを効率的に抽出できます。そのような検索機能の使い方は「Google Dorks」と呼ばれており、インデックスされた情報が検索結果に表示されます。この機能を利用することで自組織が公開すべきでない情報を誤って公開していないかを確認できます。
コマンド例
検索結果
cache:
特定のWebページのGoogleによるキャッシュバージョンを表示
filetype:
特定のファイル形式のドキュメントを表示
imagesize:
特定サイズの画像を表示
site:
特定のWebサイト限定で表示
inurl:
URL内に特定の単語が含まれるページを表示
intitle:
ページのタイトルに特定の単語が含まれるウェブページを表示
Google Dorksで用いられる検索クエリ例
OSINTを活用する際の注意点
ここまで、OSINTの意味やツールなどを紹介しましたが、実際にOSINTを活用する際には以下のような注意が必要です。
●情報の信頼性、正確性
公開情報を主要なデータソースとして利用していますが、その情報の信頼性や正確性を常に確認する必要があります。情報源が公開されているからといって、その内容が正確であるとは限らないため、特に偽情報や誤情報に対する警戒は非常に重要です。
●情報の持続的な更新と管理
OSINTで得られた情報は時間とともに陳腐化する可能性があるため、情報を定期的に更新し、その有効性を継続的に評価する必要があります。また、収集したデータの量が多いため、効果的なデータ管理システムを用いて情報を整理し、アクセスしやすく保つことが重要です。
●法的および倫理的考慮
公開情報を収集する際には、プライバシーの保護や法律に準拠しているかどうかを常に確認する必要があります。また、倫理的にも、個人のプライバシーを尊重し、不当な監視や情報収集を避けるべきです。
これらの注意点を踏まえて、活動していくためにも、組織でのOSINT活用を進めていく際には明確なポリシーを予め設定しておくべきでしょう。また、OSINTの情報収集や取捨選択にはノウハウも必要になります。ベストプラクティスなどの情報も組織内で共有しておくことで、より効率的に組織でOSINTの活用を進めることができます。
トレンドマイクロのOSINT
Trend Vision One™ - Cloud Securityを選ぶ理由
データセンター、クラウドワークロード、アプリケーション、サーバーレスに至るまで包括的に保護するCloud Securityは、統合プラットフォームによる防御、リスク管理、マルチクラウド環境での検知と対応を実現します。
個別のポイントソリューションによる断片的な対策から脱却し、CSPM、CNAPP、CWPP、CIEM、EASMといった広範かつ深層的な機能を備えたサイバーセキュリティプラットフォームへ移行することで、強靭なセキュリティ体制を構築できます。
非効率な資産管理や断片的な検知に悩まされる必要はありません。ネイティブセンサーとサードパーティ連携を備えた統合コンソールが、ハイブリッド/マルチクラウド環境の圧倒的な可視化を実現し、アタックサーフェス(攻撃対象領域)を的確に特定します。
攻撃による潜在的なビジネスインパクトに基づき、オンプレミスとクラウドを跨ぐ資産全体のリスクを評価・優先順位付けする、革新的なサイバーセキュリティプラットフォームです。多様なソースからのリスク情報を単一の指標に集約し、セキュリティ体制の継続的な改善を支援します。