自社の弱点を4つのステップで洗い出す ESET流「OSINTのススメ」:公開データでリスクを可視化
ESETは公式ブログ「WeLiveSecurity」で、OSINTを使って自社の弱点を見つけ出すための実務的な進め方を公開した。どう情報を集め、どのツールで分析し、どのように評価すべきかを、4つのステップで示している。
セキュリティベンダーのESETは2025年11月20日、同社の公式ブログ「WeLiveSecurity」で、企業が「OSINT」(Open Source Intelligence)をサイバーセキュリティに活用するためのポイントやツールを整理した記事を公開した。軍事や法執行などで発展してきたOSINTを、企業の攻撃面の棚卸しやインシデント調査にどう応用できるのかを、実務寄りの視点でまとめている。
なお、ここで言うOSINTとは、WebサイトやSNS、公開データベース、報道、検索エンジンなど、公開された情報源から合法的に入手できる情報を収集、分析して、意思決定に役立つ洞察(インテリジェンス)を得ることだ。
具体的なOSINTの「生かし方」
併せて読みたいお薦め記事
OSINTとデジタルフットプリントを理解する
サイバーセキュリティにおけるOSINTは、インターネットに公開されているシステムやサービス、メールアドレスなどの公開情報を把握し、攻撃者から見える攻撃面を把握することに役立つ。ESETは「攻撃者がする偵察と同じような視点で自社の情報露出を確認することで、設定不備や不要な公開、想定外の情報漏えいといった弱点を早期に見つけやすくなる」と指摘している。
ESETによると、OSINTを実務に生かすための具体的な進め方は、次の4ステップだ。
1.目標を定義する
まず「何を調査したいのか」「どんな疑問やリスクを明らかにしたいのか」を明確にし、調査のゴールを言語化する。
2.情報源を洗い出す
次に、ソーシャルメディア、企業のWebサイトやブログ、政府・公的機関のデータベース、各種の公開記録など、目的に関連しそうな情報源をリストアップし、優先度を付ける。
3.ツールで収集、分析する
選んだ情報源に対してOSINTツールやサービスを使い、体系的にデータを収集、分析する。ESETは具体的なツールやサービスの例として以下を挙げる。
- OSINT Framework:用途別に整理された情報源を一覧できるリソース集
- TheHarvester/SpiderFoot/Recon-ng:ドメイン名などを基に、メールアドレスやホスト名、サブドメインを自動収集するツール
- Google Dorking:検索演算子を駆使して、特定のファイル形式やディレクトリなどを絞り込む検索テクニック
- Shodan:インターネットに公開された機器やサービス、開いているポートを検索できるサービス
- Maltego:複数のAPIから取得したデータを統合し、人物・ドメイン・IPアドレス間の関係性を可視化するツール
4.結果を文書化し、信頼性を評価する
最後に、何が分かったのかという発見事項と、どの情報源からどのように取得したのかといういきさつを文書として整理し、情報源ごとの信頼性を評価する。誤情報を取り込まないよう情報源を厳密に記録しておくことで、後からの検証や再利用がしやすくなる。
ESETはOSINTについて「技術的なスキルだけでなく、法令やプラットフォームの利用規約、プライバシー保護の観点を理解した上で調査範囲を定めることが重要だ」と語る。また、プライバシーに関する法律や倫理を踏まえた「責任ある調査」の必要性を強調しており、その文脈からは、組織として「どこまで調べてよいか」「得られた情報をどう扱うか」といったガバナンスを事前に定めておく重要性も示唆されていると言える。
Copyright © ITmedia, Inc. All Rights Reserved.