状況認識とは?インテリジェンスチームのための速習講座 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 状況認識とは?インテリジェンスチームのための速習講座

Threat Report

ATAK

Cyber Intelligence

Flashpoint

状況認識とは?インテリジェンスチームのための速習講座

Yoshida

Yoshida

2024.12.02

*本記事は、弊社マキナレコードが提携する米Flashpoint社のブログ記事(2020年10月24日付)を翻訳したものです。

「状況認識」とは?

「状況認識(Situational Awareness)」は脅威インテリジェンスにおける重要な基礎です。自分は今どこにいて、今後どこにいる予定なのか、また周囲にリスクとなり得る人物や物は存在するのか。そういった観点から、身の周りで起こっていることを把握する必要があります。

これまで蓄積されてきた知識、経験、教育のおかげで、私たちは自分の周りで何が起こっているのかを理解し、周囲の状況が安全かどうかを判断することができます。これはあらゆる組織の置かれた状況がそれぞれ固有のものであり、大きく異なる可能性があることを意味しています。私たちはみな、自分の立場を踏まえた状況認識を経て意思決定を行っているのです。状況認識の基本要素について理解するために、セキュリティチームはSLAM法を使うといいでしょう。

  • 行動する前に立ち止まってSTOP)考える。
  • 自身の状況をよく観察LOOK)する。
  • その状況を分析/評価ANALYZE / ASSESS)する。
  • 自分がいる環境をマネジメントMANAGE)する。

セキュリティ/インテリジェンスの文脈における「状況認識」とは?

状況認識の定義は、文脈によってわずかに異なる場合があります。

米国陸軍のフィールドマニュアルは、「状況認識」を「現在の状況に関する知識や認識のことで、意思決定を円滑に行うため、戦場における味方、敵、その他の作戦について、的確かつ正確で適時な評価を促すもの」と定義しています。

一方、国土安全保障法では「さまざまなソースから集められる情報のことで、危機管理関連の担当者や意思決定者に伝えられた際、インシデント管理に関する意思決定の基礎となり得るもの」と定義されています。

軍事的な文脈における「認識」という概念は、効果的な意思決定に必要な背景や洞察、展望を提供するため、ある特定のシチュエーションに関する知見や解釈を指します。ここでの「状況認識」とはさまざまなソースから情報を集め、何が起こっているのかを認識することであって、必ずしもその出来事が起きた理由を把握することではありません。自らの状況を知り、それを分析することによって、その問題についてより深い洞察をもたらす「認識」が生み出され、それが物事を前に進める方法を決めるための判断材料となるのです。

状況認識の概念図

「今日のオペレーティング環境(COE)をより広く、より効果的に理解するための要件は、優れた情報収集能力があるかどうか、そして指導者が意思決定のために、適切なタイミングで正しい情報を入手できるようになっているかどうかによって左右される」 – CDR TRISTAN LOVERING ME, ROYAL NAVY INTELLIGENCE SECTION HEAD JOINT WARFARE CENTRE

「状況認識」を達成し、維持するためにこれまで使われてきた手段としては、陸上移動無線や紙の地図、固定電話、Eメール、携帯電話、衛星電話、モバイルデータ(低速のワイヤレスデータなど)、事件や部隊の状況に関する情報のコンピューターを使った発信、危機管理システム(E-Team、WebEOCなど)、交通監視カメラ、アマチュア無線(HAM)、拡張911、リバース911、携帯電話へのテキストメッセージによる緊急通知、緊急車両の位置情報を確認するための全地球測位システム(GPS)、地理情報の可視化を目的とした地理情報システム(GIS)、フロントガラスの損傷評価、従来型メディア(テレビ、ラジオなど)があります。

一方、このデジタル時代においてリアルタイムで現状を把握し、先手を打った対応を行うために不可欠となったのが、ソーシャルメディアの情報です。

  • 規制の少ないソーシャルネットワークや、ちゃんねる系の掲示板、オルトテックは、主流のソーシャルメディアよりもコンテンツポリシーが緩やかです。セキュリティオペレーションセンター(SOC)および緊急オペレーションセンター(EOC)はこういったサイトを使うことで、銃乱射事件やテロ攻撃などの重大なイベントにつながる可能性のある声明や計画を早い段階で知ることができます。

ペーストサイトやダークウェブでは、データ侵害に関する初期段階の兆候を確認することができ、インシデントを管理するサイバーセキュリティ部門を支援する上で役に立ちます。また「ドキシング」のような情報をリークする行為も、重要人物に実害が及んでいることを示唆している場合があります。

「アナリストは歴史家のような几帳面さで情報を吸収し、司書のような技巧で情報を整理し、ジャーナリストのような情熱で情報を広めなければならない。また、オープンソースかつソーシャルメディアから発信される情報が、分析作業の生命線であることを受け入れなければならない。さらに、情報を交換する意思のある者ならば、誰にでもその機会を与えなければならない。」 – MAJOR GENERAL MICHAEL T. FLYNN

状況認識がセキュリティやインテリジェンスにおいて重要な理由

危険が予想される状況において「状況認識」とは、周囲の状況を確認して何が起こり、何が起こらないのかを予測する能力であり、生死を分ける、あるいは作戦の成功と失敗を分けるような知識を指します。

ほとんどの犯罪やテロ攻撃は、「不意をつく」という要素に大きく依存しています。犯罪およびテロ組織は不意打ちの要素を失うと、多くの場合で計画していた行動を断念します。状況認識は、犯罪者やテロリストが用いるこの不意打ちの機会/要素を最小限に抑えてくれる、シンプルでありながら実効性のある技能なのです。

ソーシャルメディアを通じて公衆との接点を持ち続けることで、組織は特定の情報に「耳を傾け」たり、世の人々の状況認識を継続的に観察したりすることができます。また従来使われていたデータと組み合わせれば、ソーシャルメディアは意思決定者がリアルタイムで状況認識を達成・維持する上で役に立つことがあります。現に、米国の海軍大学院が実施した調査により、ソーシャルメディアの情報は従来の世論調査と組み合わせて用いることで、分析にプラスの効果をもたらすことが明らかになりました。この調査では、インテリジェンスのアナリストは運用評価をサポートすべくソーシャルメディア分析を実施し、その結果を世論調査と組み合わせるべきだと結論づけられています。

SNSの情報が状況認識を高めるシナリオ

国家の安全が脅かされたり、物理セキュリティに関係するインシデントが起きたりした場合、政府や組織は適切な情報に基づいた意思決定をタイムリーに行わなければなりません。それが自然災害であれ公衆衛生上の危機であれ、あるいはテロ攻撃であれ、インテリジェンスチームはその危機がどこでどのように発生しているのか、そしてその対応でリソースをどう割り当てるのかを把握する必要があります。

ネット空間はほとんどの場合、このような状況について最も早く情報を得られるソースであり、実際にソーシャルメディアのユーザーは、危機の現場に関する最新情報や画像を頻繁に公開で投稿しています。このような情報をほかのソースと照合することは、より適切な情報に基づいた対応を迅速に行うために役立ちます。

実際、状況認識の強化や運用上の意思決定を支援するために、多くの組織がヒューマンインテリジェンス(HUMINT)のようなその他の情報源と併せてソーシャルメディアを活用しています。ソーシャルメディアの監視において重要な部分は、公共の安全に影響を及ぼす可能性のあるコンテンツの中から、日常生活についての紛らわしいコンテンツを区別することです。これができると、公共の安全の管理・確保に従事する者は適切にえり分けられた情報を活用し、実害が生じ得る状況に対してより適切な対応を行うことができます。

差し迫った脅威(銃撃犯、爆破予告など)

危険な状況下において「状況認識」とは、周囲の状況を把握し、何が起こり、何が起こらないのかを予測する能力のことであり、生死を分ける可能性のある知識を指します。またこの種の攻撃を把握、予測、調査するためのツールがないからといって、潜在的な物理セキュリティのリスクを見逃すこともあってはなりません。

ネット空間はほとんどの場合、このような状況について最も早く情報を得られるソースであり、実際にソーシャルメディアのユーザーは、危機の現場に関する最新情報や画像を頻繁に公開で投稿しています。この情報をほかのソースと照らし合わせることは、より適切な情報に基づいた対応を迅速に行う上で助けとなります。

上記のような危機的状況に備え、組織は以下を行うことで物理的なセキュリティ戦略を強化できます。

  • 位置情報に基づくソーシャル検索ツールを使用して、重要拠点の近くで暴力的脅威が発生したことを示唆するジオタグ付きの公開投稿を検索する。例えば、2016年のリオデジャネイロオリンピックでは、あるエグゼクティブセキュリティチームがFlashpointのEchosec Platformを使用し、保護対象の選手に対する潜在的な脅威を検知。同選手の移動日程を変更し、安全を確保することができた。
  • ソーシャルメディアやオンラインのウェブ空間を監視し、暴力的な意図や計画を示唆している可能性のある言及がないかどうかを確認する。

災害対応(自然災害)

かねてより、緊急時の対応を担うコミュニティは陸上移動無線や地図、コンピューター利用の情報発信、危機管理システム、交通監視カメラ、GIS、フロントガラスの損傷評価といったさまざまなデータソースを活用し、情報を集めてきました。これに加え、現在ではソーシャルメディアも活用し、コミュニケーションを図りながら、リアルタイムで動的な情報を収集・共有することで状況認識を深め、意思決定を支援することができるようになっています。

自然災害発生時において、被災地にいる人々がソーシャルメディア上で共有する、リアルタイムの状況をとらえた写真や意見などは、緊急対応従事者と災害の影響を受けた者の双方にとって貴重な情報源になり得ます。また別の視点で見ると、災害は往々にしてネット上における団結力を高めます。世界中の人々が一丸となり、とりわけみんなで災害に対処し、対応の取り組みに貢献しようと協力し合うのです。

従来のソースから得た情報とリアルタイムのソーシャルメディアの情報を組み合わせることで、緊急対応従事者が状況認識を達成・維持することに役立つだけでなく、意思決定や計画の策定、リソースの割り当てを支援する上で助けとなる場合があります。自然災害後の対応活動において、政府当局の担当チームは現在、危機的状況におけるどの段階でも一般市民と情報を共有し、接点を持つためにソーシャルメディアを活用しています。

  • 災害対応が必要な状況において、組織はキーワード検索と全体的な監視を行うことでコミュニティのニーズを特定できます。
  • 支援団体・機関・組織が緊急時に利用可能なリソースについて一般市民に助言する際、ソーシャルメディアツールが役に立ちます。

サプライチェーンのセキュリティ

あらゆるサプライチェーンが達成すべき目標とは、完全な商品を最小限のコストでスケジュール通りに調達し、これを受け取ることです。2017年にDeloitteが発表したサプライチェーンテクノロジーに関するレポートには、「ほとんどの企業が単独または複数のステークホルダーに依存することを制限しながらも、サプライチェーン全体で信頼可能な視認性を確保する方法を見出せていない」と記されています。

材料調達から製造、輸送、そしてエンドユーザーへの配送まで、グローバルサプライチェーンを構成するすべての輪は、それぞれが高いレベルで連結しています。小売業者が世界各地で起こる大小さまざまな危機にタイミングよく対応するためには、このチェーンのあらゆる段階で発生する障害に注意を払い続けることが重要です。

小売業者は長年にわたり、スマートテクノロジーを使ってサプライチェーンの運用を監視してきました。しかし、パンデミックのような世界規模の危機や気象災害、政情不安などが相次ぐ昨今の状況においては、既存のテクノロジーを使い続けることによって、サプライチェーンにおける小売業者の認識に大きなギャップが生じてもおかしくありません。

現地から届くテキストや画像、動画などサプライチェーンの拠点に関する情報は、多くの場合、ほかのどのソースよりも早くソーシャルメディアに集まってきます。世界各地の倉庫、工場、その他の重要拠点の近くで自然災害や疫病、暴動が発生した場合、サプライチェーンマネージャーはこの情報からより多くの知見を得ることができます。

高度なウェブ監視プラットフォームを活用することで、サプライチェーンマネージャーは複数のソーシャルメディアソースを一元的に参照できるようになり、とりわけ世界的な危機を迎えた時に状況認識のズレに気づくことができます。この情報にできるだけ早く簡単にアクセスできる体制を整えることで、小売業者はサプライチェーンに影響を及ぼす進行中の事象をより適切に予測して理解し、これまで以上に迅速かつ効率的に対応できるようになります。

地政学的状況

社会不安からサプライチェーンにおける障害まで、さまざまな事象によってセキュリティリスク要因が変化を続ける中、脅威ランドスケープはますます複雑で予測不可能になっています。適切なタイミングに適切なデータへアクセスできない組織にとって、地政学的イベントの発生時に対応が遅れる、あるいは誤った情報に基づいて決断を下すことは、資産と人材に対する物理的な危害、評判の低下、また金銭的損失につながる可能性があります。

ソーシャルデータは、地政学的リスクの管理に対する状況認識をさまざまな方向からサポートします。

  • ある事象に遭遇した人物の投稿あるいは報告によって、ソーシャルメディアサイトやネット上のディスカッションフォーラムは、現場の真実を最も早く伝える情報源となることがよくあります。こういったサイトの一部では投稿者がジオタグで自身の位置情報を追加できるため、組織の資産に影響を与えかねない脅威を探す際にこの情報が役立ちます。

世界各地に施設や従業員が点在する組織の場合、ローカライズされたニュースやソーシャルネットワークにアクセスすることで、標準的なGoogle検索より多くの情報を入手できる可能性があります。また、情報収集に特化したツールを使うと、その他の方法では見つかりにくい多言語サイト・地域固有サイトに掲載された重要なイベントを自動で検出できます。

ウェブ監視ソフトウェアがどのようにして状況認識を改善し、より迅速な対応を可能にするのか?

主要なネットワークやオルトテックプラットフォーム、画像掲示板、ディープ/ダークウェブフォーラムからのデータを含むソーシャルデータには、テロ/過激主義への対策、地政学的リスクの監視、そして政府の諜報活動にとって極めて重要な情報が豊富に含まれています。

インテリジェンスチームは、インシデントや危機がどこでどのように発生しているのか、そしてその対応でリソースをどう割り当てるべきなのかを把握する必要があります。状況認識のコンテクストを確認するには、従来のソースから入手した情報にリアルタイムのソーシャルデータを組み合わせることが有効です。さまざまなオンラインディスカッションチャネルから集めたリアルタイムのソーシャルデータを活用すれば、組織はより適切に情報を得られるようになり、世界情勢が人々や国、組織に与える影響を軽減できます。

ますます多様化するインターネットの脅威ランドスケープにうまく対応し続ける必要があるすべてのインテリジェンスチームにとって、さまざまなグローバルデータソースを活用することは非常に重要です。世界規模で活動するセキュリティおよびインテリジェンスチームにとって、世界中のソーシャルデータソースから最も効率よく情報を集める方法としては、幅広いデータを1つの直感的なインターフェースに集約したOSINTツールを活用することが挙げられます。

特にAPI(Application Programming Interface)は、オンラインネットワークへのダイレクトアクセスを提供すると共に、組織が独自のシステムやツール内でソーシャルデータを統合・活用できるようにします。Flashpoint/Echosec APIは、このような情報への効率的でリアルタイムなアクセスを提供し、脅威をより迅速に特定するため、またより多くの情報に基づいたリスク対応と調査をタイムリーに実現するために強化されたセキュリティ、およびインテリジェンスに関するデータを充実させます。

専門的な情報収集ツールに資金を投じ、適切な範囲の情報網を張り巡らせることによって、組織は状況認識を絶えずアップデートすることが可能になり、最も予測不可能な脅威ランドスケープにおいても常に先手を打てるようになります。Flashpointは脅威の早期検出と状況認識をサポートすべく、1つのプラットフォームでさまざまなソーシャルメディアやニュース、ディープ/ダークウェブサイトへのアクセスを提供します。

ソーシャルメディアがどのようにして軍事的状況認識を改善させるのか

端的に説明すると、「軍事的状況認識」とは戦場で起こっていることについて、兵士が有している知識を指します。この能力によって効果的な意思決定が可能になるだけでなく、生死を分けることもあります。

戦場における状況認識能力は、手投げ式偵察ロボットのようなハードウェアテクノロジーの導入により、この10年で進化し続けてきました。現在では、誰もが利用できるソーシャルメディアの関連コンテンツへアクセスすることで、この機能がさらに強化されています。

ソーシャルメディアが普及した結果、現代の戦争においては、戦場でスマートフォンを持っていれば誰もが必然的に「センサー」となります。そのコンテンツが公開されると、無人システムや人間による偵察活動が不可能なエリアを中心に、より正確な状況をリアルタイムで兵士に伝えることができるようになります。

軍事的状況認識とは?

軍事的状況認識とは、関心対象エリアでの地上活動を観察・予測する能力を意味します。簡単に言えば、戦場で起こっていることについて兵士が持っている知識です。

軍事作戦においては、状況認識によって指揮系統に沿った効果的な意思決定が可能になるだけでなく、部隊や兵士の生死を分けることもあります。

「状況認識」または「高度な状況認識(ASA)」という用語は、軍関係者向けの訓練されたスキルセットを説明するためにも使われます。運用環境内で知覚的感覚と批判的思考スキルを磨くこともこれに含まれ、適切なトレーニングなしでは評価が複雑で困難になる可能性があります。

それでも状況認識は、兵士が身体的に感知できる範囲内にとどまりません。現代の世界においては、フィールドセンサーやオープンソースのソーシャルメディアコンテンツなど、人間以外のソースから得たデータの分析と共有もこれに含まれます。

Nextgov/FCWの記事には「状況認識とはネットワークやサーバー、ストレージデバイス、分析および管理ソフトウェアを集約した情報網でもあり、データを取り込んで分析に使えるようにした上で、時間や場所に関係なく、指揮系統の隅々にまで共有される」と記されています。

軍事的状況認識の障害

軍事的状況認識はこの10年間、とりわけ現場での管理が困難または危険な環境において、手投げ式偵察ロボットのような無人システムによって改善されてきました。それでも軍関係者は、依然として次のような課題に直面しています。

  • ドローンのような無人システムがアクセスできないエリアにおける状況認識の維持
  • 特に接続が不安定なエリアにおける、リアルタイムの情報へのアクセス
  • 情報源、戦闘員、指揮系統上位の意思決定者の間における効率的な通信システムの合理化

米戦略国際問題研究所(CSIS)によると、敵の状況認識能力(例えばロシアや中国などが開発した技術)を妨害することの必要性も、状況認識を改善するための動機として定着しています。

ソーシャルメディアと軍事的状況認識

新しいテクノロジーは、軍事的状況認識で利用される通信チャネルの改善に役立っています。

例えば、米政府開発の無料アプリ「ATAK」は、ユーザーにレッドチームとブルーチームの動き、戦場の地形や天候、その他の諸要素についてリアルタイムのGPSビューを提供します。 また、英国陸軍では下車歩兵の状況認識(DSA)ツールも試験的に運用されており、こちらは指揮センターに備わったリアルタイムの情報共有能力を地上部隊に与えることを目的としています。

近年のデジタル変革により、オープンソースデータは諜報活動においてシグナルインテリジェンス(SIGINT)などの機密情報と同等の価値を持つようになりました。これは軍事的状況認識にも該当し、オープンソースインテリジェンス(OSINT)を使うことで、戦場をより包括的にとらえることが可能になります。

現代ではソーシャルメディアが広く使用されていますが、この時代の戦争においてそれが意味するところは、携帯端末を持っていれば誰もが必然的に「センサー」になり得るということです。ここまでのロシア・ウクライナ戦争において、この事実は大きなスケールで白日の下にさらされました。OSINTアナリストはロシアの主張を検証し、戦場の活動をリアルタイムで監視するために、ソーシャルメディアを幅広く活用しています。

主要なソーシャルメディアと、VKやOK.ruのような地域ネットワークの双方にアクセスすることで、アナリストは比較的正確な視点を得ることができます。これは状況認識に必要な情報を集める従来の方法、例えばドローンや人間による偵察ではアクセスできない可能性のある領域において有効です。

高度なOSINTツールもDSAと同様、より広範な状況認識戦略の一環としてソーシャルメディアを活用することで、関連する戦場データに素早くアクセスし、これを共有できるようになります。

Flashpoint, VulnDBについて

Flashpointは、Deep & DarkWeb(DDW)に特化した検索・分析ツールです。ダークウェブ等の不法コミュニティで、どのようなPoCやエクスプロイトが議論・取引されているか等をモニタリングできます。また、Flashpointの一機能として利用できるVulnDBは、CVE/NVDデータベースにない脆弱性情報各脆弱性のメタデータを豊富に含んだ脆弱性データベースです。

 

日本でのFlashpointに関するお問い合わせは、弊社マキナレコードにて承っております。

また、マキナレコードではFlashpointの運用をお客様に代わって行う「マネージドインテリジェンスサービス(MIS)」も提供しております。

FlashpointやVulnDBについて詳しくは、以下のフォームからお問い合わせください。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ