Intelligence ≠ Collection

Open Source Intelligence (OSINT) ≠ Open Source Collection

— Neutral8✗9eR @0x009AD6_810@infosec.exchange (@0x009AD6_810) 2023年3月9日

さて、これからOSINTについて考えるということは、まずその言葉の定義について確認しなければならない。
本記事を見ていただいている人の多くは、OSINTという単語を見聞きしたことがあるだろう。「本日のOSINTまとめです。」といってWeb記事のまとめを提出する人間や、「OSINTでSNSアカウント特定しました!」と言ってくる身内と遭遇した経験は少なからずあるのではないかと思っている。では、この文脈で語られているOSINTというワードは、果たしてOSINTの定義に沿ったものなのだろうか。

OSINTとは "Open-Source INTelligence" の略であり、その名の通りWebサイトやSNSといった公開情報から生成された "インテリジェンス" なるものである。OSINTはインテリジェンスを"情報の収集源"という観点で整理した一つの分類上の呼び名にすぎず、その他にも HUMINT (Human INTelligence) や SIGINT (Signal INTelligence) といった別の情報源から収集したインテリジェンスの呼び名が存在するが、本記事の本質から内容が反れるため今回は割愛する。

ここで疑問となるのが、先ほどから多用されている"インテリジェンス"とはいったい何者なのかということである。近年では AI (Artificial Intelligence) という言葉が一般人にも知れ渡り使用されるようになったが、おそらく"インテリジェンス"という言葉を単体で使用する人はいまだに少なく、意味をしっかり調べたことがあるという人はもっと少ないのではないだろうか。それもそのはずで、インテリジェンス (Intelligence)とは元来軍事で用いられる専門用語であり、日常で使われることはほとんどない。まずは米軍統合情報本部が公開している『Joint Publication 2-0: Joint Intelligence』*1から、その意味を確認してみるとしよう。PDFの冒頭には、こう書かれている。

Information on its own may be of utility to the commander, but when related to other information about the operational environment and considered in the light of past experience, it gives rise to a new understanding of the information, which may be termed “intelligence.”

情報はそれ自体でも司令にとって有用かもしれない。しかし、作戦環境で関連する他の情報や過去の経験と照らし合わせたとき、その情報に対する新しい理解が生まれる。これを "インテリジェンス" と言うのかもしれない。

日本語訳は筆者が書いたものなので、多少誤訳があるかもしれない。しかし原文を確認した方はおそらく同じような感想を抱くのではないだろうか。「用語解説のはずなのに説明が抽象的ではないか? 情報をいい感じに使ってもっと価値のある何かにすればええのか!?」と。では、内容がより明瞭になる Introduction まで読み進めてみよう。Introduction だけでも長く全文を載せることができないので、筆者がインテリジェンスを理解するうえで重要だと思う箇所だけ抜粋した。もし原文が気になる方は、PDFの Introduction を見ていただきたい。

a. 情報は将来の状況や条件について合理的な洞察を提供することで、司令の意思決定プロセスに貢献し最大の価値を発揮する。
(中略)

生のデータ(Raw Data)はそれ自体は比較的限定的な有用性しかもたない。しかし、データが理解しやすい形に処理されるとそれは情報(Information)となり、より大きな有用性を得る。情報の段階でも司令にとって有用かもしれないが、作戦環境に関する他の状況や過去の経験と照らし合わせたとき、その情報に対する新しい理解が生まれる。これを "インテリジェンス (Intelligence)" と言うのかもしれない。
(中略)

インテリジェンスは、最終的に情報とは2つの異なる特徴がある。インテリジェンスは将来の状況や情勢を予測することができ、行動指針(Courses of Action)をとることでどのような違いが生まれるか明らかにすることによって意思決定に貢献することもできる。

b. インテリジェンスは、作戦環境を理解しやすくさせるための評価および推定を司令に提供する。
(中略)

c. インテリジェンスは科学ではない。インテリジェンスアナリスト(分析者)は作戦環境を評価する際に不確実性を持っている。
(中略)

したがって、アナリストは自らの分析にどの程度信頼を持っているか(degree of confidence)を伝えることが重要である。
(中略)

d. インテリジェンスには、能力・プロセス・組織が含まれる。
プロセスには、収集, 加工, 抽出, 分析, 配布の工程が含まれている。
(中略)

インテリジェンスはそれ自体が目的ではない。作戦におけるインテリジェンスの関連性を向上させるために、マネージャーは消費者のニーズを予測し、インテリジェンスが効果的か、影響力があるかを検討しなければならない。
(中略)

作戦環境は絶えず変化するため、インテリジェンスは継続的な活動であることを留意する必要がある。

ここまで読み進めると非常に詳細に書かれているため、多くの方がより鮮明に"インテリジェンス"をイメージできるようになったのではないだろうか。筆者なりにまとめた"インテリジェンスとは何か"をまとめたものが以下である。

• インテリジェンスとは: 以下の3つを含むものである。
  • 能力: 意思決定者に対して有効な"アウトプット(成果物)"を提示できることを指す。具体的には、データを収集し、情報へと加工し、分析してインテリジェンスへと昇華できるとともに、それが意思決定者に対する具体的な行動指針として貢献できていることである。サイバーセキュリティの文脈では、CISOに対してセキュリティ施策や予算への提言、SOCにIoC(Indicator of Compromise)やシグネチャの提供といったアウトプットが該当する
  • プロセス*2: 顧客・組織のインテリジェンス要求(Intelligence requirements)を理解・検討し、より要求に沿ったインテリジェンスが提供できるよう継続的に改善が行われている。
  • 組織: 上記が組織的に従事されている。
• なぜインテリジェンスがあるのか
  • 刻一刻と変化し大量の情報が溢れている現場において、意思決定者は必要な情報だけを取捨選択し次の行動を決める必要がある。インテリジェンスは意思決定者を助け、組織がより最適な行動をとることを継続的にサポートできる
• インテリジェンスはどのように生まれ、どのような特性を持つのか
  • 組織に所属する能力を持ったアナリストが、意思決定者のニーズをもとに改善を繰り返しながら行動指針に寄与する分析をすることで生成される。しかしインテリジェンスは科学ではなく不確実性を伴っているため、分析にはアナリストの評価・推定が含まれる。アナリストによる不確実性の評価は、信頼度として表現される。

少々遠回りとなってしまったが、このまとめを踏まえつつも『Joint Intelligence』の定義に基づきながら、「OSINTとは?」に対する筆者なりの説明一言で表現してみると、以下のようになった。

「組織・顧客のインテリジェンス要求を達成すること目的として公開情報を収集・分析し、 組織の情報戦に関わる意思決定に継続的に貢献すること」

さて、それでは冒頭の問いに戻ろう。Web記事のまとめやSNSアカウント特定は果たしてOSINTなのだろうか。筆者の見解としては、「OSINTを生成するための情報収集及び分析結果の一部ではあろうが、インテリジェンスの定義には沿っていないのでOSINTと表現すべきではない。」になる。つまり、元来のかっちりとした定義に基づいて"インテリジェンス(または、OSINT)"という単語を使用している人にとっては、昨今様々なコンテキストで使用されているOSINTは本来の意味からずれた別の何かとして映るのである。
本騒動においても、OSINTを生成するための活動を指して"OSINT"と表現している人が散見されたため、「情報収集(Open-Source Collection)というのはOSINTを生成するうえでの活動の一部ではあるが、それ自体はOSINTではないよ」という意味を込めて、このような本質的な事象について述べたアナリストがいたものと思われる。

ここまで長々と茶番をし続けてきたが、直近でSANSから出されたOSINTに関する記事でも同様の内容が書かれていることが確認できる。余力がある方は、是非一読してもらいたい。
www.sans.org

冒頭を抜粋すると、以下のように述べられているのが確認できるだろう。

Open-Source Intelligence (OSINT) is defined as intelligence produced by collecting, evaluating and analyzing publicly available information with the purpose of answering a specific intelligence question.

OSINT は、特定のインテリジェンス要求にこたえることを目的として、公開されている情報を収集・評価・分析することによって生成されるインテリジェンスと定義される。

OSINT のスコープ定義あるいは倫理との境界

今年も OSINT をトピックとして扱う講義をやるので、改めて定義を宣言するのが大切だな、と。これが正解だ！ではなく、諸説あります、にはなるだろうけど🤔自分はこんなイメージで捉えて、ていぎしている。※諸説あり pic.twitter.com/bxS3ZBxj8J

— _roku_ (@00001B1A) 2023年3月9日

本騒動は「OSINT をする過程で図らずして攻撃となってしまったり、法律に抵触するようなことがあるかもしれないので注意してくださいね」という発言内容がもとだったため、法と倫理に関する言及が最も多かったように感じている。

OSINTの定義は先に述べた通りであるが、筆者が調べた限りではそこに倫理や法といった概念は介在していない。そのため、OSINTと倫理に関する論点は、「"OSINT"を生成するにあたり、倫理に背く・法を犯すアクティビティというのはそれに含まれるべきではないのではないか」という命題に言い換えることができるのではないかと思う。(もし筆者が趣旨を間違って理解していたならば、申し訳ない。)

この論点に関して、「OSINTは倫理・法に背くアクティビティを含まない」という意見も散見された。しかし筆者の私見を述べるならば、「OSINTを生成するためのアクティビティには倫理・法に背くものも含まれる」というのがOSINTと倫理問題に対する回答になる。筆者の言葉で言い換えるならば、「己がインターネットをさまよって調査・分析した結果生成されたインテリジェンスであれば、それはすべてがOSINTに分類される」というような認識である。これは、上で引用させていただいた _roku_ さんの図が非常に参考になると考えており、筆者のOSINTに関する理解もまさしくこの通りである。OSINTを生成するためのアクティビティを大別すると、ターゲットに対して自らが直接関与した痕跡が残るActiveとそうでないPassiveの2つのタイプがあり、Activeの活動をやりすぎると倫理や法律の問題が絡んでくるという認識である。いくつか領域わけがされていても、ここに含まれるすべてのスコープがOSINTを生成するために必要なアクティビティである。

なお、これはあくまで「OSINTの定義的に倫理・法に背く活動がその生成過程で行われているものもある」というニュアンスで述べたものであって、決して犯罪を教唆するような内容ではないことに留意してほしい。しかしながら、あくまでサイバー空間における情報戦指南のような存在であるOSINTに求められるのは情報の正確性、蓋然性、証拠の確実性(再現性)である。インテリジェンスとしての価値を高めるための行動は倫理・法的に疑問が残ったとしても、最終的に生成されたインテリジェンスに倫理的な問題が絡まないのであれば、それは非常に価値のあるインテリジェンスとして享受している組織が多いのではないだろうか。少なくとも、筆者は倫理的に疑問がある手法は用いられていれど、そこから非人道的な言及をしたインテリジェンスが生成されているレポートは見たことはない。現実に、カンファレンスでの発表や有償インテリジェンスサービスのレポートを見ていても「おそらく法的に問題ある方法でIoCを取得しているな」というモノはちらほら存在する。だが、それに対して皆は生成されたインテリジェンスに感謝をしながら自組織のシグネチャに組み込んでいるのではなかろうか。だとすると、多くの組織は倫理・法的に問題のある活動を暗黙的に了承しているということに他ならない。

先ほどまでは「インテリジェンスと倫理」という観点で論じたが、では視点をもう少しミクロに落とし「OSINTを生成するまでのアクティビティと倫理」という観点からも考えてみよう。法や倫理に抵触しそうなアクティビティに対する言及にはどのようなものがあっただろうか。

A「不正アクセスはするな!」
B「許可なく脆弱性検査をするな!」

なるほど、たしかにアクティビティに対しては倫理・法的に問題があることはやめましょう、と説くことができそうである。(しかし、これはOSINTという文脈ではなく"調査活動"のようなニュアンスで語るほうが正確な気がしてならないが)
では、これらの行為がどのような法律に引っかかる恐れがあるのだろうか。おそらく、『不正アクセス行為の禁止等に関する法律』、通称『不正アクセス禁止法』が該当する。法律の該当部分*3を抜粋すると、以下の文面になると思われる。

不正アクセス行為の禁止等に関する法律
(中略)

第二条
４　この法律において「不正アクセス行為」とは、次の各号のいずれかに該当する行為をいう。
一　アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為（当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。）
(中略)

三　電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為

要約すると「本人の許可なしに認証情報/脆弱性を使って操作をしてはいけない」という内容だろうか。たしかにこれは倫理的にも問題がある行為だし、内容としては妥当な法律であるかもしれない。

では、ちょっと別の事例を考えてみよう。あなたの所属するインテリジェンスチームでは「自組織に関連するサイバー脅威のIoCを収集し、信頼性の高いものをSOCに提供してほしい」というインテリジェンス要求を達成する必要があったとする。アナリストは自組織のネットワーク境界やインターネットから日本に関連するであろうサイバー攻撃関連のIoCを収集し、評価・分析をして継続的にSOCにインテリジェンスを配布することになるだろう。

日本にばらまかれるマルウェアには様々な種類のものがあるが、ここではAgent Teslaという情報摂取型のマルウェアについてとりあげてみよう。
このマルウェアは感染した端末のクレデンシャル情報を収集した後、他の感染者(攻撃者が独自で作成したものの場合もある)から認証情報を盗んでコントロール配下となったメールやFTPサーバに対して認証を行い、盗んだ情報を転送するといった動作をする。
news.sophos.com

例えば、以下の検体は日本のIPアドレスからANY.RUN というオンラインサンドボックスに投稿された、FTPサーバに対して情報を転送するタイプの例である。
app.any.run

ここで一つの疑問が生まれる。『意図的にオンラインサンドボックスにマルウェアをアップロードした結果、他人の認証情報を勝手に使用してアクセスしてしまった場合は不正アクセス禁止法に該当するのだろうか?』と。

。。。筆者が文面を読む限りでは、このようなケースも「不正アクセス禁止法に該当する」のではないかと思われる。いきなり「逮捕！！」という事態にはもちろんならないとは思うが、不正アクセス禁止法は非親告罪である以上、当人や当人を含んだ所属組織に恨みのある第三者によって「あの人、このサービスを使って他人の許可なく認証情報を入力して不正利用しましたよ！！」と告発されてしまったら、当人が貶められるなんてことは十分考えられるだろう。(筆者は法律の専門家ではないため、もしかしたら見当違いのことを話しているかもしれない。そうであったら申し訳ない。)

では検体をアップロードまではしなくとも、インテリジェンスで重要な再現性をとるために、ANY.RUN にある "Restart" ボタンを押してもう一度解析を行い挙動を確認してIoCを整理したとしよう。これは、どうだろうか? 同じく、VirusTotal にある Reanalyze ボタンを押した場合は? 。。。どちらも再度通信は飛んでいくため、アウトな気がしてならない。

「じゃあ細かい操作は一切せずに結果だけ確認すればいいではないか」という話であるかもしれない(そもそも論として、結果を収集するのみで独自で分析をしないという行為はすでにインテリジェンスではないのだが、一旦脇に置いておこう)。では他の誰かがインターネット上に情報を公開するのを待ち、その結果だけを受け取れというのは果たして誠実な行いなのだろうか。これは言い換えれば、「君がやると犯罪になるかもしれないけど、他の誰かがやったものの結果だけを閲覧する分には犯罪じゃないから、誰かがやるのを待ちなさい」という、ただただ実行犯を自分以外の誰かになりすつけるだけの言葉な気がして、筆者は倫理的な問題を抱えているような気がしてならない (筆者の倫理観が狂っているということもあるのかもしれないが)。ここまで疑心暗鬼になるとすべてをローカル環境で分析するしかなくなってしまうのだが、これが「外部のインテリジェンス要求にこたえるための活動のはずなのにそのインテリジェンスの詳細を外に出しにくい」というなんとも不合理な現実を生み出すのである。

これはあくまで一例であるが、そのほかにも権限設定があまいAPI keyや攻撃者が設置したWebshellなど、調査を深ぼりしていくうえで「これってどこまでやったら法で裁かれるんですか?」という場面にはたびたび遭遇する。現実問題、筆者も何度も直面した経験があるため、チームに「これ、やってもええと思いますか?」と議題を投げかけることがたびたびある。そのほかにも、「IPアドレスを入れるとサービスを調査しますが脆弱性検査まではしませんよ」と謡っておきながら、悪性パケットを送り付けているサービスも存在するかもしれない。「hogehoge はしてはならない」と論じるのは容易いが、実際のアクティビティが本当に「hogehoge」を含んでいないことを保証できるかというのは技術に対して深い造詣がなければなしえず、初～中級者にとっては注意喚起をされてもその境界は不明瞭のままであろう。殊更"倫理"に関しては、個人による事象の受け止め方の差が激しく、より一般論的に語ることが困難である。

守破離

今回講演していないけど、OSINTで得られたメールアドレスとパスワードを入れてログイン成功した場合、MITERの偵察にあるNessusなどでの脆弱性スキャンは一部脆弱性を使った攻撃コードが含まれているので成功した場合の2ケースは不正アクセス禁止法にかかります。

— lumin (@lumin) 2023年3月9日

ここまで散々倫理・法について述べてきたが、筆者は善悪問答がしたいわけでも倫理に関する哲学をしたいわけでもない。先で述べたかったことは、「OSINTを生成する以上、その生成過程においていずれ倫理・法的な問題に直面する」ということであり、これに疑問を呈する方は、おそらくそのインテリジェンスがどのようにして生成されてきたかについて無知でいられる人間だけであろう(少々、表現方法がよくない気がするが)。

しかしだからと言って、OSINTについて紹介や研修をする人間・組織が「OSINTは倫理や法の問題が付き物だから、ライン見極めながらどんどん調査をしていこうね」なんてことを無責任に唱えることはまずできない。特に不正アクセス禁止法もアウトの境界線が明瞭でない以上、日本では一歩道を外れたら違法になるようなOSINTという存在は、一般論的には制約をかけた状態で紹介せざるを得ないだろう。筆者もOSINTに関する研修を作成したことがあるが、外部の人間にも話す以上不幸があってはいけないと思い、ツールやサービスの紹介では注意事項を執拗に記述していた。このような背景が、「OSINTは倫理・法に背くアクティビティを含んではならない」と考えている人の多くにあるのかもしれない。ある意味、日本における"守"的なOSINTの考え方である。

しかしながら、組織・消費者のインテリジェンス要求に対して少しでも価値の高い答えを返そうとすると、"守"のみの考え方は厄介な"限界"として立ちはだかってくる。このあたりの課題感が、ちらほら見られた「倫理・法の遵守は無理がある」という"破", "離"側にいるアナリストの考えなのではないかと思われる。この課題に遭遇した場合、個人の判断で調査を継続するにはリスクが大きすぎるので「ここまでは調査しましたがここから先は法的にグレーゾーンになります。しかし、深ぼりすればより価値の高いインテリジェンスになると思うのですが調査を継続しますか?」といった具合で組織側の意思決定に委ねてもらうのが最善手になるのではないだろうか。情報処理安全確保支援士などの資格もこのあたりの倫理を縛ってくる一方で、活動の幅を広げてくれるような特権は何一つ与えてくれない。保守的な組織では活動が非常に制限されてしまっているため、真面目に取り組んでいるアナリストほど守的なOSINTに対する限界に嘆いているのではないかと思われる。

なお、本記事も「これがOSINTなんだ!!」といった"守"寄りの内容ではなく、"破"に向かっている捻くれた人間が書いているものである。一般論ではなく、話半分で見てもらうほうがよいだろう。

なぜOSINTの解釈がここまで広いのか、に対する一考察

それが虚無ならば虚無自身がこのとほりで
ある程度まではみんなに共通いたします
（すべてがわたくしの中のみんなであるやうに
　みんなのおのおののなかのすべてですから）

• • • • • 『春と修羅』: 序 (宮沢 賢治)

まず、どうしてOSINTという言葉にはこんなにも解釈に違いがあるのか、筆者なりにいくつか仮説を立ててみた。

• そもそも "Intelligence" という言葉の認識が多くの人に誤解されている。
• 『公開情報』から調査したことを、広義的な意味で"OSINT"と紹介している人・記事がある
• ネタ的なコンテキストで使われた"OSINT"がそのまま公的な場面で使われる

どれも当たらずとも遠からずな仮説だが、筆者の考えでは"OSINT"という言葉を使う人が増えたことが影響として大きいのではないかと考えている。少々乱暴な表現をするならば、『専門用語の認知度があがりすぎて非専門家がこのワードを多用することになった』ことが現在の事態に拍車をかけているのかもしれない。OSINTという言葉が少々キャッチーな言葉なので、使用することによって検索に引っかかりやすかったりすることもあるのだろう。『Joint Publication 2-0: Joint Intelligence』の冒頭だけを切り取って解説したようなWeb記事を見て、「公開情報をいい感じに使ってもっと価値のある何かにすればそれがインテリジェンスなのか!」といった少々異なる理解をしてしまった方もいるのかもしれない。

それとは別に、「OSINTで特定しましたw」のようなちょっとしたネットミームチックな表現を見て、「これもOSINTって言うんやな」と解釈をした人もいるのだろう。様々な理由が考えられるが、OSINT という言葉が様々なコンテキストで使われるようになった真髄には、その汎用性の高さが背景にあるのではないかと筆者は考えている。「公開情報を使っていい感じに何かしました」というふわっとしたニュアンスで、技術的に詳しくない相手に対してもそのイメージを伝える言葉として優秀なのだ。「〇〇というWebサイトで△△について調べて、発見した××をまた別のツールで...」なんてことをわざわざ言わなくても、「OSINTした」というだけで「あーなんかいい感じに調べたら見つかったんだろうなー」と相手が解釈してくれれば、それでコミュニケーション自体は成立するのである。本来の"OSINT"の意味からは乱れが生じていても、"ある程度まではみんなに共通"するイメージによって相手が都合のいいように解釈してくれる。そのような魔力が、このOSINTという言葉に備わっているのかもしれない。

その一方で、ある一定数の人間にとってOSINTという言葉は "みんなに共通" するイメージから逸脱してしまっている、というのが今回の騒動によって明るみになったことだろう。現に、元来の言葉の意味から大きく外れたものも「OSINT」の派生として解釈されているため、専門家にとってはコンテキストをきちんと把握しなければそれが自分が普段扱っているOSINTなのかを判断できない状況に陥っている。同じような騒動を繰り返さないためにも、「我々はOSINTという単語をどう扱っていくべきか」ということを今一度考え直す必要があるのかもしれない。

我々はOSINTをどう扱うべきか

定義も曖昧で共通認識が形成されていない言葉なんだったらいっそのこと使わないほうがいいと思うんですよね。「OSINT」って言葉がまさにそれ。

— 辻 伸弘 (nobuhiro tsuji) (@ntsuji) 2023年3月9日

筆者が考える "OSINT" という単語を使用する上で留意すべき事項は次の二点である。

1. 単語の共通認識が確立されている組織内でのみ使用すること
2. そもそもの使用を避けること

しかしながら、どちらの事項についてもこの記事を読んでいる人よりもOSINTという単語を雰囲気で使い続けている人に宛てているので、果たして本記事で言及することで現状が改善されるかというとそれは定かではない。もし上記を逸脱しているような使い方を確認した場合、ぜひあなたが警察として動いていただきたい。

まず一つは、OSINTというワーディングの使用に際して、それ含む専門用語の共通認識が確立されている組織でのみ持ち出すべきという点である。もっともインテリジェンスに携わる業務をしていれば、OSINTに限らずそれにかかわる専門用語は山のように出てくるわけであるが、解釈がブレる最たる例が推定確率言語といった信頼水準を表現するワーディングだろう。推定確率言語はインテリジェンスの信頼性を表現するうえで必要不可欠であるが、これに世界標準的なものは存在せず、どのようなワードで信頼性を表現しても間違いではない。しかし、使用するワードの認識が統一されていなければその信頼性の評価は真価を発揮しないのは明らかである。
en.wikipedia.org

そのため、インテリジェンスチームに所属するアナリストは「蓋然性が極めて高い」や「蓋然性が非常に高い」といった言葉を雰囲気で使い分けているわけではない。「信頼性が99.9%なら"極めて高い"を、80%以上程度ならば"非常に高い"を使用します」という取り決めを組織に認識させたうえで、チームのアナリストにもこの意味での使用を統一させているのである。

筆者が所属するインテリジェンスチームの場合、内部で使用される専門用語は『脅威インテリジェンスの教科書』にほぼ統一されており、意思決定者に語彙の詳細な意味を問われた場合は「教科書のP.〇にあるこの定義に沿っています」と返すことができるようにしている。インテリジェンスサービスによっては「弊サービスは以下のような確証度に基づいて推定確率単語を使用しています」といった共通認識をすり合わせるためのページを用意してくれているものも存在するだろう。
gihyo.jp

これは極端な例であるが、それでもインテリジェンスというものは用語集の準備や意思決定者とのコミュニケーションなどを組織的に取り決めて推進していかなければ、その共通認識をすり合わせること自体が困難なのである。もしかしたら組織内部でのコミュニケーションを円滑にするために、ある組織では一般とは少し異なる意味合いで解釈を統一している単語というのも存在するかもしれない。そのため、第三者同士がいきなり対面して「OSINTが~」なんて話をしても、最悪の場合「全く学習をしていないけれども専門用語を雰囲気で使っている」というケースも存在する以上、本人の意図通りに相手に内容が伝わるかはかなり怪しい。
ちなみに、筆者は「インテリジェンス業務やってます」と言った流れで「業務の一環で"OSINT"もやってますよ」と言った結果、対話相手に「ダークウェブを監視している人」として認識されたことがある。面倒なので訂正はしなかったが、おそらくその組織におけるOSINT業務というのは、ダークウェブをモニタリング・分析して得られたインテリジェンスが主となって回っているのだろう。その組織においてそれが"OSINT"だと定義されているとしても、筆者はそれが間違っているとは思わない。しかしながら、"OSINT"という言葉に対する理解と認識はその人の生活圏によって大きく異っているおそれがあり、例え自分が正しく言葉を使用していたとしても、異文化同士のコミュニケーションになりうるということは念頭に置く必要はあった。皆も筆者のような誤解を生まないためにも、共通認識が確立された同じ文化圏でのみ、インテリジェンスにかかわる用語を使っていただいたほうが賢明である。

そしてもう一つ、これを言うと元も子もないのかもしれないが、OSINTという単語をそもそも使用しないように心がけるということだ。よくよく思い返してみると、筆者はインテリジェンスチームに所属してからかれこれ1年半になるが、業務中に"OSINT"という単語が飛び交っていたことはおそらく1度か2度くらいしかない。アナリストは「〇〇について△△で分析した結果と、それに対する考察です」といった具合で非常に正確な言葉を使用するし、分析を終えたアナリストも「これ、ほんとうにインテリジェンスだったんかな～」という感想を漏らすことさえある。最終的に意思決定者にレポーティングする際は「OSINT」といった体裁を整えた文面を使用するが、フィードバックを終えていない段階で"インテリジェンス"という単語を土俵に出すのは、アナリスト側にとっても勇気のいる行動ではないかと思う。そういった背景があってか、筆者も"OSINT"という単語を持ち出すことは滅多にない。本年筆者がJSACに持ち出した講演のタイトルは「Investigation for Continuous Cyberespionage Based on Open Source (公開情報を基にした標的型攻撃の調査)」であって、情報収集とその分析手法について述べられてはいるが、果たしてインテリジェンスの定義を満たしているかというとそれは要議論であったため、そこに "OSINT" という文面は存在していないのである。*4(内部資料でも使用していない)

忘れてはいけないことだが、OSINTはれっきとした専門用語である。その道に詳しくない人に対して、そうやすやすと濫用すべき言葉ではない。「If all you have is a hammer, Everything looks like a nail (ハンマーしか持っていなければ、すべてが釘に見える)」 なんていう諺にあるとおり、人間は道具を手にすればなるべくそれを使ってみたくなるし、新しい言葉を覚えた日にはなるべくその言葉に当てはめてみたくなるものである。あなたがOSINTという言葉のハンマーを手にしているとき、「打とうとしているモノは果たして本当に釘なのだろうか」という思考は頭の片隅においておくべきだろう。特に、インテリジェンスを生成するための単発のアクティビティをOSINTと表現しているものについては、そっくりそのまま短い日本語で表現できるものが非常に多いのは事実である。「Googleで〇〇と画像検索して見つけた」, 「Shodanで〇〇というクエリで検索した」, 「URLhaus から〇〇にかかわるIoCの一覧を取得した」などである。こちらのほうが理解しやすいし、OSINT警察に突っ込まれることもなくなるだろう。特に公的な場ではさらなる乱れを生まないためにも、正確な単語をチョイスすることを推奨したい。

最後に、筆者は決して「OSINTという単語を俺の前で使うな」と主張したいわけではないことを補足しておく。筆者が伝えたいのは「OSINTというのはあくまで一般人が直感的に理解することが難しい"専門用語"であることを忘れてはいけない」ということであり、インテリジェンスアナリストやベンダーを咎める意図は全くない。
筆者も、『直近1か月分の、公開情報をもとに調査した敵対国に関する国際情勢とサイバー空間上での動向分析、および自社の対応にかかわる提言書です』と言われたら「なんのこと??」と頭にクエスチョンマークが浮かぶが、『Monthly OSINT Report』と言われれば「あーね」といった心持ちで文書に目を通すことができる。話し手と聞き手に用語への共通理解があれば、まどろっこしい言い回しをいい感じに表現できる便利な単語であることは揺るぎない事実である。