カジノサイト 内部関係者の脅威に対して有利なスタートを切る
政府職員が政府の機密情報にアクセスするには、事前に広範な身元調査に合格し、連邦ガイドラインに基づくセキュリティ許可を取得する必要があります。しかし、民間部門の従業員が同じ機密情報にアクセスする必要がある場合、セキュリティ要件は少し曖昧になります。そのため、国家産業安全保障プログラム (NISP) は、民間部門の雇用主に対する機密情報の不正な開示を防ぐための要件、制限、その他の保護措置を規定する NISP 運営マニュアル (NISPOM) の変更の策定に取り組んでいます。
適合変更 2 として知られる、NISPOM に対するこれらの最新の修正は、2012 年に制定された国家インサイダー脅威政策の業界解釈とみなされ、機密情報を扱う政府機関にインサイダー脅威プログラムの開発を義務付けています。 Global Skills X-change のセキュリティ プログラムのディレクターであり、カジノサイト 国際防衛情報評議会の議長であるダニエル マクガーベイ氏は、民間部門向けのガイダンスの開発に携わってきました。同氏はセキュリティ管理部門に対し、適合変更 2 の導入は少なくとも 6 か月遅れているものの、政府の請負業者はすでに自社でこのプログラムの導入を開始していると述べています。
「私たちは適合変化を導入するためのワークショップを行ってきましたが、その準備方法について企業と話し合っているだけで、カジノサイト International を通じて行ったプレゼンテーションは立ち見のみでした。」と McGarvey 氏は説明します。 「各プレゼンテーションには 200 ~ 300 人の参加者がありました。」
プログラムの施行には時間的余裕はほとんどありません。米国国防総省 (DoD) 傘下の国防保安局によってこの変更が正式に推進されると、機密資料にアクセスできる民間企業はプログラムを完全に実施するまで 180 日の猶予が与えられます。この変更により、請負業者は潜在的または実際の内部関係者による脅威を示す関連情報を収集、統合、報告することが義務付けられ、各組織の上級職員は機密情報システムのセキュリティに対する責任を自ら引き受ける必要がある。請負業者はまた、防諜、セキュリティ、情報保証、および人事記録を使用して、内部関係者の脅威の兆候を報告する必要があります。
更新されたNISPOMは昨年夏にリリースされる予定だったが、より多くのサイバーセキュリティ関連要素を含む改訂のため遅れた、とMcGarvey氏は言う。この手順は今後、米国土安全保障省にも適用され、同省のすべての機関と請負業者が包括的な安全保障要件に該当することになる。
マクガーベイ氏は、多くの請負業者が差し迫った変化に圧倒されており、それがもたらす価値を理解していないため、それが「面倒なプロセス」であると信じていると述べています。 「このプログラムで何ができるかをひとたび説明すると、人々はそれが非常に合理的であると感じます」と彼は指摘します。 「このプロセスを導入した大企業の何人かの CSO と話をしましたが、彼らはこのプロセスが非常にうまく機能していると言っています。」
Booz Allen Hamilton の企業セキュリティ担当ディレクターである Art Davis 氏は、新しい NISPOM 要件が実現される前は、彼の組織にはインサイダー脅威プログラムがあまり存在していなかった、とセキュリティ管理部門に語った。 「私たちは、どの大手企業も抱いている懸念を持っていました」と彼は説明します。 「当社には、従業員のプライバシー、機密情報の保護、IT システムの許容可能な使用を扱うポリシーがありました。」
デイビスと彼のチームは、連邦政府のインサイダー脅威政策についてさらに学ぶにつれ、連邦政府機関が新しいプログラムを実施している方法をモデルにしたブーズ・アレンでのプログラムを実施することにしました。 「私たちは、それが産業界に課せられることを知っていました。そして、さまざまな政府部門や機関に対して行われている規定を調べたとき、私たちは、それが産業界のものと非常によく似た見た目、匂い、味をするだろうと一種の仮定を立てました」と彼は説明します。
最終草案が発表されていないため、適合変更 2 が何を伴うのか正確にはわかりませんが、デイビス氏は、このような厳格なインサイダー脅威プログラムを構築することにためらいはないと述べました。
「私たちはスタッフの健康を心配し、知的財産の盗難を心配しています。政府が当初懸念を表明していたもの以外にも、さまざまなことを心配しています。それは許可を得ている人々だけでした。」とデイビス氏は説明します。
最初のステップは、法律事務所、従業員関係、人事など、論理的にそのようなプログラムに関与する社内の他の部門とより緊密に連携することでした。デイビス氏によれば、最も困難だったのは、ブーズ・アレン社内でガバナンス構造を構築し、株主からの賛同を確保することであったという。ブーズ・アレンにおけるインサイダー脅威プログラムがどうなるかについては、実務レベルから執行副社長レベルまでの運営委員会、および同社の倫理委員会が全員発言権を持っていた。 「ご想像のとおり、それは一夜にして起こったわけではありません」とデイビス氏は述べています。
指導部はまた、NISPOM の要求に従って、内部関係者脅威に関する訓練と実践が、許可を持つ従業員だけでなく、会社で働くすべての従業員に適用されることにも同意した。 「当初、この制度を全社に適用するという決断を下したことは、経営陣の側としては非常に良い決断だったと思います」とデイビス氏は言う。 「社内のどのグループも差別しません。全員を同じレベルに保ちます。」
このインサイダー脅威プログラムを機密情報に接触している従業員だけでなく、すべての従業員に適用するというアイデアは人気があることが証明されているとマクガーベイ氏は述べています。 カジノサイト 防衛情報評議会が主催する多くの参加者が参加する実施ワークショップには、他の業界や国際機関のセキュリティーリーダーを含む、プログラムの遵守に必要な請負業者をはるかに上回る参加者が集まったとマクガーベイ氏は述べています。
「防衛機関や諜報機関だけでなく、インサイダーの脅威に対処しようとすることに関しては、非常に多くの関心が集まっています」とマクガーベイ氏は説明する。 「これはすべての企業に影響を及ぼします。NISPOM は機密契約のみを扱っていますが、インサイダーの脅威はどの企業でも人々に起こっています。」
マクガーベイ氏は、NISPOMは機密情報を扱うサードパーティの下請け業者には適用されず、それを国防総省に持ち込んだことだと指摘した。マクガーベイ氏は、機密情報を扱う前に下請け業者をどのように精査すべきかについて業界全体で定めた言語がないため、ワークショップでは元請け業者が率先して下請け業者との関係に同じポリシーを組み込むよう奨励していると述べた。
「下請け業者が内部で問題を抱えている場合、それは元請け業者にとって大きな問題です」と McGarvey 氏は説明します。 「下請け契約内に要件を組み込むことで、元請け業者にはそれらの問題を最小限に抑える法的権限が与えられます。」
たとえば、軍用機の製造契約を防衛請負会社に与える場合、航空機は機密環境で製造されるため、その会社は契約を受け取るためにNISPOMを遵守する必要があります。その後、元請け業者は、NISPOM と同じ契約上の要件を採用し、航空機の製造に関与する下請け業者との契約にそれらの要件を規定します。
「課題は、政府が元請け業者しか見ていないことです。特別な問題がない限り、下請け業者には目を向けることができないのです」とマクガーベイ氏は指摘する。 「しかし、元請け業者は、協力している下請け業者が同じガイドラインに従っていることを確認することができます。」
McGarvey 氏は、今後の変更により、職場が NISPOM に準拠していることを確認するためにセキュリティ担当者が法務、IT、人事部門と連携する必要があるという追加の利点があると述べています。これにより、セキュリティ担当者がプロセスを主導し、結束力のある個人グループをまとめて問題に共同で取り組むことが可能になる、と同氏は説明する。
デイビスもこれに同意し、ブーズ・アレンが職場でこのプログラムを導入して以来、「すでに会社に利益をもたらしている」と述べています。
「現在、会社全体から意見をいただいています」とデイビス氏は説明します。 「私たちに意見を与えてくれるのは IT ツールだけではありません。問題について教えてくれるのは人々です。問題を抱えていて問題を提起することを恐れていない人々です。職場での暴力を防止し、その他にもさまざまな活動を行っています。」
業界は依然として国防総省がNISPOMへの正式な変更を発表するのを待っているが、マクガーベイ氏は政府請負業者やその他の企業に対し、新しいプログラムについての教育を開始するよう奨励している。
「これはセキュリティに対するまさに 21 世紀のアプローチです。なぜなら、どのようなセキュリティが存在するのかを検討し、社内にすでに存在するこれらの領域の一部を再利用すれば、内部関係者に対処するより堅牢なセキュリティ構造を構築できると言えるからです」と McGarvey 氏は言います。 「そして、これを外部制御やサイバーセキュリティと組み合わせると、非常に優れた包括的なプログラムが完成します。」