On 2021 年 1 月 6 日、大勢のデモ参加者が暴力的に警察の列を乗り越え、ワシントン D.C. の連邦議会議事堂に進入し、暴動の間中ソーシャル メディアに動画や写真を投稿する様子を世界中が見守りました。前夜、やはりワシントンDCで、まだ正体不明の別の人物が、民主党全国委員会本部と共和党全国委員会本部の近くに2つのパイプ爆弾を設置した。

2021 年 4 月、英国治安局 (MI5)過去 5 年間に、政府機関や主要産業の職員を含む 10,000 人以上の英国国民が、ソーシャル ネットワーキング サイトを通じて、機密情報へのアクセスを求める敵対的な国家主体からアプローチを受けていたということ。

これらの脅威を結び付ける共通の要素は、これらの出来事が起こった率直さです公開および公開のオンライン フォーラム全体およびソーシャル メディア プラットフォーム。脅威の評価を完了する際、脅威に関する内部情報を提供してくれると思われる機密の極秘情報源を不当に優先する可能性があります。しかし、誰でも公開されている情報源ではなく、インサイダー情報に焦点を当てると、明らかなことが見えなくなる可能性があります。

上記の例が強調しているように、敵対者は自らの意図や目的について非常にオープンであり、多くの場合、ソーシャル メディアやその他の公開フォーラムを使用して将来の行動について投稿します。従来、物理的セキュリティの範囲は、カメラ、アクセス制御、境界、侵入者検出システムなどのさまざまな手段を採用して、境界のある空間をカプセル化していました。サイト内の資産のセキュリティ管理と、サイトを超えた脅威の評価にはギャップが存在します。 1 回限りの脅威評価を作成するだけでは十分ではありません。脅威を特定、評価、管理するためのより動的なアプローチが明らかに必要です。

サイトの境界を越えて脅威を効果的に確認および監視するためにそのギャップを埋めるためのソリューションの一部は、オープンソース インテリジェンス (OSINT) 機能を開発して組み込むことです。

OSINT は情報コミュニティ内の規律として始まりましたが、すぐにサイバーセキュリティ分野にも採用されました。ただし、サイバーセキュリティの専門家は、サイバー脅威インテリジェンスなど、サイバーセキュリティに最も適用できる OSINT プロセスの側面を主に強調しています。サイバーセキュリティ OSINT が OSINT に伴うものの全体であると考えるのは間違いです。

OSINT は何よりもまず、アクティブなプロセスと思考スタイルです。実際のところ、オープンソース情報とは、オープンで自由にアクセスできるソースから一般公開されている情報を集めたものです。

しかし、情報だけでは知性と同等ではありません。インテリジェンスとは、分析と評価を通じて付加価値を与えた情報であり、重要な質問や要件に答えるためにタイムリーに広められます。 OSINT にはオンラインとオフラインの両方の資料を含めることができますが、これは独自のインターネット ベースの方法論ではありません。

脅威評価は、リスクを特定して軽減するためのセキュリティ管理実践全体の一部にすぎません。脅威評価を構築するための基準は、脅威アクター、交差するリスクの性質、資産の種類と価値によって異なります。ただし、脅威評価は主に、脅威の特定、脅威機能の確認、評価された脅威の管理という中心的な概念に従います。脅威だけでなく、脅威の進化をより適切に管理および理解するには、脅威評価プロセスをより動的にする必要があります。

脅威評価は完了すると、ただちに静的なステートメントや概要になる危険性があります。時間の経過とともに、組織のリスクとセキュリティ体制を知らせる手段としての脅威評価のプラスの効果は、効果が薄れたり、時代遅れになったりします。

米国大統領選挙の広範な政治劇は数カ月にわたって展開されたが、1月6日の連邦議会議事堂暴動に至るまでの構想、計画、行動をめぐる活動はわずか数週間で起こった可能性がある。 OSINT は、脅威評価を静的なステートメントから動的な循環プロセス、つまり継続的な脅威評価に移行する機能を提供します。

新たな疑問が生じ、仮定が疑問視され、新たな情報が明らかになるにつれて、情報を定期的かつ積極的に再評価する必要がある。この循環性が、OSINT を単なる「チェックボックスにチェックを入れる」演習ではなく、アクティブなプロセスと思考スタイルにしているのです。 OSINT を脅威評価に組み込むことで、インテリジェンス サイクルの中核となる側面、つまり明確な計画と方向性、管理された収集戦略、情報の処理、構造化された分析、そして最後に主要な意思決定者が行動を取れるようにインテリジェンスを配布することを中心にフレームワークを構築できます。

OSINT は、脅威アクターの意図をマッピングするのに役立つ、フォーラムやディスカッション掲示板など、脅威アクターが活動している領域のプロファイルを構築するよう努めるべきです。これらの情報源は評価プロセスに情報を提供するため、継続的な監視とレポートを可能にするネットワークも確立し、セキュリティ管理者が意思決定とセキュリティ態勢を整えるために必要な定期的な更新を容易にします。脅威評価は生きた文書となり、脅威アクターが活動するソーシャル ネットワークやオンライン スペースに焦点を当てます。その結果、脅威の能力に関する見通しと、情報を継続的に監視および報告できる重要な情報源のリストが統合されます。

そのような情報を探すのに適切な場所を決定することは、最初は困難に思えるかもしれませんが、インテリジェンス サイクルを使用すると、検索を絞り込むのに役立ちます。たとえば、イデオロギー的に過激なグループは、自分たちのメッセージを一般の人々に届けようとしています。そうすることで、グループは秘密活動と公的に利用可能な出口の間にポータルを作成します。熟練した OSINT プロセスは、これらのポータルを特定し、価値のある情報を収集し、脅威評価にインテリジェンスを提供するのに役立ちます。

明確な方向性

脅威評価に OSINT を組み込むことは、明確な計画に基づいて焦点を絞った方向に導く必要があります。利用可能なデータと情報の量は、効果的な方向性と計画がなければ、膨大な量の情報を調べていく際に、構造化されていない脅威評価の実施が困難になることは避けられないことを意味します。特定のクエリで構成される指示は、OSINT 調査の基礎を築くのに役立ち、脅威評価演習の成功または失敗に影響します。

クエリは現実的かつ実用的である必要があります。その方向性は、OSINT の調査を、たとえば「次のパンデミックはいつ起こるか」、「年内にヨーロッパでテロ攻撃が起こるか」など、予測不可能なことを予測したり、明白なことを数値化することに誘導しようとするものであってはなりません。後者の場合、欧州内のテロリスクの広範さを考慮すると、年内にテロ攻撃が発生するのはほぼ確実である。こうした思考訓練を続けても、リスク、想定される時間スケール、攻撃の種類をどのように管理するかを知ることはできません。

特異性は脅威を組織に関連付けるための鍵であると同時に、OSINT ストリームの検索パラメータに焦点を当てるという追加の利点もあります。たとえば、テロリズムは脅威の範囲が広すぎるため、焦点を特定のテロリスト グループ、手口、または場所に絞ります。脅威の詳細に焦点を当ててより広範な理解を組み立てることは、所要時間とリソース管理の観点から OSINT 評価の結果に付加価値をもたらします。たとえば、多国籍組織は、テロリストグループの世界的な野望を把握しようとしたり、攻撃の数をリストしたりする脅威評価に依存することはできません。

OSINT の計画では、必要な重要な情報をより管理しやすい部分に分割する必要があります。確率的思考を実践すると、OSINT の脅威評価を主要な部分に分けて管理するのに役立ちます。確率的思考は定量的または定性的な実践であり、複数の可能性の中からイベントから最も可能性の高い結果を特定しようとします。それは、可能な限り不確実性の要素を軽減するために、起こり得る結果に関する情報と知識のソースを構築する行為です。

OSINT 手法に基づいて脅威評価を計画する場合は、最初に既知のこと、学習できること、および未知のことを定量化すると同時に、偏見を取り除く必要があります。これらすべてが脅威評価の結果に影響します。

評価にはバイアスがつきものです。それらは誤った結論につながる可能性があるため、実際に何が重要であるかを特定するために、情報、私たちの見解、発言は常に検討される必要があります。アンカリング バイアスや可用性バイアスなど、最初に入手可能な情報に過度に依存したり強調したり、すぐに入手できる情報に基づいて評価を推進したりする知識バイアスが数多く確認されています。

オンラインで生成される新しい情報のスピードと、物理的なセキュリティ部門へのリソース需要は、オンラインとインターネット外の両方で、OSINT の調査が継続的に不安定で動的な環境でどのように行われるかを強調しています。計画を立てることで、より多くの情報が必要な領域とそれほど必要でない領域が明確に区別され、偏見による干渉のリスクが軽減されます。さらに、計画段階での確率的思考は、ソーシャル メディア、偽情報、意図的な難読化など、本質的に信頼性の低い情報を扱う際の精度の問題を回避するのに役立ちます。

コレクション戦略

次の段階はコレクション戦略を確立することです。その価値は方向性と計画段階での以前の作業に基づいて構築されます。近年、商用 OSINT 収集プラットフォームと製品が大幅に増加しており、この傾向は今後も続くと思われます。フォレンジック ブラウザ ソフトウェアから、ソーシャル メディア トリガー用の継続的ジオフェンシング、商用衛星画像に至るまで、特定のセキュリティ ニーズを満たす商用コレクション プラットフォームが存在する可能性が高くなります。

無数の領域が、OSINT 収集戦略の種類と範囲を決定します。情報収集に自由に時間を費やせるチーム メンバーが何人いるか、情報収集と日常的なセキュリティ責任の両方を実現するためにどのような技術リソースが用意されているかなど、実際的な考慮事項も考慮されます。この時点までに OSINT と脅威評価の要件を正確に計画することで、機能と要求が可能な限り均等に一致することが保証されます。たとえば、脅威グループからの一般的なメディアや広報情報は、脅威評価の主要な質問に十分に答えられるでしょうか、それとも、同じグループのメンバーが積極的に使用するオンライン フォーラムに参加する必要があるのでしょうか?どこに追加の労力が必要かを理解することは、効率を特定するのに役立ちます。

さらに、情報収集活動を実行するずっと前に、安全性、セキュリティ、および組織上の考慮事項に明確に対処する必要があります。収集戦略では、業務を妨げる可能性のある法的、財務的、評判などの抑止力を考慮する必要があります。リスク選好、倫理、道徳的考慮事項はすべて、適切な OSINT 活動を決定する際に重要な役割を果たします。 2018 年のケンブリッジ アナリティカ スキャンダルを考えてみましょう。このスキャンダルでは、政治会社が Facebook から数千万人のユーザーの個人データを収集しました。この措置は合法的でしたが、長期的な評判とデータ プライバシーに影響を及ぼしました。

柔軟性は重要です。組織のセキュリティ慣行の一環として、脅威評価は毎年行われるだけの場合があります。ただし、米国議会議事堂の暴動と同様、脅威評価の対象は毎週変更される可能性があり、セキュリティへの対応は収集計画から保護される情報のレベルに依存し、それに追いつくために変更が必要になる場合もあります。柔軟性を組み込むことで適応性が可能になります。

脅威の評価は主観的な作業になる可能性があり、収集された情報の中に解釈の変更が必要であることを示す追加の信号が存在する可能性があります。社会正義の運動や抗議活動がいかに急速に世界中に広がっているかを考えてみましょう。大規模な社会不安は、地球の裏側から離れた微妙な出来事から始まり、地元の緊張を引き起こし、混乱を引き起こす可能性があります。出来事は単独で発生するわけではなく、日常のありふれた信号が世界的な出来事の始まりを示す可能性があります。私たちは収集した情報をもとに、たとえ小さな断片であっても私たちの理解にどのような影響を与える可能性があるかを常に確認する必要があります。

ソーシャル メディアを含むオンライン エンティティは、個人情報や職業情報を大規模に自由に利用できるようにしており、地域の画像、地元の出来事の記録、対象者の社会的および職業的接触の詳細へのリアルタイム アクセスを提供しています。このような情報の価値は、どれだけ誇張してもしすぎることはありません。オンラインおよびオフラインのソーシャル エンジニアリング攻撃は、ソーシャル メディアを含む多数のプラットフォームに存在する、自由に入手できる詳細な個人識別情報 (PII) に基づいて構築されます。

OSINT の収集戦略は必然的に PII に触れることになり、組織が運営している法的枠組みに応じて、そのような情報がどのように識別、記録、保管されるかを検討する必要があります。

欧州連合の一般データ保護規則 (GDPR)は、PII とその使用を管理する広範囲にわたる包括的な文書です。 OSINT 活動は国家安全保障と法執行機関 (個別の指令がある) に関連するため、例外が存在します。ただし、GDPR には、商業または民間のセキュリティ管理作業に対する特別または一般的な免除はありません。そのため、あなた、あなたの組織、または OSINT 調査の対象者が EU に居住している場合、調査員は GDPR を考慮する必要がある可能性があります。さらに、GDPR は、ソーシャル メディア、雇用、政府記録など、オンラインまたはオフラインの個人データの処理にも同様に適用されます。

GDPR に基づき、OSINT 調査には PII を処理するための法的根拠が必要となる可能性が高く、対象者の権利を特定して組み込むだけでなく、データ セキュリティ、説明責任、ガバナンスなどの処理方法に関する特定の原則を適用する必要があります。 GDPR から組織のデータ ストレージ容量に至るまで、コンプライアンス要件は、利用可能なリソースがいかに重要な考慮事項であるかを強調しています。

他の OSINT 実践者からも含め、OSINT からの最も頻繁な質問の 1 つは、あたかもそのようなリストが直接成功につながるかのように、ツールのリストが必要であるというものです。すべてを実行する 1 つの OSINT プログラム リストやリソースが存在しないことは、特に驚くべきことではありません。むしろ、OSINT 実践者は通常、特定のニーズに合ったツール、便利なサイト、および OSINT 実践者のネットワークに関する個人的な知識を構築します。使用する収集方法とツールを決定するときは、OSINT 収集方法に関わる法的、個人的、道徳的、倫理的な影響を念頭に置きながら、安全なセキュリティ慣行を常に最優先に考慮する必要があります。法的不利な影響は、OSINT アナリストと組織にも同様に適用される可能性があります。

プロセスと分析

情報の種類が大きく異なり、その信頼性と信頼性に対する懸念を考慮すると、処理は OSINT にとって不可欠な要素です。

必要な情報が一次情報源と二次情報源の両方に適している場合は、前者に手を伸ばすようにしてください。直接の目撃証拠は、第三者や第三者の情報よりも価値があり、そのように情報を評価する必要があります。脅威の評価により、より不確実な領域に対する OSINT 調査が必要な場合、そのようなきちんとした情報源の分類が常に容易に利用できるとは限りません。したがって、OSINT 調査官は、収集された情報の評価に役立つように海軍本部または NATO システムを考慮する必要があります。

下、情報は、情報源の過去の報告、その信憑性や信頼性に疑問があるかどうか、および情報源の能力に基づいて、信頼性で判断されます。信頼性について判断された情報は、A から F にランク付けされます。信頼性は、その情報が他の情報源またはその問題についてすでに知られている内容に対して裏付けられるかどうかに基づいて評価されます。信頼性は 1 ～ 6 の数値で評価されます。

たとえば、人気のあるイベントの目撃者が他の情報源と照合できる直接の直接の情報を提供した場合、その情報源は A1 に評価されます。小耳に挟んだことはあるが直接の経験はなく、初めて報告する情報を報告する人は、F6 と評価される可能性があります。

その目的は、さまざまなグレードを使用して情報の断片にニュアンスやコンテキストを追加し、意思決定をより適切に伝えることで、収集した情報の正確性と信頼性に対する信頼を築くことです。

情報収集のどの方法にも、常により多くのこと、つまり意思決定を行うためのより多くの時間や情報が必要になるという本質的なリスクが存在します。 OSINT 脅威評価の致命的なリスクは、結論が早すぎるか、意味のある結論がまったく得られないことによって顕在化する可能性があります。 OSINT メソッドを介して収集、処理、分析された情報は常に変化し、静的なままになることはありません。 OSINT 主導の脅威評価により、本質的に、静的な意図表明よりも動的な監視が可能になります。

配達

最後の要素は、物理的セキュリティ担当者であろうと、より広範な経営幹部の立場であろうと、主要な意思決定者にタイムリーで関連性があり、実用的な調査結果を提供することです。社内には必ず文書スタイルの要件がありますが、評価全体を詳細に読む時間がない読者に重要な判断や重要な情報を効果的に伝えることを妨げるものであってはなりません。

理想的には、評価はそれを必要とする個人または部門に対して書かれるべきです。たとえば、海外出張中のスタッフの脅威評価を行う場合、評価の本体は関連するセキュリティ部門内に留まり、その上司に対して重要な結果を記載した表紙のみを必要とする場合があります。他の場合には、脅威評価が内部調査部門またはより広範な対象者に転送される場合があり、その場合、評価者は特定の側面や調査結果を後まで差し控えようとする可能性があります。定型的なプロセスは失敗します。

OSINT は進化するフレームワークであり、進化する脅威を動的に評価するのに最適です。信頼性の低い情報に対する課題は、特に今日の偽情報時代においては、克服できないものではありません。 OSINT プロセスに対する人々の期待の管理、トレーニングとテクノロジーの要件、リソースの割り当てなど、さらなる問題も残っています。ただし、脅威評価プロセスの一部としてインテリジェンス サイクルを採用すると、時間内に手元にあるリソースを最大限に活用することができます。

Mark Ashford は、法執行機関と国家安全保障で 12 年間の経験を経て、金融業界のセキュリティ リスク分析と脅威評価に取り組んでいます。彼の他の関心分野には、情報分析、戦略的先見性、国際関係などがあります。