Skip to content
フィナンシャルテクノロジー

製品紹介

PRODUCTS

コンサルティング

CONSULTING

「いんてりじぇんす」が隣にいる ── OSINTと情報セキュリティ倫理のリアル

中島 浩光
中島 浩光
2025/06/16 7:00:00
「いんてりじぇんす」が隣にいる ── OSINTと情報セキュリティ倫理のリアル

情報セキュリティにおける倫理のお話~

今回のコラムはあえてひらがなで「いんてりじぇんす」としてます。

実際、Intelligence となると、軍や国レベルの諜報機関の話とかになると、お堅い話になってくるので、今回はそこまでお堅い話ではないけど、それっぽい(?)話です。

ご近所さん?

この話題を書こうと思ったきっかけですが、先日あるセキュリティ業界のWGでリモート会議をしていたのですが、その際に出席者の一人(Aさん)から

Aさん:「中島さん、××区民ですか?」

わたし:「はい、そうですが」

Aさん:「あ、やっぱり。こないだのリモート会議で中島さんが話している時に後ろで防災無線が流れていて、うちも同じタイミングで同じものが流れていたので、ご近所さんかな?と思ったんですよね。」

わたし:「あー、そうなんですね。うち、□□です。」

Aさん:「あ、私は△△です。今度ご近所呑みでもしましょうか」

というようなことがありました。
まあ、分かりやすく言うと、「私がどのあたりに住んでいるか?」ということが、実際の住所以外の情報から 特定 / 推定 されてしまったわけです。

OSINT

このときは詳細な住所番地まで特定されたわけではないですが、このように一般に入手可能な情報をベースに、いろんなことを 特定 / 推定 / 推測 していく活動を、情報セキュリティ / サイバーセキュリティの界隈では Open Source Intelligence (OSINT、「オーシント」とよびます)と言われています。

情報セキュリティにおける OSINT での情報収集の対象は脅威や脆弱性に関することが多く、主にインターネット上に公開されている各種情報から、攻撃情報や脆弱性に関する情報等を収集し、分析することで、セキュリティ事故の予防や対策に役立たせることを目的としています。

例えば、ソフトウェアの脆弱性の情報であれば、CC / JPCERT 等から各種ソフトウェアの脆弱性の情報が公開されていたりしますが、それらの情報の収集・自社の環境に対する影響の推測などは、OSINT としては簡単なものではありますが OSINT の活動の一部といえます。

それ以外では、過去の攻撃のパターンや、標的型攻撃メールなどから、攻撃者について調査を行うといった難しい分析なども行う場合もあります。

特定班

最初に書いた私が特定された話ですが、この時は相手が「仲間内」といえる関係であり、、その場の話だけであったので特に問題はありませんでした。

さて、インターネットには「特定班」と呼ばれる人たちがいます。彼らは有名人が SNS にあげた写真などから、写真が写された場所や、着ている服やアクセサリーがどこの何でどこで売っている等、いろいろな情報を特定していったりするのですが、驚くほど早く、分析を行っています。これを一人で実施している人もいるのですが、「班」となっているので、複数の人が自分の得意領域で知見を出しあって情報収集・分析を行っている場合が多く、まさしく「集合知」といえるものだと思います。例えば、先祖の遺品の古い写真が発見され、それに関する情報を集めるために SNS で拡散した場合の例などもありますが、ニッチな分野の専門家や一般の方で詳しい人など、さまざまな分析・考察がされて、どう考えても一人では調べきれないような結果が出る場合があったりします。

そういったことも含めて、特定班の人たちの集合体としての能力に関しては、通常の情報セキュリティの業務としての情報収集といった面からも参考になる部分はあるのではないかと思うのです。

黒白灰色

特定班の能力については素晴らしい結果がでる場合も多いのですが、その動機と結果をどうするか?が問題になります。

特に、個人のプライバシーに関する情報を特定するような場合や、特定した結果が元で犯罪行為が発生する場合もあります。

そのため、特定行為に関わるのであれば、その行為自体や、特定した情報の公開が違法にあたらないか?といったことは慎重に考えるべきではあると思います。

セキュリティ業界では「ホワイトハッカー」という、不正アクセスの技術を利用して、企業のホームページのセキュリティの診断をする方々がいます。

彼らは彼ら自身の技術を犯罪に利用しないという契約・前提なので「ホワイト」と冠されるのです。彼らが勝手にやってしまうと「黒=犯罪」になってしまうか、白でも黒でもない「灰色」になってしまうのです。

倫理・・・

科学の世界でも、「人間のクローンを作るべきか否か」といったような話で、倫理の話があるのですが、インターネットや情報セキュリティにも倫理の話はあるのですよね。

どの分野でもそうなのですが、技術が高度になって、できることが増えると、倫理が求められる、という話でした。
コラム 情報セキュリティ
中島 浩光

中島 浩光

このライターの記事をもっと読む

東京工業大学大学院理工学研究科経営工学修士課程修了。
アンダーセン・コンサルティング(現アクセンチュア)、日本CA、インフォセックほか。
アクセンチュア在籍時においては主にIT関係の各種の上流から下流のプロジェクトを数多く経験。SI、ネットワーク導入、合併対応、アーキテクチャ設計・開発、IT要件定義、セキュリティ・アセスメント、プロジェクト管理支援等。
日本CA在籍時においては、セキュリティ製品のプリセールス担当として、メディア、セミナー、セールス現場において、それまでの製品ベンダーがなかなか踏み込めなかった顧客の業務上の要求におけるセキュリティ製品の価値・位置づけを説明。
インフォセック在籍時においては、情報セキュリティのコンサルテーションを数多く実施。ISMS/Pマーク取得支援、セキュリティ設計レビュー、セキュリティ・アセスメント、ISO20000取得支援、等々。

 

Related Posts

委託先管理業務に追われていませんか?
OSS の乱用から生じる危険性:アプリ開発の 80% で依存しているという現実|IoT OT Security News
75% の消費者は覚悟を決めている:ランサムウェアに攻撃されたベンダーからは逃げ出すぞ!|IoT OT Security News