これはおそらく、現代におけるインサイダー脅威の最も悪名高い事件です。 2013 年の春から夏にかけて、当時国家安全保障局 (NSA) の請負業者で Sharepoint 管理者のエドワード スノーデンは、NSA の電話メタデータ大量監視プログラムに関する何千もの文書を USB ドライブにダウンロードし、香港行きの航空券を予約し、それらの文書をメディアに漏洩しました。

国際的な捜査が開始され、スノーデンはモスクワに逃亡し、米国議会で公聴会が開催され、新たな内部情報漏洩を防ぐための新しい政策が策定されました。信頼できる内部関係者が組織に与える可能性のある損害は、痛ましいほどに明らかになりました。

「2013 年の春に私に尋ねられたら…テクノロジー、人材、手順を検証する際の事業提案の擁護状況はどうですか? 私は『良い。完璧ではありません』と答えただろう」と、スノーデン情報漏洩時に NSA の元副長官で文民上級指導者だったクリス・イングリス氏は、サンフランシスコで開催された 2017 年の RSA 会議でのプレゼンテーションで語った。

「私なら、『私たちの起源と基盤、そして情報保証の関係者を考慮すると、それは必要な対応だと信じています』と言ったでしょう」と彼は説明した。 「私たちは、このアーキテクチャ (人材、手順、テクノロジー) が防御可能になるようにしています。」

イングリス氏はまた、NSAは内部関係者を精査して信頼性を確保し、職務を遂行する権限を与え、意図的か非意図的かに関わらずその権限を超えた場合は是正するためにフォローアップしたとも述べただろう。 

「私たちは重大な間違いを犯しました。私たちは、外部からの外部の脅威は内部からの脅威とは種類が異なると考えていました」とイングリス氏は語った。 「今日の私の見解は、それらはまったく同じです。それらはすべて特権の行使です。」

イングリス氏の視点は、SANS ファカルティフェローでマカフィー社の元 CTO、ロッキード マーティン社の主席研究員であるエリック コール氏による最近の SANS 調査「間違った敵に対する防御: 2017 Sans Insider Threat Survey」と同様の調査結果を反映しています。

従業員数 100 ～ 100,000 人の組織を対象とした SANS の調査では、組織にとって外部攻撃が主な焦点であるべきであると簡単に結論付けることができることがわかりました。 

「この結論は間違っているでしょう。重要な要素は脅威の源ではなく、損害を与える可能性です」とコール氏は書いた。 「その観点から脅威を評価すると、ほとんどの攻撃は組織の外部から行われる可能性がありますが、最も深刻な被害は内部からの支援によって引き起こされることが明らかになります。」

内部脅威プログラム

スノーデンの情報漏洩や、極秘情報を持ち帰った疑いで告発されたNSA契約職員ハロルド・トーマス・マーティン3世の最近の事件、その他の経済スパイ事件などにより、インサイダーの脅威が与える影響についての意識が高まっている。しかし、多くの組織は、これらの脅威を軽減するためにセキュリティ体制を調整していません。

SANS の調査によると、組織はインサイダー脅威を「個々の脅威環境の中で最も損害を与える可能性のあるコンポーネント」として認識していることがわかりました。 「興味深いことに、ほとんどの組織がその認識に合わせて予算とスタッフを再調整したという兆候はほとんどありません。」

調査対象の組織のうち、49 パーセントは内部関係者脅威プログラムを作成中であると回答しましたが、31 パーセントはまだ計画がなく、そのような計画を通じて内部関係者の脅威に対処していません。 

「残念ながら、効果的な内部関係者脅威プログラムを持たない組織は、攻撃をタイムリーに検出することもできず、そのため関係を定量化することが困難になっている」とSANSは発見した。 「しかし経験上、問題を無視する組織と重大なインシデントが発生する組織の間には直接的な相関関係があります。」

さらに、多くの組織は内部関係者の脅威を監視していないため、ほとんどの組織は内部関係者の脅威を一度も経験したことがないと主張しています。 「回答者の60パーセント以上が、内部関係者の脅威による攻撃を一度も経験したことがないと主張している」とコール氏は書いている。 「この結果は非常に誤解を招きます。回答者の 38% が、内部関係者攻撃を検出する効果的な方法を持っていないと述べていることに注意することが重要です。つまり、本当の問題は、内部関係者の脅威が発生していないのではなく、組織が適切に検出していないことかもしれないことを意味します。」

この調査では、内部関係者の脅威による損失は監視も検出もされていないため、比較的知られていないことも判明しました。このため、組織は内部関係者の脅威による損失を金銭的な条件に換算することができず、問題の解決にリソースを割けない可能性があるため、内部関係者による攻撃のコストを判断することが困難または不可能になります。

たとえば、内部関係者が知的財産や製品計画を盗み、発見されることなく競合他社に販売する可能性があります。

「その後その製品が失敗したのは、誰かが『盗んだ』というよりも、市場の状況やその他の要因が原因である可能性がある」とコール氏は書いている。 「私の経験では、多くの組織は外部要因のせいにする可能性が高く、詳細な調査を経て初めて真の原因が内部関係者に関連していることを発見します。」

そして、内部関係者による攻撃が発生したことを組織が発見したとしても、ほとんどの組織はそれに対処するための正式な内部インシデント対応計画を持っていません。

「内部関係者は一般的な攻撃の脆弱点であると認識されているにもかかわらず、内部関係者の脅威に対処する正式なインシデント対応計画を持っていると回答した回答者は 20% 未満でした」と SANS の調査は示しています。 

代わりに、ほとんどのインシデント対応計画は外部の脅威に焦点を当てており、これが企業が内部関係者の脅威への対応に苦心している理由を説明している可能性があるとコール氏は書いています。

組織はまた、悪意のある内部関係者の脅威と偶発的な内部関係者の脅威、つまり資格情報が盗まれた、または外部の攻撃者に組織へのアクセスを与えるように操作された正規ユーザーの両方に対処するのに苦労しています。 「意図しない内部関係者の関与は、攻撃者が検出されずにネットワークに侵入することを可能にするため、より大きなリスクとかなり大きな損害をもたらす可能性がある」ことが調査で判明した。 「可視性と監視機能の欠如が、悪意のある内部関係者に重点を置いている可能性があります。

これらの脆弱性に対処し始めるために、SANS は組織が最も重要なデータを特定し、そのデータにアクセスできるユーザーを決定し、必要な人のみにアクセスを制限することを推奨します。次に、組織は内部関係者の脅威に対して積極的に対処するために、ユーザーの行動の可視性を高めることに重点を置く必要があります。 

「回答者の 60% が内部関係者による攻撃を経験していないと答えたことには驚きました」とコール氏はプレスリリースで述べた。 「確信度は高いものの、残りの調査データは、組織が内部関係者による脅威を積極的に検出する点でまだ十分に効果的ではないこと、そして個人の行動にさらに重点を置くことで早期の検出と修復が向上することを示しています。」

信頼できる人々

イングリス氏によると、NSAは人材を募集および採用する際、信頼性を確保するために徹底的に審査するという。

「最終的には、信頼できる誰かを企業に迎え入れ、テストを項目ごとに監視しない範囲内で活動する権限を与えたいと考えています。」と彼は説明しました。 「なぜですか？なぜなら、その範囲内で、彼らはあなたの期待、敵対者の期待、競合他社の期待、できれば顧客の期待を超えることができるからです。

従業員には機敏で、創造的で、革新的であることを望んでいます。」

これを行うために、NSAは技術的能力と信頼できる可能性のある人材を見つけるために多大な労力を費やすでしょう。その後、政府または第三者が彼らを精査し、彼らの財政状況や経歴を調査し、彼らを知る人々に聞き取りを行い、ポリグラフ検査を要求する。

スノーデンの漏洩後、米国連邦政府は契約経歴調査会社である米国捜査局(USIS)の業務を調査した。 USISはスノーデンとワシントン海軍工廠銃撃犯アーロン・アレクシスの両方を排除していた。政府はその会社との契約業務を削減することを決定した。

USISはその後、米国連邦詐欺容疑の解決に3,000万ドルを支払うことに同意し、身元調査の実施に対して米国人事管理局が支払うべき支払いを放棄した。この事件に関するザ・ヒルの報道によれば、容疑には、USIS内部の目標を達成するために低レベルとみなした個々の事件を「フラッシュ」または「廃棄」する陰謀の実行が含まれていた。

「将来および現在の連邦職員の身元調査を委託した企業による手抜きは容認できない」と当時米国司法省民事局長だったベンジャミン・マイザー氏は声明で述べた。 「司法省は、政府と取引する人々に、私たちが交渉したすべてのサービスを提供することを保証します。」

キャメロット・インベスティゲーションズのオーナー兼社長であり、カジノサイト国際調査評議会の議長であるサンドラ・スティバーズ氏によると、プロセスのこの部分、つまり潜在的な従業員の精査と身元調査の実施は、多くの民間企業が間違っているところだという。

「私が何度も遭遇したのは、企業は身元調査を行っているつもりでも、徹底した身元調査を行っていないということです。彼らはそれを適切に行っていないのです」と彼女は言います。 

たとえば、多くの企業は、内定者を調査するために身元調査機関を雇います。スティバーズ氏によると、この機関は、全国的な犯罪捜査を行っているとよく言うが、実際にはオンライン上の米国の州や郡の犯罪記録や法廷記録にアクセスできるデータベースを通じて名前を調べているだけだ。

「しかし、郡や州の大多数では、オンラインで犯罪記録にアクセスできません」と彼女は付け加えた。 「あなたが獲得している人々と人的要素の問題を本当に認識するには、専門の誰かを雇う必要があり、適切な身元調査を行うために資金を投資する必要があります。」

これを行うには、企業は将来の従業員に身元調査を行うことを通知する権利放棄書に署名させる必要があります。スティバーズ氏によれば、この調査には、その個人が住んでいたすべての郡および州の犯罪記録を調べる必要があり、その多くは直接訪問する必要がある。

彼女はまた、将来の従業員が行った可能性のある過剰な連邦裁判所への提出を調査するよう勧めています。

「私は民事訴訟、特に連邦裁判所を探すつもりです。原告としてリストされている人々が公民権差別などで企業を相手に訴訟を起こしているので、彼らは会社を焼き払ってそこから金を巻き上げることができるのです。」とスティバーズ氏は付け加えた。

さらに、スティバーズさんは、判決、税金の先取特権、破産者を探すことを提案しています。なぜなら、それによって、その人が信頼できるかどうかについての視点が得られるからです。

「必ずしも事件解決につながるわけではありませんが、この人が自分自身を管理できるかどうかを全体的に把握する必要があります。自分を管理できない場合、その人は最も優秀な従業員にならない可能性があるからです。」と彼女は言います。

企業は、経歴調査の際に、潜在的な従業員の公開されているソーシャル メディアでの存在も調査する必要があります。企業は、後々の法的問題を回避するために、応募者が身元調査に同意して署名する権利放棄書に、プロセスのこの部分に関する情報を含めることができます。 

「オンラインにアクセスして、彼らに関するおしゃべりが見られるかどうか、または彼らが頻繁にチャットしているかどうか、あるいは彼らが Facebook、LinkedIn、Twitter を運営している場合は不適切である可能性のある投稿にコメントするかどうかを確認するつもりです」とスティバーズ氏は言います。 

ソーシャルメディアに頻繁に投稿するのは危険信号かもしれません。 「Facebook で 1 日に 7、8、9、または 10 回投稿している人を見つけた場合、これがトリガーポイントになります。なぜなら、彼らにとってソーシャル メディアは他の何をしているよりも重要だからです」とスティバーズ氏は付け加えます。

また、将来の従業員が採用されたからといって、会社がその従業員のソーシャル メディアの監視を中止する必要があるわけではありません。継続的な審査は通常日常的な措置ですが、最初の審査プロセスを通過した従業員に対しては懲戒処分につながる可能性があります。たとえば、スティバーズ氏は、ある企業が特定の行動について懸念を抱いたため、ある従業員を調査するためにその企業に雇われました。

「報道されていない犯罪歴を発見しただけでなく、その従業員が基本的にギャングのメンバーであることを示すソーシャル メディアも発見しました。銃の写真やその一部始終が含まれていました。」とスティバーズ氏は言います。

新入社員を入社させたら、組織の文化を紹介することも重要であるが、これはスノーデン氏の新人研修プロセスには欠けていた側面だとイングリス氏は語った。これは、NSAで働く請負業者として、米国政府が彼を訓練することが規制により禁止されていたためである。 

「どの日に現れても、人は商品として現れます。座って仕事をするのが当然です。座って、黙って、線の中に色を塗るのです。」とイングリスは説明した。

したがって、スノーデン氏がNSAに着任した初日、彼は他の職員のようにNSA博物館に連れて行かれず、NSAの歴史、新入職員の宣誓の意味、NSAの米国への貢献について教えられた。

「この組織の今後の活力と重要性について説明する歴史の授業を受けたので、現時点でドライアイがないことを願っています」とイングリスは説明した。 「請負業者に対してはそのようなことはしません。請負業者はすでにその教訓を得ていると考えているだけです。」

企業が請負業者や他の従業員に組織の使命や文化を紹介できなければ、それらの従業員は自分が組織の一員であると感じられなくなります。

信頼できるテクノロジー

信頼できる人材を採用したら、企業はデータにアクセスできる人、不当なアクセスを防ぐためにデータにどのような制御が行われているか、ネットワーク全体でそのアクセスがどのように監視されているかを評価する必要があります。

「私があらゆる企業に常に推奨していることの 1 つは、すべてのネットワークに監視システムを導入することです。それが問題の発生を回避する最大の方法の 1 つです」と Stibbards 氏は言います。 「会社で働いている人が 5 人であろうと 100 人であろうと、全員に周知し、すべてのシステム (ラップトップであろうとネットワーク上のあらゆるものであろうと) が会社によって監視されていることを採用時に認識していれば、彼らが不適切なことをしたり、情報を持ち出したりしない可能性がはるかに高くなります。」

これらのシステムは、特定のデータがアクセスされた場合、または異常な種類のファイルがネットワークから別のアドレスに電子メールで送信された場合にフラグを立てるように設定できます。 

Gigamon のセキュリティ アーキテクト仲間であり、ブルームバーグ LP の元 CISO であるサイモン ギブソン氏は、ブルームバーグにこのようなシステムをセットアップしており、幹部の署名が記載された Adobe PDF とともに送信される電子メールをセキュリティ スタッフに警告しました。

「彼は数十億ドルの小切手を振り出すことができる男です」とギブソンは説明する。 「Adobe PDF で送信されている電子メールで彼の署名が検出されました。それは単なる彼の署名でした…もちろん、そんなことをする唯一の理由は、偽造するためですよね?」

そこで、セキュリティ チームは事業部門に不正行為の可能性を警告しました。しかし、簡単な議論の結果、チームは幹部の署名が新入社員向けのウェルカムレターを作成するために請負業者によって送られていたことが判明した。

「内部関係者の観点から見ると、これが良いことなのか悪いことなのかわかりませんでした」とギブソン氏は言います。 「よほどの理由がない限り、この男の署名を電子メールに含めるべきではないことはわかっていました。」

ありがたいことに、ブルームバーグには、その種の活動が自社のネットワーク内で行われていることを検出するように設計されたシステムがあり、それが悪意のあるものであるかどうかを迅速に判断することができました。エンタープライズ データ セキュリティ プロバイダーである Varonis のテクニカル エバンジェリスト、ブライアン ヴェッチ氏は、すべての企業が同じ立場にあるわけではないと述べています。

セキュリティ擁護者としての役割において、Vecci は企業に出向き、リスク評価を実施して企業がどのような種類の機密データを保有しているかを調査します。彼が調査した企業の 47% は、ネットワーク上の全員に公開されている 1,000 以上の機密データ ファイルを保有していました。 「22% は 10,000 か 12,000 以上のファイルを誰でも公開していたと思います」と Vecci 氏は説明します。 「データが多すぎて複雑なため、コントロールが壊れているだけです。」

この問題に対処し始めるために、企業は最も機密性の高いデータが何かを特定し、リスク評価を行って組織がどのレベルのリスクにさらされているかを理解する必要があります。 「何がどこにあるのかを把握し、いくつかの指標を設定したり、このデータに関連するリスクが何かを把握したりしなければ、リスクを軽減するための計画を立てることはできません」と Vecci 氏は言います。 

企業は、誰がどの種類のデータにアクセスできるかを評価し、そのレベルのアクセスを強制するための制御を作成する必要があります。 

これは、スノーデンが何千もの文書へのアクセスを許可し、その後漏洩することができた領域の1つです。スノーデン氏は Sharepoint 管理者で、何千人ものアナリストがその情報を使用して脅威を追跡できるようにサーバーを設置しました。彼の仕事は、NSA が情報をどのように収集、処理、保存、問い合わせ、生成するかを理解することでした。

「これはかなり豊富で危険な情報であり、現在私たちが知っていることです」とイングリス氏は語った。 「そして、そのコントロールは比較的低めでした。欠けているわけではありませんが、低めでした。それは、観客がそのスピードで走って、彼らの期待を上回ることを望んでいたからです。」

漏洩を受けて、NSAはデータアクセスをより厳しく管理する必要があることに気づいた。スノーデンのような大規模な漏洩が起こる可能性は低いものの、実際に起こった場合の影響は極めて大きいからである。 

「こうした作戦が行われる前に比べて、パフォーマンスが十分ではなくなっているのでしょうか？その通りです」とイングリス氏は説明した。 「しかし、それは信頼と能力という 2 つの優れた要素を調整するために必要なものなのでしょうか? もちろんです。」

さらに、企業は従業員の職場での物理的アクセスを監視し、行動の異常を検出するシステムを導入する必要があります。たとえば、通常は午前 8 時に出勤し、午後 5 時に退社するシステム管理者がいるとします。毎日、午前 2 時に突然オフィスに出社したり、通常のローテーションではないデータ ストレージ ユニットを備えた職場に現れたりした場合、その行為は危険信号である必要があります。

「それは手がかりになるはずですが、点と点を結びつけなければ、それを見逃してしまうでしょう」とイングリスは言った。  

信頼できるプロセス

しかし、ネットワーク トラフィックを監視するためのテクノロジーを実際に有効にするには、企業は異常に対応するプロセスを備えている必要があります。多くの場合、セキュリティ チームは社内の事業部門が何を行っているかを完全に認識していないことが多いため、これは特に重要だとギブソン氏は言います。

ブルームバーグに在籍中、彼のチームは、誰かが機密マークを付けた文書などのソフトウェアを個人の電子メール アドレスに送信したという警告を時々受け取っていました。 「アラートが発生すると、セキュリティ チームのオフィスにアラートが届き、私のチームが最初にアラートを開いて調べ、分析を試みます」とギブソン氏は説明します。 「問題は、セキュリティ チームには何が専有的で価値があり、何がそうでないのかを知る方法がないことです。」

この情報を収集するには、セキュリティ チームが組織の他のメンバーと健全な関係を築く必要があり、必要に応じて社内の他のメンバーに連絡を取り、アラートが真の脅威であるか、署名メールのように正当なビジネスであるかを迅速に判断できます。 

企業は、従業員が自分の資格情報を使用してネットワーク上のデータに不適切にアクセスしたかどうか、またはそれらの資格情報が侵害されて悪意のある攻撃者によって使用されたかどうかを判断するためのプロセスを整備する必要もあります。 

ギブソン氏によれば、ほとんどの攻撃は人の認証情報を使用して実行されるため、これは内部脅威の観点からギガモンで調査している主要な脅威の 1 つです。 「ほとんどの場合、ネットワーク上ではすべてが内部関係者の脅威のように見えます」と彼は付け加えます。 「当社の IT 管理者の例を見てください。誰かが自分のユーザー名とパスワードを使用してドメイン コントローラーにログインし、データを盗みました。私はネットワーク上で行われたアクションを見ていません。それは悪いことかもしれないし、悪いことではないかもしれません。実際に判断したいのは、これらの資格情報が適切に使用されているかどうかです。」

セキュリティ チームは人事部門と協力して、スノーデンのようなシステム管理者など、企業データに例外的にアクセスできる可能性のある潜在的な問題のある従業員に注意する必要もあります。

たとえば、イングリス氏は、スノーデン氏が職場で起きた事件に巻き込まれ、その出来事がNSAでの仕事に対する彼の感じ方を変えたかもしれないと語った。 NSA のシステムに信じられないほどのアクセス権を持つシステム管理者として、イングリス氏は、スノーデン氏が NSA のネットワークを攻撃した場合の影響は大きいため、2012 年の事件の後、彼を注意深く監視することは理にかなっていたと述べた。

「人事、情報技術、物理システムを、何らかの形で接続されていない 3 つの個別のドメインとして扱うことはできません。」とイングリス氏は言いました。

企業が信頼できる人材を雇用し、ネットワーク監視テクノロジーを使用し、アラートに対応する手順を使用していることを確認するためにこれらすべての措置を講じることは、内部関係者の脅威を防ぐのに役立ちます。しかし、イングリスも知っているように、保証はありません。

「結果論は 20/20 です。『理論的にはこのニュアンスを理解できるだろうか』と考えて判断する必要があります。」