この記事は、 NTT Communications Advent Calendar 2024 の記事です。
この記事では、OSINT(Open Source Intelligence)の基本的な考え方と、分析の際に重要となる認知バイアスへの対処方法について解説していきます。
また、実際の分析で使われる競合仮説分析(ACH: Analysis of Competing Hypotheses)という手法についても紹介します。
こんにちは。イノベーションセンターの竹﨑(@z4ck_key)です。普段はNetwork Analytics for Security PJ1(通称NA4Sec)というチームで脅威インテリジェンスの分析業務を行っています。
この記事では、脅威インテリジェンス業務のみならず使えるOSINT(Open Source Intelligence)の基本的な考え方と、分析の際に重要となる認知バイアスへの対処方法について解説していきます。
また、実際の分析で使われる競合仮説分析(ACH: Analysis of Competing Hypotheses)という手法についても紹介します。
はじめに
OSINTとは
OSINTとは、Open Source INTelligenceの略で、一般に公開されている情報を収集し、アナリストが分析することで生まれる成果物や一連のプロセスを指す専門用語です。
インターネット上のウェブサイト、ソーシャルメディア、公的文書など、誰でもアクセス可能な情報源を活用して、必要な情報を体系的に収集・分析します。
これは元を辿ると軍事情報機関で使用されていた手法でしたが、現在ではビジネスインテリジェンスや脅威分析など、さまざまな分野で活用されています。
Intelligenceとは
日本語で「情報」と訳されがちな言葉に、Data, Information, Intelligenceがありますが、この3つはそれぞれ指し示す意味が微妙に異なります。
Data
ただそこにあるだけの値。
e.g.) 「ある組織のウェブサイトのアクセス数が1日1000件」という数値。Information
dataから読み取れる事象。
e.g.) 先月と比べてアクセス数が30%増加している。Intelligence
分析や解釈を経て意思決定に活用できる形へ加工された知見。
e.g.) 競合他社の新製品発表に伴う市場の関心の高まりがアクセス数増加の要因として考えられ、今後の対策が必要。
このように、Intelligenceは生のデータや情報を分析・解釈し、実際のアクションにつなげられる形(これをActionableと言ったりします)に昇華させたものと言えます。
OSINTは前述の通りOpen Source INTelligenceなので、ただ情報を集めるだけではなくIntelligenceに整形して集めた情報をActionableにする必要があります。
本記事の目的
最近、OSINTという単語がセキュリティを業務にしている人やCTFに参加している人、およびその人達のSNSなどでよく見られるようになっています。
それ自体は喜ばしい一方で、OSINTにおける分析プロセスやマインドセットが触れられず具体的な方法論ばかりが注目されがちだと感じます。
本記事では、OSINTを実施する上で大切なマインドセットや、
分析の際問題になりがちな認知バイアスへの付き合い方について言及します。
それ故に、この記事内で具体的な情報取得のHow toは触れません。ご承知おきください。
OSINTを成功させるためのマインドセット
OSINTの特徴
OSINTは前述の通り公開されている情報を収集することが分析の起点です。
それ故に、情報源には多様性があり、質のばらつきも存在することが前提となります。
取得できた情報全てが正しいと確信を持てることは少ないということです。
このような特徴を踏まえ、OSINTを効果的に実施するためには、分析者の主観や偏見を排除し、客観的な視点を維持することが極めて重要です。
そのため、以下のようなマインドセットを持つことが必要不可欠です。
マインドセットの基本原則
- 先入観を持たないこと
- 収集時に自分の仮説を押し付けない
- 異なる視点や情報に対してオープンな姿勢を保つ
- 情報の信憑性を常に疑うこと
- 取得した情報が全て正しいと思い込まない
- 情報源の信頼性を評価するための基準を持つ
これらの原則を意識することで、予想外の情報を発見したり、偽誤情報や古い情報に直面した際にも、冷静に対応できる可能性が高まります。
しかし、どれだけ先入観を排除し、情報の信憑性を疑うことを意識しても、私たちの思考には無意識の偏りが存在します。
次に、その偏りを引き起こす「認知バイアス」とは何かについて見ていきましょう。
認知バイアスとは
認知バイアスとは、人間の思考や判断に影響を与える心理的な傾向や偏りのことを指します。
これは私たちの脳が情報処理を効率化しようとする過程で自然に生じる現象であり、特にOSINTのような情報分析において大きな課題となります。
分析者は自身の認知バイアスを理解し、それを意識的に制御することが重要です。
OSINTにおける認知バイアスのよくある例
情報を収集している中で、よく直面しがちな認知バイアスの例について、いくつか紹介します。
例1:確証バイアス
自分の仮説に合致する情報だけを集めてしまうバイアスのこと。
例えば、「調査中のAPTは中国のグループだ」という仮説を立てた場合、その仮説を裏付ける情報ばかりを重視し、反証となりうる情報を無意識的に無視してしまったりするのがこの例。
例2:アンカリング効果
最初に得た情報がその後の分析に過度に影響を与える心理現象のこと。 人間の脳は新しい情報を処理する際、既知の情報を基準点として利用する傾向を持つため、これが原因とされている。
認知バイアスを放置するリスク
これらの認知バイアスを放置して分析を進めることは、インテリジェンスの正確性が信用できなくなり、誤解にもとづく意思決定の可能性が生まれてしまうことにつながります。
自分がより主張したい情報だけを集めたり、都合のいいように情報を解釈して意思決定してしまう経験は皆さんにもあることでしょう。
OSINTは分析した結果をもとに次のアクションに繋げるためのものなので、誤解にもとづく意思決定をするということは意思決定者にとって喜ばしくない結果を引き起こすことになります。
認知バイアスを取り除くための手法:競合仮説分析
前述した認知バイアスの影響をなるべく最小限に抑え、複数の可能性を体系的に評価するためのメソッドとして、競合仮説分析 (ACH: Analysis of Competing Hypotheses) が存在します。
本節では、競合仮説分析の概要とその手法について説明します。
競合仮説分析の基本概要
競合仮説分析は諜報機関で使われていた手法であり、アメリカ国防総省の情報機関CIAの情報分析官リチャーズ・J・ホイヤーによって広く啓蒙されました。その時の書籍はCIAによって一般に公開されているので、興味があればぜひ見てみてください。
この手法の最大の特徴は、仮説を1つずつ検討するのではなく、複数の仮説を同時に評価するプロセスを採用している点です。
単一の結論に急いで飛びつくのではなくあらゆる可能性を慎重に検討することで、認知バイアスを除去し特定の仮説へ偏った結論に至るリスクを軽減します。
分析官は自身の直感や先入観に頼るのではなく、証拠に基づいて各仮説を公平に評価することが求められます。
筆者の周辺では、脅威インテリジェンス (CTI: Cyber Threat Intelligence) を生成する目的で行う分析において、実際に使用されることも多いです。
手法のステップ
競合仮説分析は以下のプロセスに分割して定義されています。
- 仮説列挙
可能性のある仮説をできるだけ多く列挙します。 仮説の列挙は個人で実施するとこの時点でバイアスに呑まれてしまう可能性が存在するので、本来は色々な人の意見を募って実施するべきとされています。
現代においては生成AIの助けを借りることで、個人であっても比較的幅広い仮説を列挙できるでしょう。 - 証拠集め
各仮説を裏付けたり反証したりするための証拠を収集します。
OSINT文脈においては公開情報から証拠を収集しますが、インテリジェンス分析の際にはOSINTに限らず他の情報源も活用して情報を収集できるとより望ましいでしょう。 比較
仮説列挙フェーズで列挙したそれぞれの仮説に対して、証拠集めフェーズで収集した証拠がどのように寄与するかをマトリックスにして分析します。今回は、過去に自分が作成したマトリックスを例に挙げます。
作成したマトリックスは以下のようになり、この作業でどの証拠がどの仮説に寄与するかの関係性が可視化されます。
この例では、+
:仮説を支持する、-
:仮説を反証する、0
:どちらでもない、という表記で仮説を評価しています。再評価
比較フェーズで一旦評価したマトリックスを、以下を実施して改良します。- 精査の結果、新しい仮説や証拠があれば追加。
- 裏付ける証拠がない仮説を削除。
これにより、関連性の薄いと判断できる仮説の棄却と不足している証拠を他の仮説への寄与度込みで評価できます。
- 仮説選定
再評価フェーズで絞り込まれた仮説の中から、最も多くの証拠によって支持される仮説を選定します。 反証可能性の検証
このフェーズが競合仮説分析の考え方においては重要なフェーズになります。
仮説選定のフェーズで絞り込んだ仮説に対して、それぞれの仮説がどの程度特定の証拠に依存するかを以下の観点で確認します。- 主要な仮説は 1つか少数の証拠に依存しているか
- 重要な証拠が正確だという確信度はどの程度あるか
- 証拠は時間の経過とともに変化する可能性がある事象か。変化する場合は仮説にどのような影響を与えるか。
このフェーズを踏むことにより、分析の段階で混入した主観的なバイアスを取り除くきっかけが生まれます。
レポーティング
最終的に意思決定者にこれらの分析結果を報告する必要があるので、レポーティングをする必要があります。
この時に注意すべきことは、主となる仮説を裏付けに使用した証拠とともに提示し、それを推定的な表現を用いて報告することです(あくまでもこの分析結果はfactではなく、一番確からしい仮説なため)。最後に評価を補強するために検討した他の仮説や分析過程も提示することで、意思決定者が結論の背後にある理由を理解できるようになります。
まとめ
OSINTを成功させるためには、単に情報を収集するだけでは不十分です。次のアクションに繋がる形で情報を加工し、価値あるIntelligenceに昇華させる必要があります。
そのプロセスの中で重要なのは、分析者自身が持つ認知バイアスを理解し、それを可能な限り排除することです。認知バイアスが混入した分析は、誤った結論を導き、意思決定を誤らせるリスクを孕んでいます。
本記事で紹介した競合仮説分析(ACH)は、認知バイアスを克服し、客観性を高めるための有効な手法です。この手法を用いることで、複数の仮説を公平に評価し、最も支持される仮説を導き出すプロセスが体系化されます。
OSINTは、日々変化する複雑な情報環境の中で、情報を正しく理解し真偽を見分ける為に、専門家だけでは無く個々人にとってもますます重要なスキルとなってくるでしょう。
本記事を通じて、OSINTの実践における心構えや具体的な手法について理解を深めていただけたなら幸いです。
最後に、OSINTは「情報の力」を活用するためのツールです。適切なマインドセットを持ち、分析の質を高める努力を惜しまないことで、その力を最大限に引き出すことができるでしょう。
というわけで、 NTT Communications Advent Calendar 2024 5日目の記事でした。
明日もお楽しみに。
- NA4Secプロジェクトについては、このブログの記事 サイバー脅威インテリジェンス(CTI)配信はじめました をご覧ください。↩