情報収集の手法として古くからある「HUMINT(ヒューミント)」は本来、国家安全保障等の専門領域で使われる言葉ですが、最近ではサイバーセキュリティ分野での脅威インテリジェンスにかかる情報収集手段としても耳にする言葉となりました。本稿では、その他の情報収集活動(OSINT、SIGINT、IMINT )との違いを踏まえたHUMINTの特徴と活用方法について解説します。
HUMINTとは
HUMINTとはヒューマン・インテリジェンス(Human Intelligence)の略称です。情報収集手段の一種で、主に人間を情報源として情報を収集する手法を指し、諜報活動においては古くから使われている手法となります。昨今ではサイバーセキュリティ、特に脅威インテリジェンスの領域においてもこの手法が活用されています。
HUMINTの特徴
他の情報収集活動との比較を通じてHUMINTの特徴を見ていきます。
表1 情報収集活動の例と、その情報源
| 情報収集活動の例 | 情報源 |
|---|---|
| HUMINT | 人間との直接的なやりとり |
| SIGINT | 公開・秘匿された通信や信号 |
| OSINT | 一般に公開され、利用可能な情報 |
| IMINT | 衛星などの画像 |
上表の通り、HUMINTの特徴は「人間を情報源とし、直接のやりとりを通じて情報を収集」する点にあります。例えば、情報が口頭で伝達される場合や非公開の文書が紙媒体で授受される場合など、通信の傍受が困難な場面においてHUMINTが活用されることとなります。
具体例として 、スパイ活動や捕虜・難民からの情報収集が挙げられます。例えばスパイ活動では、訓練された諜報員が特定の組織や人物に接近し、通常入手することが困難な情報を収集します。また、捕虜・難民などを通して情報を収集することで、人員を送り込むことの難しい場合においても他国の状況を知ることに繋がります。こうした手法により、SIGINTやOSINTでは得られない情報を収集することが可能となります。
サイバーセキュリティにおけるHUMINTの活用
近年、HUMINTはサイバーセキュリティの分野においても注目されています。脅威インテリジェンスの情報収集手段としてHUMINTの手法も使用されているからです。実際に、独立行政法人情報処理推進機構(IPA)が公開する「脅威インテリジェンス導入・運用ガイドライン」(以下、ガイドライン)では、脅威インテリジェンスのライフサイクルにおけるHUMINTの活用について言及されています。
まず、脅威インテリジェンスとは、サイバーセキュリティにおける脅威アクターに関する情報を収集、分析して攻撃の検知や防御のために利用できるようにした情報および組織のセキュリティ対応における意思決定のライフサイクルを指します。脅威インテリジェンスを活用することで、セキュリティ対策に優先順位を付けることや脅威の動向に合わせたタイムリーな対応が可能となります。限られたリソースの中では、セキュリティ対応の優先順位を明確にし、緊急性が高いものから対処してサイバー攻撃による被害を低減させることが求められます。
脅威インテリジェンスのライフサイクルは、
- (1)方針策定
- (2)収集・加工
- (3)分析
- (4)配布
- (5)評価
の5つで構成され、HUMINTは「(2)収集・加工」フェーズで活用されます。HUMINTにおいては、組織内部からの通報や脅威インテリジェンスベンダーからの情報、クローズドコミュニティ(ダークウェブ、Telegramなど)から収集された攻撃手法に関するもの、業界団体において参加メンバーのみが共有できる内部情報などが対象となります。なお、ガイドラインでは、 「(2)収集・加工」フェーズにおけるHUMINTの情報源として以下の3つが例示されています。
表2 サイバーセキュリティにおけるHUMINTの手法
| 情報源 | 具体例 |
|---|---|
| 特定業界や組織への早期警戒情報 | 一般社団法人 JPCERT/CCによる「早期警戒情報」 |
| 業界団体コミュニティによる情報共有 | 各ISACによるセキュリティに関する情報共有 |
| 脅威インテリジェンスベンダーによるダークウェブモニタリングサービス | アンダーグラウンドフォーラムでやり取りされる情報のモニタリングサービス |
出典:情報処理推進機構「脅威インテリジェンス導入・運用ガイドライン」
これらの情報源を活用し、脅威インテリジェンスの収集・加工フェーズにHUMINTを組み込むことで、得られた脅威情報を基に限られたリソースの中でも効果的なセキュリティ対応を実現することができます。
