スロットマシンサイト 民間部門における内部関係者の脅威
2010年に文書アーカイブのウィキリークスがイラク戦争とアフガニスタン戦争における米国政府の役割に関する機密情報の投稿を開始したとき、連邦政府は機密情報のセキュリティへの取り組みに慌てた。バラク・オバマ大統領は2012年に行政府の内部者脅威プログラムの最低基準の確立を求める大統領令を可決したが、その指針は民間部門に対応できなかった。このことは、防衛請負業者のエドワード・スノーデンが何千もの機密文書を漏洩したことで痛ましいほどに明らかになった。
米国連邦政府は現在、機密情報を扱う政府機関に内部者脅威プログラムの開発を義務付ける、2012 年の国家内部者脅威政策を変更する準備を整えています。また、国の機密情報の 90 パーセントは産業環境内で発生しているため、政府の防衛請負業者もこのポリシーに従わなければなりません。そこで国家産業安全保障プログラム (NISP) が登場すると、情報セキュリティ監視局 (ISOO) の所長であるジョン フィッツパトリック氏は説明します。
機密情報を扱うすべての防衛請負業者は、機密情報の不正な開示を防ぐための要件、制限、およびその他の安全措置を規定する NISP 運用マニュアル (NISPOM) を遵守する必要があります。
フィッツパトリック氏によると、企業は政府機関とは異なるため、NISP の考えは、業界環境に合わせて適切に調整された機密情報を保護するためのメカニズムを持つことです。 「一度調整した保護レベルは同じである必要があります。それが NISP の仕事です」と彼は説明します。
諜報・国家安全保障同盟の白書によると、詐欺、知的財産の窃盗、IT妨害行為、スパイ行為による被害は増加しており、過去10年間で平均1,500万ドルに達しているため、民間部門に義務付けられたインサイダー脅威プログラムは非常に重要である。 2013 年の調査「米国民間部門におけるインサイダー脅威プログラムの予備調査」では、インタビューを受けた 13 組織のうち半数強が正式なインサイダー脅威軽減プログラムを導入しており、それらのプログラムは主にテクノロジーに重点を置き、ネットワーク トラフィックやオンラインで不審な行動を示す人々を監視していることが判明しました。
しかし、この研究では、内部関係者の脅威はコンピューターではなく人間であり、「組織は、異常、不審、または技術的ではない行動などの心理社会的事象を特定する必要がある」と指摘しています。
この文書はまた、企業が組織全体にわたるインサイダー脅威軽減プログラムを開発し、技術者および非技術者従業員の監視を実施し、効果的なトレーニングと意識向上プログラムを実践し、防諜調査と調査を実施することを推奨しています。
NISP 政策諮問委員会 (NISPPAC) は、2014 年 3 月に、同組織が米国国防総省 (DoD) と協力して国家内部者脅威政策の業界解釈を公開し、最終的に国家政策と同様の義務付けられた内部者脅威プログラムを策定していると発表しました。 Conforming Change Two と呼ばれるこのガイダンスは、7 月末までに正式に NISPOM に追加され、機密情報を扱うすべての防衛請負業者に内部関係者脅威ポリシーを策定することが契約上義務付けられます。
政府機関を対象とした大統領令を採用し、それを費用対効果の高い、業界に適用可能な標準に変えるのは簡単な作業ではありません。規格作成においてNISPを代表するNISPPACには行政府機関の代表13名と民間部門の代表8名が含まれており、現在フィッツパトリック氏が率いている。彼は、このグループの目標は、国家インサイダー脅威政策の該当部分を取り出して、防衛請負業者がより理解しやすく、より簡単に実行できるように編集することであると説明しています。
国防総省当局者によると、業界が解釈するインサイダー脅威プログラムでは、潜在的または実際のインサイダー脅威を示す関連情報を収集、統合、報告することが請負業者に求められるという。すべての請負業者は、内部関係者による脅威の認識と機密情報の取り扱いに伴うセキュリティ リスクに関する年次トレーニングを完了する必要があります。各組織の上級職員は、機密情報システムのセキュリティに対する責任を個人的に引き受ける必要があります。請負業者はまた、防諜、セキュリティ、情報保証、および人事記録を使用して、内部関係者の脅威の兆候を報告する必要があります。
もう一つの変化は、インシデント管理の責任が請負業者から政府に移ることです。新しいガイダンスの下では、その企業のインサイダー脅威プログラムによって捜査が行われた場合、その組織で任命された防諜担当者が連邦捜査官との連絡窓口となる。
このプログラムの中核となるコンセプトは、潜在的な内部関係者の脅威に関する情報収集において協力し、積極的な役割を果たすという請負業者により多くの責任を課していると、Global Skills X-change のセキュリティ プログラム ディレクターであり、カジノサイト 国際防衛情報評議会の議長である Daniel McGarvey 氏は説明します。プログラムを正常に実装するには、セキュリティ、法務、人事、IT 担当者が協力する必要があります。
IT と人事の連携では、潜在的な悪意のある内部関係者の行動、さらには職場暴力を起こしやすい人物の行動にも重点が置かれていると McGarvey 氏は指摘します。
「資産の盗難だけでなく暴力など、内部関係者の脅威にどのように対処するかを実際に再考する必要に迫られています」と彼は説明します。 「従来、私たちはこの 2 つを区別してきましたが、行動特性の観点から見ると、これは実際には別個の出来事ではなく、単に人々が問題にどう対処するかにすぎないことに気づきました。そのため、私たちは現在のテクノロジーを使用してこの問題を徹底的に考える必要に迫られています。」
フィッツパトリックも同意する。同氏は、機密情報を突然危険にさらすような信頼できる人物の変化を検出できる機能をセキュリティ環境に組み込む必要があると述べています。 「この国家政策を通じて内部関係者の脅威を強調することは、単にドアの施錠やコンピュータのパスワード、そのリスクを評価するための定期的な再調査以外にも多くのツールがあることを組織に思い出させることです」とフィッツパトリック氏は説明する。 「『ここ数か月、あの人は何かがおかしい、それは何なのか、なぜなのか?』に気づく上司が必要です。」
フィッツパトリック氏は、NISPOM アップデートの最も重要な部分は、情報提供と従業員の積極的な調査において請負業者がどのような役割を果たしているかを正確に明確にすることだと述べています。企業の責任に関する懸念は大きな問題であり、現在潜在的な内部関係者の脅威を調査している企業は、代わりにその責任を連邦機関に委ねる必要がある、と同氏は述べています。
「政府機関が企業と協力して行うことと、政府の要求に応じて政府が企業に期待することの境界線は何ですか?」フィッツパトリック氏はこう指摘する。 「それは私たちが明確にしなければならない紙一重です。私たちは企業に調査を開始するよう求めているわけではありませんが、政府の調査を裏付ける情報を企業に求めることはあるかもしれません。」
マクガーベイは、カジノサイト 防衛情報評議会、NISPPAC および国防保安庁のメンバーと協力して、適合する変更が公開される前に課題に先制的に対処してきました。国防総省は、承認されたすべての請負業者に対し、公開から 6 か月以内に変更を実装するよう要求します。
マクガーベイ氏が提起した懸念の1つは、各組織が任命することになっている防諜担当者に関係する。その人物は誰であり、どのような訓練を受けるべきなのか?こうした疑問は、NISPOM の変更では概説されていない、と McGarvey 氏は指摘します。
「現在、治安職員に対するいかなる種類の対諜報訓練も行われていない」とマクガーベイ氏は言う。 「唯一の正式な訓練は、連邦対諜報員に対して政府によって行われます。治安担当者は、あらゆる種類の対諜報技術や手品を知っている必要はありませんが、知っておく必要がある選択された分野があります。」
この問題に対処するために、マクガーベイと国防情報評議会は防諜部門の側面を分析し、その任務にどのような重要なスキルが必要かを判断してきました。同評議会は、業界と政府の両方の参加者で構成される多数の作業グループを組織し、ポリシーの作成方法だけでなく、実施の影響も検討しています。これらのグループは、実装アプローチを開発するか、実装を実現可能にするためにポリシーを変更することに取り組みます。
もう 1 つの懸念は、実施に伴う避けられないコストです。NISP の最大の役割の 1 つは、政府機関向けの大統領令の実施に伴うコストを削減することです。これに対処するために、市議会は、費用対効果の高い導入戦略と、適合する変更の価値を高めるためのセキュリティ指標の使用方法を教えるインサイダー脅威証明書ワークショップを作成した、とマクガーベイ氏は述べています。
「私たちが検討した内容の多くは、何も追加するのではなく、既存の機能の一部を再利用することでした」と McGarvey 氏は説明します。 「私たちは必須のものを取り入れて、効果的なものにするために追加しました。」