従来、サイバーセキュリティ対策の分野では、「重要な情報システムに対する外部からの攻撃を防御する」ことに主眼が置かれ、ファイアウオールを始めとする様々なハードウエア、ソフトウエアが開発されてきた。しかし、いかなる努力をしようが、100%の防御は実現し得ないことも分かってきた。そこで今注目を得てきたのが以下の2つのベクトルである。

（1）攻撃を受けることは不可避と考え、不幸にしてCyber Incidentが発生した場合に、迅速に被害を緩和し適切な対応策を打つ。
（2）事前に攻撃の予兆を検知し、攻撃が起こる前にプロアクティブな対策を打つ。

前者についてはまた別の機会に整理したいが、後者が今回紹介をしたい「脅威インテリジェンスの分析」である。

インターネットの世界は、よく氷山の絵で説明される。それは、（1）Surface Web （2）Deep Web （3）Dark Web の3つのセグメントに分かれており、我々が普段Googleで検索し、ブラウザで閲覧するのは、図の海面から上に見えているSurface Webだけである。Surface Webはインターネット全体の4％に過ぎないと言われている。

残り96％はDeep Web、と呼ばれ、通常の検索エンジンや標準ブラウザではアクセスすることが出来ず、表示することも出来ないコンテンツである。この96％の世界のさらに奥に存在するDark Webと呼ばれる世界で、いわゆる Threat Intelligenceと呼ばれるサイバー攻撃に利用される情報やツールが流通しているのだ。

表のインターネットとは違う仕組みでつながる世界

Googleで検索出来ないDeep WebとかDark Webとは一体どんなものなのか。検索できないとはどういうことなのだろうか。

良く知られているように、Webの世界では、クローラーと呼ばれるロボットが常に巡回して各WebサイトのIndexを作成・更新している。検索をする、ということは検索クエリに近いIndexを探し、そのサイトのURLをリストアップすることである。検索結果に表示されるURLはDNSを使ってIPアドレスと紐づけられ、私たちは情報にアクセスすることができる。

しかし、Deep Webの世界は検索エンジンのクローラーをブロックしているため、Indexが作成されない。また、DNSの仕組みでURLが管理されていないため、アドレスだけを知っていてもアクセスは拒否される。Deep Webのサービスやページにアクセスするためには、特定のアクセス権、プロキシや、専用ソフトウエアが必要なオーバレイネットワークなどを使用する必要があるよう設定されていることが多い。

Dark WebはDeep Webの一部であり、更にネットワークレベルでアクセスが制限されているフレームワークだ。このフレームワーク上のネットワークトラヒックは暗号化されており、専用のソフトウエアでないとアクセスすることが出来ない。代表的なツールはTor ブラウザと呼ばれ、非営利団体のTorプロジェクトにより開発されている。以前は米海軍が開発に出資していた。秘匿性を担保した通信というのは軍事的にも重要だからである。TorとはThe Onion Routerの略で、Torのユーザは複数の中継サーバーを経由してパケットをやりとりするが、どの経路を取るかは各中継サーバーが1ホップずつ構築するため、全体の経路が追跡できない。そのためユーザーは匿名性を維持したまま情報のやり取りができる。この分散ノードがタマネギの皮のように重なっていることからOnionと呼ばれるらしい。

Dark Webは匿名性が確保され、かつ追跡が難しい世界なので、犯罪者が集まり、非合法コンテンツがやりとりされている。マルウェアやDDoS攻撃に使用するbotnet、クレジットカード情報やサーバーのログイン情報等を売買する「マーケット」が並んでいるのだ。冒頭の『事前に攻撃を予知する』というのは、例えば、このDark Webのマーケットで、日本の某クレジットカード会社のユーザー情報が売買されていたとする。もし、其の情報が攻撃者に購入される前に、カード会社側でその情報を把握することができれば、カード会社は対象となるカード番号を無効にすることで、不正利用を未然に防ぐことができるのだ。ただし、専用のツールやノウハウがないとこれらの情報に到達することは出来ない。

なお、Dark netという言葉もあり、Dark WebやDeep Webと互換的に使われることもある（WikipediaのDarknet）が、必ずしも厳密に定義されてはいない。今後紹介する企業／サービスのオリジナル資料では、Darknetを使っているケースもあるが、一貫性を保つために、本稿ではDark WebないしはDeep Webで統一することとする。

高いインテリジェンス能力を有するイスラエル

TorブラウザやTorプロキシを利用することで、誰でもDark Webにアクセスすることは可能だ。だが、素人が安易に利用すると犯罪者の活動に巻き込まれないとも限らない。そこに、専門家の役割が出て来る。

イスラエルには首相府（Prime Minister's Office）直轄で対外諜報活動と特務工作を担当するMOSSADという組織がある。Institute for Intelligence and Special Operations（諜報特務庁）を意味するヘブライ語　ハ-モサッド・レ-モディイン・ウ-レ-タフキディム・メユハディム　の中の「組織・機関」を表す単語ハ-モサッドから通称モサッドと言われる。情報収集・分析、秘密工作、対テロリズム活動を行う組織で、スタッフは徴兵システムの中で軍に採用されるが、その能力や適性を徹底的に精査されるという。イスラエルという国が出来た歴史的背景、地政学的立場、から、国家生存をかけてインテリジェンス機関を育ててきたのである。

元々インテリジェンスは文字とおり「知性」である。素材となる「情報」を収集・加工・分析して、国家の安全保障政策や企業の事業戦略の立案・執行に必要となる「国家や企業の知性」がインテリジェンスである。従って、当然のことながら、MOSSADの仕事はサイバー空間にも及び、サイバー分析・防衛・攻撃に関する専門家集団であるといえる。彼等は、長い時間と努力により開拓した様々なインテリジェンスのソースや分析するツールを持っている。従って、イスラエルのサイバーセキュリティ・サービス企業は、このMOSSAD出身者やIDF（イスラエル国防軍）のインテリジェンス部隊出身者が創設する場合が非常に多い。

サイバーセキュリティのビジネスに関われば関わるほど、セキュリティ対策には、技術だけではなくインテリジェンスの重要性が見えてくる。よく言われている

・自組織の弱点を正しく把握する
・組織のセキュリティエンジニアを強化する
・AI等最新技術を駆使した各種防御ツールを導入する
・組織のメンバーに対して適切なトレーニングを実施する
ことは勿論必要だが、これらは全て内部対策である。

これらの対策に加えて、「外部の脅威がどのようなものなのか」を理解することが、サイバーセキュリティの防衛には必要不可欠だ。内部の対策と外部の対策は相互補完するものであり、両方が揃って初めて効果を上げる対策となる、と言える。

インテリジェンス・サービスを提供する企業にとって必要なのは、
・サイバー空間に関する知識
・サイバー攻撃、防衛に関する経験
に加えて
・多様なインテリジェンスソースを持っているか
・データを収集、分析するためのツール
・（ロシア語、中国語等を理解する）語学力
・共有・裏とりをするための国際的なネットワーク
等が挙げられる。これらは一朝一夕にして築ける能力ではない。

サイバーセキュリティに限らず、テクノロジーを不正に利用するのも、また不正から守るために利用するのも人間である。幸いにして、過去70年間、日本は平和を享受してきた。其の結果、幸か不幸か、日本では、国としても企業としても人間としても、インテリジェンスを扱う能力を育てる必然性が乏しかったとも言える。しかし、ボーダーレスの世界の中で、それでは済まされない状況になってきたことも事実である。守秘に関わる部分も多いので、なかなか実態を理解・把握することが難しい分野ではあるが、サイバーセキュリティ先進国イスラエルで、実際にインテリジェンスサービスを提供する幾つかの企業と接触し、その技術やサービスを学んだことを通して、我々日本人が参考にすべきことを、可能な範囲で紹介していきたい。

参考
中西輝政、小谷賢　世界のインテリジェンス　（PHP）
落合信彦　モサド、その真実　（集英社文庫）
https://www.torproject.org/
http://www.terilogy.com/product/kela/pdf/kela_interview01.pdf
https://en.wikipedia.org/wiki/Darknet