SIGINT(シギント/Signals Intelligence)とは、電子通信や電子信号といった「信号情報」を収集・解析する諜報活動の一種です。本来は国家の安全保障の文脈で語られる専門的な活動でしたが、近年では、企業のサイバーセキュリティを強化する上で非常に重要な考え方の一つとして、注目を集めています。
なお、本稿における諜報活動とは、国家の安全保障や国益を守ることを目的として、他国の政府や組織の情報を秘密裏に収集・分析する一連の活動を指します。
諜報活動におけるSIGINTの位置付け
冒頭で、SIGINTとは「電子通信や電子信号といった『信号情報』を対象とする諜報活動の一種」とお伝えしました。ここでは、諜報活動におけるSIGINTの位置付けを見ていきます。
【表1】SIGINTとその他の諜報活動の比較
| 諜報活動 | 情報源 | 情報収集手段 |
|---|---|---|
| SIGINT (Signals Intelligence) | 通信情報や電子情報などの信号情報 | 公開・秘匿された電子通信や信号の傍受・解析 |
| OSINT (Open-Source Intelligence) | テレビ、新聞、雑誌などの公開されている情報 | 公然と入手できる情報の収集・解析(傍受は含まない) |
| HUMINT (Human Intelligence) | 人間(スパイ、協力者など) | 直接接触や人間関係を通じた情報収集 |
米国国家情報長官室(ODNI - Office of the Director of National Intelligence)「What is Intelligence?」および関連文書を基にニュートン・コンサルティングが作成
この表からわかる通り、SIGINTは、公開・非公開にかかわらず電子通信や電波などの「信号」を情報源とする点で、公開情報を分析するOSINTや、人を介するHUMINTとはその性質が大きく異なります。
SIGINTの情報源である「信号情報」とは
では、SIGINTの情報源である「信号情報」について見ていきます。
ここでいう「信号情報」とは、通信システムを介して交わされる人の会話から兵器が発する電子信号、さらには、兵器の開発に関するテレメトリ信号までを指すと考えられています。
具体的には、米国の国家安全保障局(NSA)や国防総省(DoD)などによると、SIGINTの対象となる信号情報は、主に以下の3つに分類されます。
【表2】SIGINTの対象となる信号情報
| 情報 | 概要 |
|---|---|
| COMINT (Communications Intelligence) |
電話、メール、チャット、無線通信など、人間の音声や文字による通信内容 |
| ELINT (Electronic Intelligence) |
レーダー、ミサイル誘導システム、電子兵器など、通信以外の電子放射。主に兵器システムの特性や位置特定を目的とする |
| FISINT (Foreign Instrumentation Signals Intelligence) |
兵器のテストや開発に関するテレメトリ(遠隔測定)信号など、計器から発せられる情報 |
米国国家安全保障局(NSA)、米国防総省(DoD)、および米国中央情報局(CIA)が公開している用語集などの公式文書を基にニュートン・コンサルティングが作成
SIGINTがサイバーセキュリティ強化の一つとして注目される理由
SIGINTが企業のサイバーセキュリティで注目される理由は、企業に対する攻撃が巧妙化し、従来の「境界型防御」では脅威を防ぎきれなくなったことにあります。もはや侵入を100%防ぐことは不可能であり、「侵入されること」を前提とした対策が求められています。
ここでいう「侵入されること」を前提とした対策の一つが、ネットワーク上の通信やログといった無数の「信号」を監視・分析し、脅威を発見するSIGINTのアプローチです。SIGINTを通じて攻撃の“兆候”を早期に検知するという手法が、近年より注目を集めているのです。
企業におけるSIGINTの実践
サイバーセキュリティを強化するためには、SIGINTをどのように取り入れれば良いのでしょうか。実際には、次のような手法が用いられています。
ネットワーク通信の監視と分析
社内ネットワークやクラウドの通信を常時監視し、異常な「信号」を検知します。これは、マルウェアの侵入や内部不正による情報流出の兆候を掴むことを目的としたものです。攻撃の初期段階で脅威を発見し、被害を未然に防ぐ、あるいは最小化できるメリットがあります。
各種ログの統合分析(SIEMの活用)
サーバーやPCなど多様な機器のログを一元的に集約し、相関分析を行います。個々のログだけでは見えない、複数の機器にまたがる巧妙な攻撃の全体像を可視化することを目的としています。攻撃の全貌を正確に把握し、迅速かつ的確なインシデント対応を可能にするメリットがあります。
ここまで、SIGINTが諜報活動の一種であり、現在はその考え方が企業のサイバーセキュリティに活用されてきていることや、具体的な手法について見てきましたが、活用においては留意しなくてはいけない点があります。それは、あくまでも法律で定められた範囲で実施することです。
企業がSIGINTの考え方を活用する際は、国家機関の活動とは異なり、自社の管理下にあるネットワークやシステム内の「信号」の監視・分析に限定する、という大前提があります。当然、電気通信事業法や電波法の遵守、個人情報保護法におけるプライバシー保護を徹底しなくてはなりません。
