今回紹介するのは、2011年設立の「ClearSky」というコンサルティング企業で、創業者はBoaz Dolevというモサド出身者である。ClearSkyが提供するサービスは、以前に紹介したKELA（Threat Intelligence（脅威情報）サービスを提供する「KELA」）と似ているが、顧客自身が使えるツールではなく、
（1）Strategic Consulting Services
（2）Cyber Intelligence
という二つのサービスである。

コンサルティング・サービスでは、顧客となる企業や政府機関等の組織に対し、その組織が必要とするサイバーセキュリティの防衛プログラムを開発し、提供する。また、インテリジェンス・サービスでは、顧客の組織に対するサイバーセキュリティの脅威を調査・分析し、それをモニターすることによって、早い段階での警告を発するサービスである。

前回紹介したKELAの場合も、「標的型攻撃対策」として、企業・組織に対する潜在的な脅威をモニターし、アラートを発する、ということなので、サービス内容はほぼ同じであるが、上記コンサルティング・サービスでは、顧客のための防衛プログラムの開発、というもう少し踏み込んだ提案までするようだ。

サイバーセキュリティの対策は、内部施策と外部施策の相互補完が必要である。その「外部」部分、組織にとってどのような外部脅威が存在するのかを調査・把握し、提供するのがKELA やClearSkyのサービスである。図1はClearSkyのサイバーセキュリティ防衛の考え方を説明したものである。

日本では現在、「内閣サイバーセキュリティセンター（NISC）」が中心になってセキュリティ人材の育成に注力している。無論、それができて初めてSOC（Security Operation Center）やCERT（Computer Emergency Response Team）といった組織も機能するし、戦略も立案できる。また、セキュリティ対策のツールも活用できる。つまり、必要最低限の備えねばならない能力ではある。しかし、それは内部施策の一部でしかなく、図1を見れば、日本としてはまだまだやらねばならないことが沢山あることがわかる。

図1　ClearSkyのサイバーセキュリティ防衛の考え方

イスラエルには、首相府（Prime Minister's Office）にサポートされているサイバーセキュリティのコンソーシアムがあり、安全保障関連の様々なソリューションを開発しているIsrael Aerospace Industries Ltd.（IAI）が主導している。Check Point Software Technologies Ltd、や、Verint Systems Inc.など、錚々たる企業がメンバーだが、CleaSkyもそのコンソーシアムの一員で、インテリジェンス・サービスやソリューションの設計、CERTの構築、等に協力している。

インテリジェンス・サービスを提供する企業は、どれだけの情報ソースを持っているか、ということが一つの価値指標になる。なかなか公開はされない情報ではあるが、ClearSkyは、まず誰でも利用できる有償・無償のサービスとして
Virus total intelligence
Passive total intelligence
Domain tools
Brand 24
Intelligence 471
Censys
Shodan
などを利用している。

Virus totalとは、ファイルやWebサイトがマルウエアに汚染されているかどうかを検査するサイトである。Passive totalは、独自のデータソースを元に多角的な脅威分析を行うインフラ分析プラットフォームである。

これらのサービスのAPIを利用し、ClearSkyは独自の分析ツールとつないで分析する。詳細を開示することはできないが、彼らはこれらのデータマイニング、モニタリング、データの可視化のために、様々な独自ツールを開発している。

一例として、そのツールのスクリーンショット（図2）を見せてもらった。「Japan」と「Bank」というキーワードで検索したときの結果である。日本の銀行に関するDBが、彼らの独自ツールで容易に見つけられることを示している。

図2　ClearSkyのツールの一例

また、このような公開できるソース以外に、彼らは“Closed Groups”にも接点がある。　Closed Groupsというのは、盗んだデータを売買したり、malicious code（悪質なコード）を販売したりする「悪い人々のグループ」のことである。これらのグループに接点を持つことこそ、コンサルティング・サービスを提供する彼らのノウハウである。

具体的にはアバターを育てて接触する。Botではなく、あたかも本物の人間であるかのごとく振る舞うように育てるには大変手間がかかる（創業者のBoazは数ヶ月は必要である、と言っていた）。違法な手段を使うことなく、これらの「悪い人々」に接触し、求める情報を掘り起こす能力こそが、彼ら専門家の価値であり、正にモサドで培われた、我々日本人には容易に真似できない能力と言っても間違いないだろう。

さらに、同業のセキュリティ研究者間のコミュニティも重要な資源である。彼らはこれを“Peer Information”と呼んでいる。先のコンソーシアムのメンバー企業などに属する研究者同士が常に情報共有をしており、これもインテリジェンス・サービス事業者としては大きな強みである。

では、具体的にどんな調査・分析ができるのかの一例を簡単に紹介してみたい。

2017年の7月5日、世界最大のダークウエブ・マーケット「AlphaBay」の運営者とされているカナダ人のアレクサンドル・カズ（26）が逮捕され、サイトが閉鎖された、というニュースがThe Wall Street Journalに掲載された（「Illegal-Goods Website AlphaBay Shut Following Law-Enforcement Action」）。日本でも7月19日のYahooニュースで記事（「最大のダークウェブ闇市場『Alphabay』運営者がタイで逮捕され自殺」）になったので、見た人がいるかもしれない。今は閉鎖されたが、Torでアクセスできる最も代表的なマーケットであり、6月末にイスラエルへ訪問したときにClearSkyのアナリストにキャプチャ（図3）を取ってもらった。

図3　すでに閉鎖された世界最大のダークウエブ・マーケット「AlphaBa」

画面からは、VISAカードの情報やコカインが売買されていることが分かる。余談だが、アドレスは「.onion」である。幸いにしてAlphaBeyは閉鎖されたが、無論このようなマーケットは数多くあり、次々に新しいマーケットが作られる。従って、このようなサイトを監視できることは、基本的に求められる能力となる。

また、ハッキングされたサーバーのアクセス情報を取引するフォーラムとして有名なのが、「xDedic」であり、2016年にカスペルスキーが調査結果（「Kaspersky Lab、ハッキングされたサーバー70,000台以上のアクセス情報が取引される闇フォーラム、「xDedic」の実態を調査」）を報告している。先のAlphaBayと同様、ClearSkyのアナリストに、xDedicで売買されている日本のサーバーをリストアップしてもらった（図4）。

図4　 xDedicで売買されている日本のサーバーの一例

右端の列を見れば分かるが、わずか10ドルか20ドル（！）でハッキングされたサーバーのアクセス情報が売られている。

これらは極めて初歩的な事例だが、彼らはコンサルタントとして、仮に顧客を「企業A」とすると、
・企業Aの管理・保有するサーバーやウエブサイトのアクセス情報が売買されていないか？
・企業Aの顧客に関する情報が売買されていないか？
・企業Aのドメインと誤認識できるような類似のドメインが流通していないか？
などなど、彼らにとっての「脅威」を様々な情報ソースから調査・分析をし、万が一、何らかの脅威情報が発見された場合には、迅速にアラートを発してくれる。

これが図1に示したExternalの部分である。これを元に、Internalのチームが適切な対処をすることで、被害の発生を防ぐことが可能になる。

こういったセキュリティ情報のフォーラムやマーケットでは、様々な国の「悪い人達」が活躍している。従って、その言語を理解できる能力も必要である。例えば、これも例としてもらったキャプチャ（図5）だが、ロシア語で書かれているメッセージは、“Brothers, who has possibilities for cashing out in Japan? Please write to pm”　だそうだ。

図5　ロシア語で書かれているメッセージは？

ClearSkyは、顧客が自ら操作できるようなツールは提供せず、あくまでも定期的なレポーティングと24時間/365日の監視サービスを提供する。顧客がより良い調査をさせるためには、顧客のシステム詳細や認識している脅威等を正しくClearSky側に伝えるとともに、彼らの調査結果を見ながら、常に適切な軌道修正を行うためのフィードバックが鍵となる。

KELA（Threat Intelligence（脅威情報）サービスを提供する「KELA」）を紹介した記事の中で、ある種ブラックボックスのサービスを購入する意思決定の問題に言及したが、サービス購入後も、事業者と顧客とが密なコミュニケーションを取ることが重要であろう。その意味で、顧客自身が、このような事業者と密に連携する能力を有するかということは問われるだろう。また、サービスの代理店となる日本のVAR（Value Added Reseller）が、日本側、イスラエル側、双方のビジネスプロトコルを理解し、より良いコミュニケーションの実現に寄与できるか、という点も大きなポイントだろう。

ClearSkyの場合は、まだ日本にパートナーが存在しないので、今後、有能なMINS （men in the middle services）が現れることを期待する。