コンテンツにスキップ

マイケル・オースティンによるイラスト

カジノサイト 募集: 民間部門の支援

リリー・チャパ著
2016 年 2 月 1 日

印刷問題:2016 年 2 月

米国国家情報指導者らは、2016年にどのような脅威が国を試すことになるのかを把握しており、官民の組織や従業員が防衛の最前線となるよう奨励することに注力していると述べた。

意識向上キャンペーン、教育プログラム、情報共有協定により、国土安全保障機関と諜報機関は国の安全を確保するために民間部門に力を入れています。 

「これは、民間部門が引き続き解決策を推進し、それを政府と共有するよう求めるものです」と、国家防諜安全センター(NCSC)所長で国家情報長官室の国家防諜幹部であるウィリアム・エヴァニナ氏は、セキュリティマネジメント誌のインタビューで語った。 「すべてのイニシアチブと革新的な活動は民間部門で行われます。民間部門にはこれらのソリューションを推進するのに十分な勇気が必要です。」

民間セキュリティ専門家が直面している具体的な課題には、重要インフラへの攻撃、一匹狼のテロ攻撃、サイバーセキュリティなどがあります。

国家安全保障の専門家が最優先に考えているのは、米国の重要インフラに対する攻撃の脅威です。エヴァニナさんは、国の重要なインフラに対する壊滅的な攻撃は壊滅的な被害をもたらす可能性があると説明する。 

「電力網システム、金融セクター、民間企業の場合、緊急時対応計画はありますか?代替電力手段や輸送手段を促進するネットワークが構築されていますか?それが私の最大の懸念です。異なる規模の 9.11 同時多発テロ事件に対する準備はできていますか?」彼は尋ねます。

北東回廊全体の移動を混乱させた昨年5月のフィラデルフィアでのアムトラック脱線事故のような、小さな事故でも麻痺する可能性があるとエヴァニナは指摘する。鉄道の運休について「壊滅的だ」と彼は語った。 「この国では、私たちは小さなことに依存しているだけで、それが大きな問題を引き起こす可能性があります。」

エヴァニナは、自身の諜報活動の背景を踏まえ、大惨事に関するもう一つの懸念は、出来事の原因を直ちに特定できない場合に諜報機関と初期対応者のコミュニティが麻痺することであると付け加えた。

「それがテロの脅威なのか、爆発なのか、爆弾なのか、サイバーなのか、外国の敵なのか、もっと大きな何かなのか、何が起こったのか、最初に特定できなければ分析はできません。」彼は説明する。 「原因不明の重要なインフラストラクチャのシナリオのせいで、夜も眠れなくなります。」

米国国土安全保障省 (DHS) のインフラ保護担当次官ケイトリン・ダーコビッチ氏は、官民双方が重要インフラに関わる可能性が低く影響の大きい事象に対処する準備をしておく必要があることに同意している。

「確率が高く、結果が低いイベントと呼ばれるものへの対処がうまくなってきたと思います」と彼女はセキュリティ管理者に語ります。 「私たちは自然災害への備えが上手になってきました。これまで、確率は低く、結果が大きい攻撃やイベントと考えられてきたことに、ますます懸念を抱いています。それがインターネットであれ、GPS システムへの混乱であれ、率直に言って、セキュリティはインターネットへの依存度がますます高まっており、この種のイベントは業務や企業のセキュリティのやり方に混乱をもたらす可能性があり、私たちはそれらについても考え始めなければなりません。」

デュルコビッチ氏は3年間DHSのインフラ保護局(IP)の責任者を務めている。在職中、彼女はテロ攻撃、異常気象、サイバー攻撃など、重要なインフラが直面するリスクの軽減に重点を置いてきました。彼女はまた、化学施設テロ対策基準 (CFATS) プログラムの変更にも貢献しました。

重要なインフラに関わる大規模な出来事は国の大部分に混乱をもたらすだろうが、より一般的で憂慮すべきシナリオは11月のパリでのテロ攻撃に似た出来事であることをデュルコビッチは認めている。 

「私たちは、重要なインフラや飛行機を兵器化し、建物に飛ばすという壮大なタイプの攻撃からますます、『銃、ナイフ、石など、利用できる道具は何でも持ってくるか、自分で(即席爆発装置)を作ろう。そうすれば、正しいと感じるときに自分の意思で行動できる』という呼びかけへと、ますます移行しつつある」とダーコビッチ氏は説明する。 

潜在的な一匹オオカミを追跡するのは至難の業であるため、知財は潜在的な悪者が爆弾製造材料などの危険物に手に入らないように民間部門と協力することに重点を置いているとデュルコビッチ氏は言う。 

「単独犯罪者を見つけるのが難しいことを認識しながら、モール、スポーツ会場、コンサート、マラソンなど、さまざまなイベントのオープンな運営環境を確保し続けるにはどうすればよいでしょうか?」デュルコビッチは尋ねます。 

1 つの方法は、化学前駆体(それ自体は無害だが、組み合わせると爆弾を引き起こす可能性のある物質)について、そのような商品を販売する小売業者の間で認識を高めることです。たとえば、爆弾製造材料啓発プログラムは、前駆体材料、即席爆発装置 (IED) のコンポーネント、および不審な購入行為を特定する方法を従業員に教えるための企業向けのリソースです。また、法執行機関と地元のビジネスオーナーとの絆も強化されるため、管理者は従業員が不審な行為を報告した場合に何をすべきかを知ることができます。 

DHS が採用している別のアプローチには、前駆体化学物質自体を規制することが含まれます。ダーコビッチ氏は、CFATS プログラムは、一定量の危険な化学物質を保管する組織や施設に適用され、前駆物質の保管および安全確保の方法を規制していると説明します。しかし、技術が進歩するにつれ、より少量の化学物質でも爆弾が発生する可能性があり、これが DHS にとって課題となっています。

「懸念の一部は、時間の経過とともに、IED の構築に必要な材料がますます少なくなることです」と Durkovich 氏は指摘します。 「一定量の前駆体爆発物は規制されていますが、硝酸アンモニウムなどの一部の化学物質は保冷剤の中に含まれていることがあります。そのようなものの規制についてはどう思いますか?CVS で何かを購入する人々を規制することになりたくありません。」

デュルコビッチ氏は、前駆体化学物質の規制のバランスをとるために、意識を高め、不審な活動を報告することの重要性を強調した。「私たちは、負担が大きく管理が難しい規制環境を作りたくないのです」と彼女は言う。  

諜報部門は、あまり目立たないが同様に破壊的な問題であるスピア フィッシングについての意識を高めることに重点を置いています。エヴァニナ氏によると、NCSCは不審な電子メールをクリックするリスクについて連邦職員を教育するキャンペーンを開始したという。この問題は、多くの人が考えているよりも大きな国家安全保障上の脅威をもたらしている、と彼は指摘する。

「過去数年間、重大な侵害の少なくとも 90% はスピア フィッシングの成功によって促進されてきました」と Evanina 氏は説明します。 「外国の諜報機関や敵対組織は、それほど高度である必要はありません。お気に入りのロックスターのビデオが電子メールで送信され、クリックすればそれで終わりです。」 

クレジット カードや医療データなどの個人識別情報 (PII) の盗難は、国家安全保障に重大な影響を与えるとエヴァニナ氏は指摘します。中国などの国々を含む悪者たちは、脆弱で貴重な人々を見つけるために、アメリカ人の PII のデータベースを構築しています。 

「彼らはこの情報を金銭的利益のために利用するつもりはありません」とエヴァニナは指摘します。 「ここに仮定の状況があります。X機関で5年間働いているエンジニアがいます。中国人が彼について知っていたのはそれだけです。その機関の最近の侵害により、彼らは彼が極秘の機密情報を持っており、機密研究を行っていることを知っています。彼らは彼の医療記録を持っており、彼には重大な医療が必要な子供たちがいることがわかり、そのために彼は悲惨な経済的苦境に陥っています。すべてが積み重なっていきます。彼は脆弱であり、お金が必要であり、そして彼は彼らが望むテクノロジーを持っています。」 

だからこそ、2015 年 6 月に人事管理局 (OPM) がハッキングされたことによる余波は今後も続くだろうと彼は説明する。 NCSC は、ハッキング被害者 2,100 万人が今後数年後に起こる可能性のある事態に備えられるよう取り組んでいます。 

情報機関は、OPM 侵害の後、その法定権限には政府機関に対する IT の脆弱性の特定や、システムを保護する方法に関する推奨事項の提供は含まれていない、代わりに攻撃から身を守るのが機関の責任であると述べた書簡を発表し、反発を受けました。

「OPM違反は防諜活動に多大な影響を与えた。国の防諜当局トップの唯一の反応は、それは自分たちの仕事ではないと言うことだ」とロン・ワイデン上院議員(民主党-オレゴン州)は書簡への返信で述べた。 「これは大規模な対諜報活動の失敗に対する官僚的な対応であり、アメリカを守るよう信頼されている個人にはふさわしくありません。NCSC は政府機関に IT セキュリティを改善する方法についてアドバイスする必要はありませんが、関連機関がデータを保護するために必要な措置を講じられるように脆弱性を特定する必要があります。」

エヴァニナ氏はNCSCの立場を擁護し、同組織にはサイバーセキュリティに関する指導を行う能力がないと述べた。代わりに、政府機関は DHS の連邦情報セキュリティ近代化法に準拠してネットワークを保護する必要がある、と彼は言います。 

「インテリジェンス コミュニティの一員として私たちが行っていることは、目に入るすべての関連データとインテリジェンスを収集し、そのインテリジェンスをそれらの機関に提供することです」とエヴァニナ氏は説明します。 「私たちは彼らにインテリジェンスから身を守る方法を教えません。『この脅威情報が世の中にあることを知っておく必要があるので、適切な措置を講じてください』と言うだけです。私たちは IT セキュリティ ビジネスではなく、脅威と警告のビジネスに携わっています。」

デュルコビッチ氏は、企業が外部からの攻撃と社内からの攻撃の両方から新たな脅威に対して自らを守るために率先して行動することを奨励しています。 「結局のところ、安全性や回復力は最も弱い部分と同じくらいです」と彼女は言います。 「非常に堅牢な事業継続計画を策定しているかもしれませんが、セキュリティと復元力に対するアプローチがあなたと同じではないベンダーや誰かがいる場合、脆弱になります。」

そして、脅威に関係なく、エヴァニナは民間組織が国の安全を守る上で重要な役割を果たしていると強調する。 「200年以上にわたり、政府はこうした問題の多くを解決してきませんでした」と彼は言う。 「民間部門には、これらの解決策を推進するための才能、スキル、イノベーションがすべてあります。私たちはそれを実現する方法を見つけなければなりません。共生関係がなければなりませんが、民間部門は政府に支援を求めるのをやめ、解決策を推進し始め、それを政府に押し付ける必要もあります。」

arrow_upward