カジノサイト
人員の危険: 内部関係者の脅威のリスク
従業員が機密情報を盗むと、組織にとって頭痛の種となるだけでなく、選別された従業員や精査されたビジネス パートナーの信頼性に対する信頼が損なわれます。
2013年の米国家安全保障局請負業者エドワード・スノーデンによる情報漏洩、2009年のニダル・ハサン少佐によるフォート・フッドへの暴力攻撃、2013年のワシントン海軍工廠射手アーロン・アレクシスなど、最近の一連の注目を集める事件を受けて、米国政府は機密プログラムに対する既存の審査プロセスとセキュリティ基準が不十分であると判断した。政府機関および特定の政府請負業者に対するインサイダー脅威プログラムの確立に対する新たな要件など、主要な政策変更が実施されました。この要件により、政府関連組織が従業員管理に取り組む方法が変わり、既存のインサイダー脅威慣行が体系化されました。
たとえ政府と協力していないとしても、民間部門の組織にとってそれは何を意味しますか?米国国防総省 (DoD) スタイルのインサイダー脅威プログラムの特定の機能は、実装が比較的簡単で、セキュリティが大幅に強化される場合があります。従来の管理上および物理的なセキュリティ慣行(ドアの施錠、警報システム、在庫管理など)は外部に焦点を当てており、従業員やその他の許可された人物による有害な行為の防止にはほとんど効果がありません。
内部関係者脅威ポリシーを従業員およびイベントのベスト プラクティスと統合することで、従業員と組織に利益をもたらす包括的な従業員管理プログラムを作成できます。潜在的な内部関係者の脅威情報を認識して報告する方法について従業員を教育することは、組織の文化にプラスの効果をもたらし、安全で安心な作業環境を維持するための全員の役割を強調することもできます。
政府や産業界向けに応用科学の研究開発を行う独立系非営利団体であるコンカレント テクノロジーズ コーポレーション (CTC) は、原子力研究施設の設立にあたり、まさにこの課題に直面しました。
5 つの州に工業スペースと研究所があり、従業員の 25% 以上が在宅勤務を行っている CTC の潜在的なインサイダー脅威プロファイルは、米国の多くのテクノロジー企業の中でも典型的です。政府の機密プログラム、顧客情報、知的財産を保護することは、競争の激しい環境で成功するために最も重要です。
しかし、2017 年 8 月に CTC の先端原子力製造センター (CANM) がペンシルベニア州ジョンズタウンに設立されたことにより、CTC が対処しなければならない新たな内部関係者の脅威の課題が生じました。 CANMは、製造技術と材料の専門知識を新興の次世代商業用原子力発電所に提供することを目的としており、小型原子炉に取り組んでいる民間部門の組織とのみ取引を行うことになる。 CTC は業界と政府の機密プログラムの両方と協力しており、連邦政府のインサイダー脅威ポリシーに従う必要がある一方で、軽微な窃盗から知的財産問題、イベント管理に至るまで、あらゆる種類の人為的脅威から防御できる政府レベルのインサイダー脅威プログラムを CANM に持たせたいと考えていました。
CANM で予定されているテープカットとオープンハウス イベントでは、約 75 人の訪問者が CTC の知的財産と高度なテクノロジーに近づくことになり、組織の新しいインサイダー脅威ポリシーの最初の実際のテストとなるでしょう。
ソリューションを調整する
FBI、米国国土安全保障省 (DHS)、および米国国防安全保障局は、業界組織が内部脅威プログラムを開発するためのツールを提供しています。これには、オンライン トレーニング コースや公開 Web サイトから入手できるパンフレットなどが含まれます。このツールは、内部関係者の脅威の存在を示す可能性のある特定の動作を特定します。
何に注意すべきかを従業員に教育するだけで、職場での事故を回避できる可能性が高まる可能性があります。情報共有やインシデント報告など、他のインサイダー脅威プログラム機能も有益であることが判明する可能性があります。取り組みは組織に合わせて調整でき、セキュリティ担当者は、政府の指令で概説されている全体的な内部脅威フレームワークの一部がすでにプログラムに含まれていることに気づくかもしれません。
これは、より堅牢なインサイダー脅威プログラムの構築を開始した CTC にも当てはまります。この組織は従業員の潜在的な問題を伝えるために非公式なアプローチをとっていましたが、必要とされる正式なプログラムには程遠いものでした。プログラムがすべての脅威を確実にカバーできるようにするために、CTC はインサイダー脅威ワーキング グループを設立しました。
包括的なサポート。インサイダー脅威プログラムは組織全体の賛同に依存しています。政策と手順を作成する権限を持つ単一の職員がプログラムを管理するために任命される必要があります。また、重大な内部関係者の脅威情報を法執行機関や組織外のその他の団体にいつ報告するかを決定する責任も負う必要があります。
CTC はインサイダー脅威プログラム担当者を任命し、セキュリティ、人事、IT、経営管理、倫理とコンプライアンスの代表を含む、関連する役割に基づいたメンバーで構成された作業グループを設立しました。作業グループはいくつかのプログラムのレビューを実施し、監視または報告する活動の種類を確立しました。
このグループはまた、CANM オープンハウスまでの期間に全従業員が意識向上トレーニングを完了することを保証し、従業員が訪問者や同僚の従業員に関する懸念を遠慮なく報告できるようにコミュニケーション文化の醸成を支援しました。ラインの従業員は、何かがおかしいことに最初に気づくことがよくあります。従業員の日常生活や行動の変化に気づいた場合、報復を恐れることなく、安全かつ効果的にチーム リーダーに情報を伝える方法を知っておく必要があります。
セキュリティスタッフと上級マネージャーは、報告に対する社会的障壁を軽減または排除するために、部門マネージャーや労働代表と協力する準備を整えていました。ポリシー違反や異常または不審な行為を報告することを、不快なものとみなしてはいけません。むしろ、タイムリーな報告が会社や事業部門を重大な経済的損失、不正競争、さらには悲劇的な事件から救う可能性があることを強調すべきです。
チームのアプローチ。組織内のセキュリティ関係者間の効果的な情報共有とコラボレーションは、強力な内部関係者脅威プログラムにとって不可欠です。 CTC のインサイダー脅威ワーキング グループのような部門リーダーは、通常、潜在的なインサイダー脅威の検出に関連する分野で組織のパフォーマンスを監視します。たとえば、大規模な組織は通常、システム アクセス、ファイル転送、ソフトウェアのインストール、その他のネットワーク アクティビティに関するポリシーの違反または回避を検出するために CISO に依存しています。同様に、人事部門は、ハラスメントの苦情や薬物検査など、従業員の不正行為の傾向に関する情報を追跡、分析し、共有する必要があります。このような情報を検討する際、チームは従業員のプライバシーを保護するよう注意し、内部関係者による脅威の懸念を引き起こす可能性のあるセキュリティ関連の要因のみに焦点を当て、ポリシーやトレーニングに必要な調整を特定する必要があります。
特別なイベントや異常な状況の場合、組織は躊躇せずに助けを求める必要があります。 CTC インサイダー脅威プログラムのリーダーは、公開公開の数週間前に FBI 民間部門コーディネーター、国防保安局の代表者、および地元の法執行官に連絡を取り、この出来事について知らせ、最新の脅威情報を入手しました。 FBI コーディネーターはイベントのリハーサルとウォークスルーに参加し、CANM エンジニア、プログラム マネージャー、サポート スタッフに合わせた防諜ブリーフィングを提供し、オープンハウスの全体的な目的を達成しながらリスクを制限するための具体的な推奨事項を提供しました。
訓練。従業員は、共通の安全上の利益を共有していると感じる必要があります。従業員自身と組織全体の成功には、知的財産、機密情報、その他の貴重なリソースの保護への取り組みが必要です。リーダーはこれらの点を強調し、従業員がセキュリティ プログラムと手順を積極的にサポートするよう奨励する必要があります。特に従業員の離職率が高い業界では、共通の目的に対する従業員のコミットメントと忠誠心は想定できません。
内部関係者の脅威を示す可能性のある特定の活動や行動に注意するように従業員を訓練することが、組織内で有効な情報報告を行うための鍵となります。従業員は、インシデントが発生するかなり前から同僚の態度、労働倫理、または行動の違いに気づく傾向があるため、懸念事項をいつどのように報告すればよいかを知っておく必要があります。また、従業員は、不審な電子メール、詐欺、フィッシングの試み、ソーシャル エンジニアリングのトリックを認識し、知らないうちに内部関係者になったり、情報提供やその他の支援を強要されたりすることを避ける方法を知っておく必要もあります。トレーニングでは、無人時のコンピュータ ワークステーションのロックや電源のオフなど、リスクを軽減することを目的とした基本的なルールに従うことの重要性も強調する必要があります。
CANM の従業員は、従来のインサイダー脅威識別メッセージについて訓練を受けましたが、オープンハウス イベントでは、不審な行動を識別して報告するためのヒントも与えられました。
エンジニア、プログラム マネージャー、イベント スタッフがセキュリティのベスト プラクティスを業務要件に組み込んでいたため、セキュリティの強化があらゆる場所で行われていましたが、イベントでは見られませんでした。
計画書を作成。CTC のインサイダー脅威ワーキング グループは、ハラスメント ポリシーや時間管理システムから旅行の計画や手順に至るまで、従業員の行動に関する書面によるガイダンスをすべて特定し、計画に統合しました。インサイダー脅威プログラムは、インサイダー脅威の利害関係者、役割と責任、リソース、ポリシー、手順を特定するリスク軽減計画を特徴としています。利害関係者のチームは定期的に集まり、計画を見直し、潜在的な内部脅威情報を共有および評価し、人員、業務、知的財産、その他のリソースを保護するために必要な追加の措置を決定します。
たとえば、関係者会議で、旅行財務の担当者が、前月のレンタカーの予算が通常より 20% 大きかったと指摘するかもしれません。人事担当者は、従業員の旅行日程を再確認し、個人的な旅行でのレンタカーの過剰な使用を特定できる可能性があります。この問題に対処するには、同じインサイダー脅威報告手順に従う必要があります。
内部関係者による脅威の再定義
CTC の再評価と準備が功を奏し、オープンハウス イベントはスタッフにとっても訪問者にとってもスムーズに進みました。
CTC のセキュリティ担当者も、CANM の経験から長期的な利益を得ています。たとえば、同部門は、セキュリティが主な役割ではない場合でも、内部関係者の脅威に対抗する際に各従業員が果たす重要な役割を強化するために、ランチタイムのセミナーや従業員とのより個人的な面談を実施することで、トレーニングへのアプローチを改善しています。
CANM プログラムに加えて、他のビジネス上の変化により、CTC は潜在的な脅威を再評価し、日常的なセキュリティ手順を強化する必要がありました。国防総省以外の政府顧客との新たな契約により、企業ネットワーク上で処理および保存される機密情報の保護に関して新たな要件と懸念が生じました。同社は新しい設備やその他の事業開発分野に投資し、海外の顧客との交流が増加しましたが、同時に米国の輸出法の遵守を確保するためのさらなる課題ももたらしました。
CDC は、内部関係者の脅威に関して既成概念にとらわれずに考えることで、組織のさまざまな懸念事項に対処できる包括的な従業員管理ポリシーを作成することができました。知的財産や職場での暴力の問題だけでなく、潜在的に問題のある従業員関連の幅広い活動に、内部関係者の脅威というレンズを通して対処することで、プログラム全体が強化され、他のビジネス上の問題への対処にも適応しやすくなります。
一例として、セキュリティスタッフは現場スタッフやプロジェクトマネージャーと協力して施設のアクセス制御計画を改訂しました。 250,000平方フィートのCANM内の特定の工業地域へのドアは、明確にアクセスする必要がない従業員に対して閉鎖されました。多くの従業員にとって施設へのアクセス時間が制限され、定期的に監視されていないドアを使用するには 6 桁の PIN に加えて近接カードが必要になりました。プロセス オーナーと上級マネージャーは、そのような手順変更の必要性を十分に理解し、推奨事項を強力にサポートしました。
国際的なビジネス関係が拡大するにつれ、セキュリティ、契約、輸出コンプライアンス部門はプログラム マネージャーと緊密に連携して、保護された技術に関わるすべての国際取引を輸出許可に確実に含めるようにしました。同社のエンタープライズ訪問者システムは、2012 年に社内で開発され、2015 年にアップグレードされ、調整と承認を求める国際的な訪問リクエストを電子的にルーティングします。これにより、適切な管理者や技術者に情報が提供され、プロジェクトが隠蔽されたり、必要に応じて業務が一時停止または再スケジュールされたりすることが保証されます。
このような低コストまたは無料のセキュリティ強化が導入されているため、内部関係者脅威プログラムの確立には、計画と手順を正式化し、作業グループを設立し、既存のトレーニングを拡大するというわずかな努力だけが必要でした。政府との契約のみまたは広範に協力している他の企業も、同様の結果を生み出すことができます。
内部関係者の脅威に対する意識を高め、不審な行動やポリシー違反を報告するよう従業員に奨励することは、全体的なセキュリティの向上に直接つながりました。たとえば、ここ数カ月間に最前線の従業員から受け取った情報により、管理者は社内の問題を修正し、会社が低コストの消耗品、設備、ベンチツールを購入、在庫、会計処理する方法の脆弱性を軽減できるようになりました。影響を受ける地域の従業員は、この変更によって会社資産の盗難や不正使用のリスクがどのように軽減されるかを認識しています。このような損失を最小限に抑えることで、企業は諸経費を管理し、競争力を維持し、雇用と給与を保護することができます。
組織が日々の業務運営における安全とセキュリティの規則に慣れていない場合、従業員が懸念を前面に押し出し、主要な上司が情報を評価して効果的に対応できるセキュリティ文化を進化させるには何か月もかかる可能性があります。今始めることの利点は、ほぼ確実に、後に起こる可能性のあるリスクを上回ります。
核レベルの安全保障が今日の社会にどのような影響を与えたか内部関係者脅威プログラム
内部関係者の脅威に関する懸念は新しいものではありません。 1940年代半ば、世界初の核兵器を開発する米国の取り組みであるマンハッタン計画が極秘に進められていたとき、指導者らは信頼できる内部関係者が脅迫されたり、金銭目的でスパイ行為に誘惑されたりする可能性を最も懸念していた。原子の秘密が敵に失われると、重大な、そして致命的な結果が生じる可能性があります。重要な研究、実験活動、物資と兵器の生産、核兵器の使用計画を保護する技術はマンハッタン計画に組み込まれており、今でも米国国防総省 (DoD) の核計画における安全保障の特徴となっています。
1960年代以来、核能力に対する内部関係者による脅威に対処する上で、要員クリアランスプロセスと要員信頼性プログラム(PRP)が中心となってきた。許可プロセスは、人々を信頼できるかどうか審査するように設計されており、機密の核設計情報、計画、能力、または操作手順へのアクセスを個人に許可する前に、厳密に従う必要があります。人事許可は、その人物の実証された経済的責任、個人的な行動、米国への忠誠などの要素の好意的な評価に基づいて決定されます。クリアされた個人は、継続的なアクセスが適切であることを確認するために定期的に再調査されます。異常に敏感で重要な立場にある人は、ポリグラフの対象となる可能性があります。
PRPは、核指揮統制、保守、武装警備などの重要な任務を遂行する際に作業員が精神的および肉体的に健康であることを確認するために設計された手順、自動通知、段階的な監督、およびその他のチェックで構成される管理セキュリティの追加層です。 PRP の要件と基準はリスクを回避します。少しでも懸念があると、状況が変化するか問題が解決されるまで、通常の業務が一時的に停止される可能性があります。 PRP に基づく一時的な職務停止の一般的な理由は、眠気を引き起こす可能性がある処方薬の使用です。軽微な懲戒違反も PRP の停止につながる可能性があり、制限された施設や情報システムへのアクセスをブロックするセキュリティ措置が発動される可能性があります。
通関手続きと PRP が連携して、労働者が自分自身や他者に関する関連情報を適切な当局に報告する義務を負う安全性とセキュリティ環境が強化されます。核兵器の破壊力と政治的重要性を踏まえると、そのような環境は不可欠である。政府高官と軍関係者は、原子力コミュニティ内のリーダーに対し、PRPに基づいて誰かに割り当てられた任務を損なう可能性のある状況を評価する責任を負わせている。たとえば、責任ある部隊指揮官の解任は、多くの場合、PRP ガイドラインを適切に順守しなかった結果として起こります。
歴史的に、これらの厳格な審査と信頼性の基準が原子力コミュニティ以外の政府や請負企業に適用されることはほとんどありません。しかし、2013 年以降、政府当局者は内部関係者の脅威をますます認識するようになりました。人事クリアランスのプロセスは現在、定期的な再調査の従来の期間の間に身元調査のための追加のスクリーニングとランダムな選択により強化されています。さらに、政府の認可審査官は、国家安全保障情報へのアクセスの全体的な適格性を判断する際に、ソーシャル メディア情報を検討および検討することができるようになりました。
米国土安全保障省と国防総省の一連の文書とガイドラインは、政府機関や特定の請負業者にインサイダー脅威プログラムを義務付けているが、コスト、法的懸念、その他の実際的な考慮事項により、国防総省 PRP に関連するような自己報告措置を義務付けるまでには至っていない。ただし、PRP のような考え方は、細部への不注意、反応時間の遅れ、判断の誤りが傷害、死亡、または許容できない物的損失や経済的損失を引き起こす可能性があるあらゆる作業において奨励できます。
CPPのロナルド・R・ニューサムは退役米空軍士官で、現在コンカレント・テクノロジーズ・コーポレーションに勤務しており、産業セキュリティにおける持続的な卓越性に対して国防総省の2017年ジェームズ・S・コグスウェル大佐賞を受賞している。ニューサムは カジノサイト インターナショナルのメンバーです。彼は全米分類管理協会のアパラチア支部の会長も務めています。