CSIRT(シーサート)というと、発生したセキュリティインシデントへの対応がまず思い浮かぶかもしれないが、CSIRTの仕事はそれだけではない。
NTTグループのCSIRTには、国内外のセキュリティ関連ニュースなどを、じっと“定点観測”しているチームがある。公開情報を収集・分析するOSINTのチームだ。同チームを作ったのは、かつてセキュリティ嫌いだった男。いまはNTTのCSIRTの“顔”の1人として、社内外から信頼を寄せられている。
<トラスト(信頼)>あるデジタル社会の実現に向けて戦うNTTグループのプロフェッショナルを紹介する本連載の第3回に登場するのは、NTT-CERTの神谷造だ。
NTT-CERTは、2004年に設立されたNTTグループのCSIRTである。NTTグループ全体のセキュリティ被害の未然防止・最小化を図るため、グループ各社を支援するのがミッションだ。
実際にインシデントが発生した際の対応支援を行うレスポンスチーム、脆弱性情報を収集・分析して配信するチームなど、NTT-CERTはいくつかのチームで構成されているが、その1つにOSINTのチームがある。
OSINT(Open Source Intelligence)とは、ニュース報道や企業・団体が発表したプレスリリースなどの一般公開情報をもとに情報分析する手法だ。
NTT-CERTにOSINTのチームが発足したのは2011年のこと。立ち上げたのは、NTTグループのCSIRTの“顔”の1人として、日本シーサート協議会などでの対外活動にも積極的に取り組む神谷造である。NTT-CERTに加入以前は「セキュリティ組織が嫌いだった」と公言する男だ。
OSINTで大切なのは「読む力」サイバーセキュリティ関連のニュースが流れない日はない。重大なインシデントが報道されれば、経営陣などからセキュリティ担当者に「うちは大丈夫か」と問い合わせが飛んでくる。
ニュースなどの一般公開情報を分析するOSINTの必要性を神谷が痛感したのは、こうした問い合わせへの対応を繰り返すなかでだった。
「経営判断に役立つしっかりした回答を、信頼できる一次情報をもとに行うには、普段から相当量の一次情報を収集・分析して蓄積しておく必要があります。でなければ、朝ニュースでインシデントを知った経営層に対して、経営判断を行うために必要な情報を午後一番に提供することは、とてもできません」
神谷が率いるOSINTチームの1日は、毎朝のミーティングから本格的に始まる。メールの確認などを済ませ、9時半になるとミーティングの開始時刻だ。その日の議題や業務連絡を片付けた後は、毎日数十分をかけて行う「レビュー」の時間が待っている。
レビュー(論評・精査)にかけられるのは、OSINTチームの各メンバーが用意したドキュメントだ。約10名のメンバー全員が、前日午後に収集・チェックしたニュース記事などの公開情報の中から重要と判断した情報をピックアップし、事実を整理・分析してドキュメントにまとめてくる。
神谷自身が1日にチェックするのは、海外のニュースメディアなど30程度の情報ソース。OSINTのメンバー各自が日々、膨大な公開情報に目を通しているが、大切なのは「読む力」だという。
「情報を“読む”ためには、そのバックグラウンドを理解している必要があります。例えば、GDPR(EU一般データ保護規則)の記事を理解するためには、どんな議論が人権をめぐり行われているのか、どういった組織が人権に関してコンシャスになっているのか、人権や自由な言論のために活動しているカナダ・トロント大学のシチズンラボや米国に本部を置くEFF(電子フロンティア財団)はどういった組織なのかといった知識が求められます」
そのニュースの出所はどこなのか、一次情報の確認によるファクトチェックも重要である。
OSINTのメンバーが毎日書くドキュメントは、レビュー後にデータベースへ格納される。このメンバー各自の知識とファクトチェックに裏打ちされた事実の連なりをベースに、「いま何が起きているのか」を月次・年次のレポートとして執筆・配信するとともに、経営判断に資するインテリジェンスを迅速に提供するのが、OSINTチームの役割である。
神谷は、OSINTチームの仕事を「定点観測」と呼ぶ。膨大な一般公開情報を定点観測することで、初めて浮かび上がるインテリジェンスがある。OSINTは元々、国家安全保障の世界で使われていた情報分析手法だ。
セキュリティ組織の人間は可哀そうすぎるNTT-CERTへの加入前、神谷はブロードバンドサービス向けシステム開発のプロジェクトマネージャーなどをしていた。つまり、セキュリティ担当者から、セキュリティ上の問題点や懸念点を指摘される側だった。
「もっと言い方があるだろ、などとムカついていました(笑)。セキュリティが嫌いというより、セキュリティ組織の人間が嫌いでした」
そんな神谷にセキュリティ組織であるNTT-CERTへの異動の辞令が出る。「堪らんな…」。神谷は最初そう落胆したという。