国家安全保障局(NSA)の情報収集活動に関する機密情報を漏洩したエドワード・スノーデンは、サウスチャイナ・モーニング・ポストに対し、政府コンサルティング会社ブーズ・アレン・ハミルトンの契約社員としての職を探していると語った、その目的はNSAの国内監視プログラムに関する証拠を収集し、国民にそのプログラムについて警告することだったと伝えられている。しかし、スノーデン氏は典型的な内部関係者の脅威ではありません。後に雇用主の信頼を裏切る内部関係者のほとんどは、最初からそのような意図を持っていたわけではありません。善良な従業員から悪意のある内部関係者への変化は、家庭生活のストレスから、昇進のチャンスを外されたときのフラストレーションから、会社が自分の貢献を評価していないという考えまで、さまざまな要因によって引き起こされる可能性があります。

リスクは大きいとはいえ、内部関係者が職務上必要となるデータにアクセスすることを拒否することはできません。では、企業は何ができるのでしょうか?

企業は企業データの取り扱いと保護方法について明確なポリシーを持っている必要があり、機密データには明確にラベルを付け、可能な限りアクセスを制限する必要があります。さらに、企業はデータ自体を保護し、ソフトウェアを使用してアクセスを追跡し、特にシステムから流出する情報やコピーされる情報に関して不審なアクティビティの兆候を探す必要があります。ただし、この記事では人的要因、つまり、ある人物が内部関係者の脅威になる可能性が高い、またはすでになっている兆候を検出するために、企業が採用プロセスおよび雇用期間中に何ができるかに焦点を当てています。

性格特性

最終的にインサイダーの脅威となる個人には、いくつかの共通の特徴があります。これは、すべてのインサイダー脅威がこれらの特性を持っていること、またはこれらの特性を持つすべての人々が脅威になることを意味するものではありません。しかし、これらの特徴が何であるかを知っておくと役立つ場合があります。
カナダ会議委員会の国家安全保障・戦略的先見責任者であるサティヤモーシー・カビラン氏によると、考えられる憂慮すべき特性の1つはナルシシズムです。「これは、自分が実際よりもはるかに価値があると認識している人々のことです。彼らは、組織にもたらす価値について誇張した価値観や見方をしており、自分の能力や業績について誇張した見方をしており、[彼らは]彼らは通常、批判に対して非常に不寛容です。他人の貢献の重要性を軽視します。」

グローバル スキル X-チェンジ (GSX) のセキュリティ プログラム ディレクターであり、カジノサイト 国際防衛情報評議会傘下のインサイダー脅威作業グループのメンバーであるダン マクガーベイ氏も、ナルシシズムを危険信号の可能性として挙げています。 

演技性パーソナリティ障害もまた一つです。この障害は、注目や承認への欲求、過剰な感情と関連しています。 3 番目の危険信号は反社会性パーソナリティ障害であり、社会病質としてよく知られています。

もちろん、ナルシシズムなどのこれらの特性の一部は、特定の組織の優秀な人材にも存在する可能性があるため、潜在的な脅威を排除するために単純に利用できるものではないことを認識することが重要です。本当の問題は、会社にとって危険ではないタイプの人々と、危険になる可能性が高い人々を区別することだとカビラン氏は言います。
 
マクガーベイは、内部関係者の脅威によく見られるさまざまな種類の人格を組み込んだ特定のモデルを特定する研究を行っています。同氏は、ほとんどの脅威が 3 つのモデルにカプセル化されていると考えています。 1つ目は逆効果な職場行動モデルで、マクガーベイ氏によれば、これはコントロールの問題と、個人のコントロールを取り戻す必要性の感覚に関係しているという。同氏によれば、このモデルには、WebサイトWikiLeaksに機密資料を渡した兵士、ブラッドリー・マニングのような人物が含まれているという。マクガーベイ氏は、このモデルはフォートフッドで銃乱射事件を起こしたニダル・ハサン陸軍少佐のような職場暴力の加害者も記述していると述べている。

2番目のモデルは組織市民であり、スノーデンが当てはまるかもしれない。これらは「非常に強い正義感を持ち、自分が正しいと信じている人たちです」とマクガーベイ氏は言います。

3 番目のモデルは「スパイの生涯の 10 段階」と呼ばれ、個人がスパイになり、スパイ活動を続けるために通過しなければならない段階を考察しています。

「ということは、これら 3 つのモデルを実際に組み合わせると、職場での不適切な行動に関して私たちがこれまでに見てきたほぼすべての行動が説明できることになります。」とマクガーベイ氏は言います。

インサイダー窃盗に取り組んできた法医学心理学者のハーレー・ストック氏は、企業がスノーデンのような人物を排除しようとしている場合、スクリーニングに性格評価を含めることが重要であるとアドバイスしている。 「[スノーデン] のような人物に期待することのいくつかは、過度に道徳主義的で、世界がどのように機能するべきかについて非常に強い信念を持っているため、物事が正しいか間違っているか、白か黒かというある種の厳格な性格を持っています。グレーゾーンはありません。交渉、妥協、または別の世界観の領域はありません。そして、どういうわけか、彼の見解が正しい見解であるということです。」

ストックによれば、スノーデンは心理的正当化メカニズムを使って、「彼らは間違っている、私は正しい。したがって、私にはそれについて何かをする道徳的、倫理的義務がある」と言う。

こうした性格検査を行う際、会社は応募者に肯定的な推薦状だけでなく、応募者が過去のある時点で苦手だったと認めた人物からの推薦も求めるべきであるとストック社はアドバイスしている。 「今、誰かがあなたに『まあ、私は何の困難も経験したことがない』と言いますが、それはすでに私の疑いの指数を高めます。」

企業が求職者に関して尋ねたい質問には、「その人は意思決定をどのように処理しますか? 柔軟性はありますか? 彼らは自分の考えに固執して反対意見に耳を貸さないように見えますか? 彼らはあなたを不安にさせる何かをしましたか?」などです。ストックは言います。
 
内部関係者による脅威をもたらす人々に共通する特徴は不誠実であるため、将来の雇用主は採用プロセスにおけるあらゆる種類の欺瞞に注意する必要がある、とマクガーベイ氏は言います。 「ですから、もし誰かがやって来て、必ずしも不完全な履歴書ではなく、偽の履歴書を渡したとしたら、その人は不誠実であるだけでなく、状況を操作して、あなたがその人を違う人物であるかのように思わせようとしているのです」とマクガーベイ氏は言う。彼は、必ずしも申請者が間違いを犯すわけではなく、なぜ間違いがあるのか​​、そしてそれが意図的であるかどうかが重要であると付け加えています。

ヘリコン グループのマネージング パートナー、ジョン マクゴナグル氏は、求職者に職歴や前雇用主との問題について尋ねることを推奨しています。転職が多すぎると危険信号になる可能性があります。 「成績優秀者の中には、転職を繰り返している人もいます」と彼は言いますが、検討してみる価値はあるかもしれません。

「おそらく、彼らは出世しようとしているのかもしれません。あるいは、会社から会社を渡り歩いて製品を盗んで次の会社に移っているのかもしれません…。それを一連の不適切な行動の一部として結びつけるまでは、必ずしも内部関係者による脅威の問題とは見なされず、出世しようとしている誰かとしてしか見られません。」とマクガーベイ氏は言います。

マクゴナグル氏はまた、応募者が以前の雇用主との訴訟に巻き込まれたことがあるかどうかを尋ねることを推奨しています。それらは「完全に正当なものだったかもしれません…しかし、それは尋ねるべき正当な質問です」とマクゴナグル氏は言います。

どちらの方向にも進む可能性のある人物を避ける 1 つの方法は、内部関係者による脅威のリスクを軽減する傾向のある特性を持つ人物を雇用することです。たとえば、他者とうまく働くこと、他人に思いやりを示すこと、批判にうまく対処すること、不満を効果的に伝えることなど、これらはすべて求職者に求められる資質であると、デロイトのレポート「安全な労働力の構築」では述べられています。雇用主は、その人の推薦者と話したり、書面面接や口頭面接で適切な質問をしたりすることで、その人がこれらの特徴を持っているかどうかを判断することができます。

身元調査

上記の危険信号を 1 つの道しるべとして、徹底した身元調査が内部関係者の脅威を排除するための明らかに第一歩です。最も優れたチェックでも、まだ何も悪いことをしていない内部関係者は見逃しますが、すでに違反を犯したり、何らかの問題のある行動を示した他の関係者を捕まえる可能性があります。

身元調査を使用する企業は、身元調査を自社で行うか、第三者に委託するかを決定する必要があります。第三者機関に依頼すると費用は高くなりますが、審査会社の方が経験豊富で、通常は小切手の作成に必要なリソースが豊富です。

小切手が社内で実施されるか外部委託されるかにかかわらず、経営陣は小切手の内容を決定する必要がありますが、適用されるすべての法律を確実に遵守するために弁護士に相談する必要があります。 「そして、それを非常に透明性が高く、目に見えるものにしてください」と、Convercent の最高倫理責任者、ユージーン・フェラーロ氏は言います。

外部の会社、または一般に消費者報告機関または CRA と呼ばれるものによって実施される場合、身元調査は消費者を保護することを目的とした公正信用報告法 (FCRA) の制限内に拘束されます。職歴調査の場合、FCRA は企業が消費者報告書を取得する前に申請者に書面で開示すること、および報告書を取得する許可を受けることを義務付けています。 FCRA は厳格なコンプライアンスを要求します。ソール・ユーイング法律事務所のライアン・ディクレメンテ氏は、「認可は、申請書や他の書類とは別に、単一ページで申請者に提供されなければならない。したがって、たとえば、企業がその認可を申請書の最後に含める場合、FCRAの下では不十分となるだろう」と説明する。そしてその結果として最近訴訟が起きています。」

また、報告書が不採用などの「不利益措置」につながる場合、会社は応募者に対して何らかの措置を講じる前に、報告書のコピーと特定の開示情報を提供しなければならないほか、不利益措置が取られた後に特定の追加開示情報も提供しなければなりません。人物の背景や性格に関するインタビューを含む調査報告書には、追加の FCRA 要件があります。ただし、現在の従業員に不正行為の疑いがあり、それによって身元調査や調査が行われる場合には、FCRA に基づいて免除される場合があります。 「ほんの一例ですが、あなたの会社が誰かに窃盗の疑いがあり、その時点でその行為に関連する身元調査を行うことにした場合、FCRAの開示要件は適用されない可能性が高いです」とディクレメンテ氏は指摘する。同氏は、「内部調査を危険にさらす可能性があるため、従業員に何かを疑っていることを知らせたくないのは当然だ」と付け加えた。会社は法律顧問と協力して、適用されるすべての州法および地方法を確実に遵守する必要があります。

犯罪歴。企業は、その人が信頼できない可能性があることを示す危険信号がないか、求職者の犯罪歴を確認したいと考えているかもしれませんが、この種の情報の使用に対してますます課されている法的制限に従うように注意する必要があります。 (このトピックの詳細については、74 ページの「管理」を参照してください)。

デューデリジェンス。身元調査の内容が何であれ、その内容は検証されなければなりません。信頼性の低い身元調査は役に立ちません。例えば、スノーデン氏の学歴に関する主張は完全に正確ではなかったと報告されているが、公的報道によると、これによってスノーデン氏の身元調査を担当する米国捜査局（USIS）は、スノーデン氏の機密保持許可を取り消すことにはならなかった。その請負業者や、諜報機関のために同様の仕事を行った他の請負業者が現在、精査されている。 (彼らには何が起こったのか説明があることが判明するかもしれません。)

企業は、身元調査のために雇ったベンダーが適切な仕事をしているかどうかをどのように確認できるでしょうか? 「何らかの品質保証が適切です」とフェラーロ氏は言う。たとえば、請負業者は、結果を比較して作業の徹底性を評価できるように、結果がすでにわかっている一部の個人の身元調査を行うよう依頼される場合があります。 USIS が厳しい監視を受けている理由の 1 つは、同社が報告された結果が正確であることを確認するために行ったと主張する二次レビューのすべてを行っていないとされているためです。

フェラーロは、ベンダーに対して適切なデューデリジェンスを実施することを主張しています。 「それは他のものと同じです。問題を解決したい場合、どの整備士にも車を持っていくのではなく、適切な整備士に車を持っていくだけです。したがって、デューデリジェンスは重要な要素です。また、カジノサイト International や [人材管理協会] などの協会、業界団体は、すべての大手法律事務所と同様に、このテーマに関するトレーニングやセミナーを頻繁に開催しています。実際、法律事務所は、質の高いベンダーを見つけるための非常に良い情報源です。」とフェラーロ氏は言います。

社内。企業が独自に潜在的な従業員の身元調査を行う場合、「公正信用報告法の多くは適用されない」とフェラーロ氏は言います。ただし、企業がそのオプションに飛びつく前に、社内検索の欠点を考慮する必要があります。 1つ目は責任の重さです。 「一番の問題はリスク管理の問題です。私があなたをベンダーとして使って何かが起こったら、私はいつでもあなたを訴えることができます。もし自分でやった場合、誰を訴えるつもりですか？」フェラーロは言います。

その会社が社内に専門知識やリソースを持っていない可能性があるという事実もあります。フェラーロ氏は、犯罪記録の検索の難しさを指摘する。全国のすべての犯罪記録を包括的にワンストップで管理できるサービスは存在しないため、多くの場合、申請者が住んでいた場所の情報源に直接行く必要があります。フェラーロ氏は、サードパーティにとっては、そのようなチェックを行うための関係とインフラストラクチャをすでに備えているため、その方が簡単かもしれないと述べています。

仕事中

しかし、採用前審査は方程式のほんの一部にすぎません。ほとんどの内部関係者は、審査時には危険ではないため、派手な審査は通過します。前述したように、内部関係者は時間の経過とともに危害を加えるという決定を下す傾向があります。

マクガーベイ氏は、誰かを脅威にする一線を越えさせるものは、金銭的負債のような個人的なものである可能性もあれば、スノーデンの場合のように、一時帰休や給与削減、または従業員が嫌がるか間違っているとみなす行動など、事業の運営に関連するものである可能性もあると述べています。

そして、何かをしようという考えから、情報を盗むなどの実際の行動に移るときは、多くの場合、従業員が退職する約 1 か月前に始まるとストック氏は言います。企業は、問題が発生したときに行動に移せるよう、問題の兆候を注意深く探す必要があります。しかし、彼らは何を探す必要があるのでしょうか?

行動の変化は、従業員が内部関係者の脅威になったことを示す 1 つの兆候である可能性があります。たとえば、営業時間の変更。これまで9時から5時まで働いていた従業員は、遅かれ早かれ仕事をするようになり、オフィスで一人で過ごす時間が増えます。彼らは、必要のないデータ、または過去にアクセスしたことのないデータにアクセスし始めるでしょう。

企業は、従業員がどのような種類のシステムにアクセスしているか、誰と話しているのか、普段は関与しない情報についてどのような種類の質問をしているのかを確認する必要があるとストック社は付け加えています。

心理言語の変化。心理言語の変化は、誰かが内部の脅威になりつつあることを知らせる可能性があります。これらは、個人的なやり取りや特別なプログラムによる電子メールの監視を通じて発見される場合があります。 「彼らはより多くの不平を言い始めるだけでなく、『私』という単語が含まれる文章がさらに多くなるでしょう。『私はこれをしたのに、私は評価されません。私はこれをしました、そして私がそれをしたとき、あなたは私にこれをしました。』ということで、ビジネスではなく彼らに焦点が当てられるようになってきています」とストック氏は言います。

ストック氏は、探すべきもう1つの心理言語的特性は、嫌悪性フラストレーションとして知られるものであると述べています。「『私には目標がある。私の目標は昇進することだ。上司であるあなたが私の邪魔をしている。だから、今、私が目標に向かって進もうとしているのに、あなたは私をそこから遠ざけている。自分が目標から遠ざけられ、そこからそらされていると感じるほど、私はますますイライラする。もっとイライラする。それで、そのフラストレーションの感覚が現れて、その人は「私がここに15年もいるのに、あなたは私をこのように扱っているのに、私を評価していないのです。あなたはその変化を目にします。」

認知の歪みは、誰かが脅威になる道をたどっている可能性があることを示すもう一つの考えられる指標です。それは、その人が他人の行動を誤解したときです。そしてマクガーベイ氏は、個人が会社や同僚を「悪者扱い」することがあると言います。それは、「個人や他の個人について話し始め、心の中で彼らの人間性を奪うようなことを実際に言い始める場所です。それは国でもグループでも見られます…。会社がいかにひどいか、彼らがどのようにこれをやっているか、どのようにあんなことをしているかについて話し始めるのです」とマクガーベイ氏は言います。

リスク評価.

社内の誰一人として、特定の個人の全体像を把握できる人はいないため、企業はさまざまな部門の代表者で構成されるチームを作り、定期的に集まり、問題と思われる行動を示す内部関係者の兆候が誰かに見られないかどうかについて話し合うことを望むかもしれません。チームには、人事、セキュリティ、法務などの代表者が必要に応じて含まれ、全員がリスクについての見解をまとめることができるようにする必要があります。

「まったく異なる角度から各部門が特定のリスク特性を認識していることが突然判明した場合、その人物が内部関係者の脅威である可能性は確実に非常に高くなります」とカビラン氏は言います。これらのチームが会合する頻度は組織によって異なると彼は言います。 「月次から四半期ごとまでさまざまです。組織の規模と組織が抱えるセキュリティ リスクの種類によって異なります。しかし、定期的に行うべきです。問題が発生したからといって召集されるものであってはなりません。」

認識。このチームとは別に、会社全体の一般的な意識レベルを高めることで利益が得られるでしょう。デロイトの報告書では、インサイダーリスクを軽減する文化の一環として、従業員向けのインサイダー脅威認識プログラムを確立するよう企業にアドバイスしています。これは、会社の機密情報の機密性に関する会社のポリシーがどのようなものであるか、どのような行為が禁止されているか、何が従業員の監視のきっかけとなる可能性があるか、ポリシーの違反によってどのような懲戒処分が生じる可能性があるかをすべての従業員に知らせるのにも役立ちます。
さらに、デロイトのレポートによると、「内部関係者による脅威について従業員に向けた教育キャンペーンを継続的に実施することで、内部関係者の脅威に対する敏感度が高まり、従業員が資産損失を最小限に抑えるために実行できる具体的で実践的な措置を提供できる可能性があります。」

デロイトの報告書では、セキュリティを重視する人々のネットワークを構築し、不審な行動に関する情報を観察、収集、報告するよう従業員を訓練することも提唱しています。これには、従業員がそのような行為を報告できる方法を確保することも含まれます。レポートでは、このトレーニングが効果的であることを確認するために、このトレーニングをテストする方法を開発することも提案しています。

「従業員に関与を求めるという課題は、実際的な問題でもあるし、認識の問題でもあります」と、米空軍の情報保護部長だったときに内部関係者脅威プログラムを実施したマクガーベイ氏は言う。
警備担当者は、東ドイツのシュタージのように、あらゆることについて全員に報告するよう求めているように見られることを望んでいません。 「まず第一に、それは機能しません、そして第二に、ひどい評判を与えます」とマクガーベイ氏は言います。

しかし、合理的な報告システムを実装する方法はあります。マクガーベイ氏は、苦痛を示す行動パターンを検出できるように従業員を訓練することで、企業は危険にさらされている個人を支援できるようになるだろうと述べている。マクガーベイ氏は、これには人事部やセキュリティ以外の他の部門が関与するだろうと述べています。

空軍では、マクガーベイは軍医総長室や牧師室との連携を頼りに、問題を特定し、問題を抱えた人々にリソースを提供しました。

「個人のところに行って『おい、お前はめちゃくちゃだ、許可を取り消すぞ、解雇する、刑務所に入れるぞ』と言う必要はない。代わりに、『問題があるようだ。カウンセラーに相談に行ってもいいし、牧師に相談に行ってもいいが、誰かに相談する必要がある』と言うだろう」と彼は言う。マクガーベイ。

ただし、このアプローチには専門的なトレーニングが必要です。 「トレーニングは、実際には3つの異なる分野で行う必要があります。警備員が自分たちが扱っている問題とその対処方法を理解できるように、警備員向けのトレーニングを受けなければなりません。これが魔女狩りではないことを理解させるために、一般向けのトレーニングを受けなければなりません。そして、管理者や上級管理職向けのトレーニングを受けて、これがどこから来たのかを理解し、人事などの他の要素との協力を確保できるようにする必要があります。したがって、非常に包括的なプログラムでなければなりません」とマクガーベイ氏は言います。 

トレーニングや報告メカニズムを含むこの種のプログラムの設定と維持に費用を支払うことは、知的財産の損失と比較した場合、費用対効果の高い選択肢です。ただし、コストを抑えるために、企業はこの種のプログラムを最適に実装する方法を考え出す必要があり、場合によってはすでに導入されているセキュリティ構造をオーバーレイする必要があります。たとえば、採用プロセスを強化して、技術的なスキルだけでなく、会社との社会的適合性も求めます。

ある個人が疑惑の対象となり、企業の脅威評価チームと経営陣がその人物をより正式に監視することを決定した場合、企業は法律上の違法行為やプライバシー侵害の告発を避けるために弁護士と協力する必要があります。

従業員の支援。可能な限り、こうした警戒の目的は、ストレスの初期段階で誰かを捕まえ、間違った道に進むのを阻止することです。それを念頭に置いて、会社に不満を抱いている人、個人的な危機に対処している人、または不正行為を検討し始めている人が、危険なインサイダー脅威ゾーンに方向転換するのを防ぐために採用できる可能性のある緩和戦略がいくつかあります。ストック氏は、現在多くの企業が従業員支援プログラム (EAP) を導入しており、それらのサービスが従業員を支援できる可能性があると指摘しています。

デロイトの報告書によると、EAP は「危機に陥り、情報漏洩を目的とした潜在的な内部関係者の前進を妨げる点で決定的な違いをもたらす可能性がある。」報告書はまた、経営陣が関与するようにすることも推奨しています。しかし、ストック氏は、企業は危険信号を察知し、支援を提供する代わりに、「彼らは反射的に反応し、解雇してしまうことがある」と指摘しています。
 

終了
従業員が解雇される場合、その原因に関係なく、企業は退職する従業員が会社に損害を与えたり、企業データを盗んだりする可能性を最小限に抑える手順を定めなければなりません。このプロセスは実際には人が雇用されたときに始まり、その時点で機密保持、機密保持、または非競争契約などの適切な文書に署名するよう求められるはずです。

退職時、特に解雇の場合、最も良い安全策の 1 つは、署名した書類を取り出して再度見せることです。これにより、彼らは法的文書に署名したこと、そして「それが真剣な仕事であること」を思い出させるとマクゴナグル氏は言います。 「誇張しないでください。ただし、繰り返しになりますが、彼らにはあなたに対する義務がまだあるということを思い出してもらいたいのです。」 (もちろん、これは決意の高いリーカーや企業データを悪用しようとする人物を阻止することはできませんが、後の訴追のための法的枠組みを設けることになります。)

次に、会社は、解雇された従業員の会社のシステムやネットワークへのアクセス権限を直ちに削除するプロセスを用意する必要があります。これにより、従業員が解雇後に会社データを持ち出す可能性が減ります。

危害を加えようとする内部関係者は、会社とその情報に近いため、非常に危険な悪役です。包括的なポリシーを整備し、内部関係者による脅威を認識して軽減する文化を備えた用心深い労働力を育成することで、企業は危害を加えようとする信頼できる内部関係者によって資産が侵害される状況を回避できる可能性があります。