方法論 // CHIMERASCOPE
私たちの手法は、受動的観測、複数情報源の相関、そして構造化分析に基づいて構築されています。実際にはどのような意味になるのか、そして明確に行わないことは何かをご説明いたします。
私たちの手法におけるすべての判断は、5つの原則に基づいています。これらはマーケティング的な主張ではなく、アーキテクチャ層で適用される運用上の制約です。
合法性と倫理。 すべてのインテリジェンスは公開されている情報源から取得します。関連する法域の法的枠組み内で活動し、倫理的なOSINT標準を遵守しています。
パッシブ・ファースト。 公開されているデジタルフットプリントを観測します。当社のスキャンプラットフォームは認証を行わず、フォーム送信や脆弱性の悪用、攻撃とみなされ得るトラフィックの生成を行いません。
検証と裏付け。 単一の情報源からのシグナルは手がかりに過ぎません。複数の独立した情報源で確認されたシグナルがインテリジェンスとなります。報告前に必ず相互参照を行います。
最小限の露出。 標的システムに対して、標準的なウェブブラウザが生む程度以上の劣化、干渉、負荷生成は行いません。
プライバシー・バイ・デザイン。 定義されたインテリジェンス目的に必要な情報のみを収集します。セルフホスト型インフラストラクチャにより、スキャン結果がサードパーティのプロセッサを通過することはありません。
当社の分析は、一貫性、正確性、再現性を確保するために設計された構造化されたライフサイクルに従います。
分析の範囲、目的、境界を定義します。対象ドメイン、質問項目、調査の深さを明確にします。
オープンで公開されている情報源から、自動化とアナリスト主導で収集します。12の分析次元にわたって複数の収集ベクトルが並行して実行されます。
生のシグナルは正規化、重複除去、付加情報の付与が行われ、一貫したデータ形式に構造化されます。ノイズは除去され、信頼度が割り当てられます。
当社の相関パイプラインは、次元間でシグナルを相互参照し、パターンを特定し、脅威と機会にスコアを付与し、構造化された評価を生成します。
自動的に得られた結果は、セキュリティ専門家によって検証、文脈付け、洗練されます。不確実または確率的な評価は明示的にその旨が示されます。
意思決定に即したインテリジェンスレポートを対象読者に合わせて提供します。リーダーシップ向けのエグゼクティブサマリー、セキュリティチーム向けの技術的詳細、営業向けの実行可能な提言を含みます。
当社のプラットフォームは、12 の異なるインテリジェンス次元にわたって対象を分析します。収集手法の有効性を維持するため、特定のツールやデータソースではなく、カテゴリのみを記述しています。
可視化されたフレームワーク、ライブラリ、CMS、eコマースプラットフォーム、CDN、ホスティング、サーバーソフトウェア、サードパーティ統合、そして 3,000 以上のテクノロジーフィンガープリントです。
YARA ベースの脅威検出、URLhaus の悪意ある URL の相互参照、脆弱性指標、SSL 設定、セキュリティヘッダー、0〜100 の脅威スコアリング、そして政府が属性付けしたグループの追跡を含む業界別 APT 脅威ランドスケープのマッピングです。
メールアドレス、電話番号、ソーシャルプロファイル、メッセージングアプリ、予約システム、営業時間、担当者、そして組織構造のシグナルです。
メタ品質、モバイル対応、インデックス状況、Core Web Vitals 指標、ページ構造、コンテンツ品質シグナルなど、31 の SEO 要因です。
GDPR コンプライアンス指標、クッキー監査、同意管理、データ主体権利の実装、各法域におけるプライバシーポリシー分析です。
IP インテリジェンス、ASN マッピング、ジオロケーション、WHOIS レコード、サブドメイン検出、ポート露出指標、そしてホスティングトポロジーです。
企業識別、業界分類(23 業界)、CRM およびマーケティングスタック検出、サブスクリプションモデル、ニュースレターシステム、そしてビジネス成熟度シグナルです。
分析プラットフォーム、広告ネットワーク、ピクセルトラッキング、フィンガープリンティング技術、そしてサードパーティデータ収集の評価です。
生データの収集を超えて、当社のプラットフォームはマルチソース相関を実行し、12 のすべての次元にわたる結果を相互参照して、単一ソース分析では見逃されるパターンを抽出します。これには以下が含まれます:
パターン認識は、大規模なデジタルフットプリントに対して人間のアナリストが数時間かかる処理を自動化します。エンティティクラスタリングは、関連するインフラ、ドメイン、サービスパターンを結び付けます。構造化レポートは、生データを技術的でないステークホルダーでも理解できる評価に変換します。リードスコアリングは、A-F グレーディング、機会分析、優先的な推奨事項を提供します。
重要な制約として、すべての評価に対するアナリストの監視が必要です。自動化された検出結果は検証の対象となり、システムは説明可能性を考慮して設計されています。すべてのスコアは、それを生成したシグナルに遡って追跡可能です。
境界を明確にすることで信頼が築かれます。以下は当社の業務範囲に関する明示的な声明です。
マルチソースの裏付けを行ってから強い主張を行います。1つの手法で検出された技術は候補であり、3つの独立した手法で検出された場合は確認されたものとみなします。
保守的な表現を不確実な発見に対して使用します。証拠が間接的な場合、絶対的な主張ではなく「indicates」「suggests」「consistent with」を用います。
継続的なキャリブレーション。当社の脅威スコアリングおよびリードグレーディングアルゴリズムは、実世界のスキャンデータに基づいて洗練され、誤検知を最小化し、シグナル対ノイズ比を最大化します。
再現性。同一の対象を2回スキャンした場合、結果は一貫している必要があります。当社の手法は可能な限り決定論的であり、必要に応じて確率的であり、常に文書化されています。
当社の評価手法は、業界で認められたセキュリティテストフレームワークとベストプラクティスに合わせて設計されています。
認証、セッション管理、入力検証、暗号化、ビジネスロジックテストを含む、90件以上のテストケースにわたるWebアプリケーションセキュリティテスト手法です。
Open Source Security Testing Methodology Manual — 物理、ネットワーク、無線、ヒューマンセキュリティ領域における運用セキュリティを測定する、ピアレビューされたフレームワークです。
Penetration Testing Execution Standard — 事前エンゲージメント、情報収集、脅威モデリング、脆弱性分析、エクスプロイト、レポート作成の各フェーズを定義した包括的な標準です。
米国国立標準技術研究所(NIST)のフレームワークで、サイバーセキュリティ活動を「Identify(特定)」「Protect(保護)」「Detect(検知)」「Respond(対応)」「Recover(復旧)」の5つのコア機能に整理しています。
重要な免責事項:当社の評価は、これらのフレームワークで定義された原則およびテストカテゴリに合わせています。この合わせ方は、いかなる標準に基づく正式な認証や認定を意味するものではありません。コンプライアンス認証(ISO 27001、SOC 2、PCI DSS)を必要とする組織は、正式な認証業務のために認定監査人に依頼すべきです。
Submit a target URL and receive a complimentary intelligence assessment within 24 hours.