Skip to main content

今だから知りたい、『脅威インテリジェンス』 シリーズ#2

第二講:オシント/シギント/ヒューミント? どうやって区別するの?


発行日:2021年4月20日
執筆:中村悠、編集:橋本詩保

第一講:「インテリジェンス」とは? 『脅威インテリジェンス』とは?


オシント/シギント/ヒューミントを見分けるには何を見る?

のっけから恐縮ですが、皆様にミニクイズを出したいと思います。

【ミニクイズ】

以下に4つのインテリジェンスを示しました。この4つをオシント/シギント/ヒューミントに分類してください。

(注)以下のインテリジェンスは仮想のものです。

①:IPアドレス 192[.]168[.]100[.]90

②:ホスト名  www[.]example[.]com

③:ファイル名 example.docx

④:MD5ハッシュ 8c7b643fae520457326a9ae2f2544da9

分類できましたか? ぱっと言われると、なかなか分類に困りませんか?

さて、気になる正解なのですが、、、、

「これだけでは分類することができない」

です。ひっかけ問題でした。ここで気分を害して、コラムを見るのをやめないでくださいね。ここからが大切なんです。

では、なぜ「これだけでは分類することができない」のでしょうか。

オシント/シギント/ヒューミントの定義から紐解いてみましょう。

まず、オシントです。

オシントは「一般に公開されている情報を収集して分析する諜報活動の手法」

次にシギント、

シギントは「電話,無線,GPS,ITネットワークなどから情報を傍受する活動」

最後にヒューミント。

ヒューミントは「人を介して行う諜報活動」

気づきましたか? それぞれの定義の最後を見ていただきたいです。

「~諜報活動の手法」「~傍受する活動」「~諜報活動」。 そうなんです、この3つはインテリジェンスを収集方法の分類で、インテリジェンスそのものの分類ではないんです。

例えば、同じ脅威インテリジェンス「IPアドレス:192[.]168[.]100[.]90」でも、

それがセキュリティベンダーのホームページに掲載されたものと見て得たインテリジェンスならば、”オシント”ですし、それが自社のネットワーク通信から収集した場合は、”シギント”になるんです。

オシント/シギント/ヒューミントはインテリジェンス自体の分類ではなく、インテリジェンスの収集方法の分類である。

これは覚えておいて損はないかと思います。是非、心に留めておいてください。



オシント/シギント/ヒューミントのどれを活用すべきか?



脅威インテリジェンスの利用方法は、もちろん、サイバー攻撃に対応/対策することにあります。

この過程で大切なのは、そのインテリジェンスがサイバー攻撃をどのように表現しているかということ。

”表現”と書くと難しく感じるかもしれません。サイバー攻撃を仕掛ける際、攻撃者は綿密な準備を行い、攻撃を実施し、最後に目的の情報を搾取します。要するに、攻撃にシナリオがあるんです。

オシントやシギントは、一般的に、単体のインテリジェンスで提供されるため、このシナリオをいくつかのオシントを組み合わせて、自分たちで想定したシナリオを作っていかなくてはなりません。一般的にこの作業は非常に困難で、限られたスキルを持った方しかできないと言われています。ただ、データそのものがインテリジェンスであることが多いため、一方で読み取ることが非常に簡単です。

ヒューミントはどうでしょうか。ヒューミントの特長の1つは、人が収集して、人が発信している情報である点。人が発信するからこそ、デジタルな情報に加えて、それが攻撃に利用された背景やシナリオを伝えてくれます。だから、攻撃に全方位的な対策を準備することができると言われています。ただ、一方で、その背景やシナリオを読み取るためには相応のセキュリティに対する知見が必要であると言われています。

それぞれの違いはこんな感じです。

オシント/シギント:「このIPアドレスが危険です!」

ヒューミント:「このIPアドレスからこのMD5を持ったファイルがダウンロードされ、それはこんな特性をもって、社内に横展開します。また、この攻撃と似たような攻撃では、このIPアドレス、MD5が利用されます。」

このように、それぞれのインテリジェンスに特長があるため、貴社の求めているインテリジェンスに応じて、適切な選択していただきたいと思います。

ただ、『脅威インテリジェンス』の本質を忘れないでください。

『脅威インテリジェンス』の本質は、「サイバー攻撃に備え、対応するために企業が“意思決定”できる情報」です。

そして、「その情報を受け取る個人、企業によって、どの粒度の情報が意思決定を促せる「インテリジェンス」となるかが変わってくる」ということです。

次回以降の記事では、「今一度、標的型攻撃について説明をし、SecurityScorecard のインテリジェンスがどのような特長を有しているかについて」解説します。



他の人気ブログ