米国連邦政府は脆弱性を特定しました。内部関係者の潜在的な脅威と、機密情報への物理的および電子的アクセスの両方に対処するために、さらに多くのことを行う必要があることを認識していました。

そこで、2011 年 10 月、バラク・オバマ米国大統領は、機密コンピューター ネットワークを運用またはアクセスするすべての連邦機関に、内部関係者の脅威の検出および防止プログラムを作成することを義務付ける大統領令を出しました。これらのプログラムは、ネットワークが安全で保護されていることを保証するために、請負業者を含む機密コンピュータ ネットワークのすべてのユーザーを対象とする必要があります。

「我が国の安全保障のためには、機密情報を世界中の許可されたユーザーと即時に共有する必要があるが、機密情報が安全に共有されることを保証するための高度で警戒心の高い手段も必要である」とオバマ大統領は命令の中で述べた。 「コンピュータ ネットワークには個別および共通の脆弱性があり、リスク管理に関して調整された決定が必要です。」

政府機関と請負業者には、大統領令の実施に数年の猶予が与えられました。そして、それには、セキュリティハウスのサイバーと物理の両面が協力する必要があります。 

大統領令に従うことが義務付けられている企業の 1 つは、アメリカン システムズ社です。同社では、CPP、CISSP の企業セキュリティ、施設、安全担当ディレクターであるマシュー ホランズワース氏がインサイダー脅威プログラムの責任者を務めています。 

ホランズワースは同僚と協力して、セキュリティ、IT セキュリティ、人事、財務、法務、顧客対応部門の代表を集めたインサイダー脅威委員会を設立しました。 

「例としては、破産寸前にある誰かに関する不利な情報報告をセキュリティが入手した場合です」とホランズワース氏は説明します。 「それは委員会に報告されるでしょう。それが彼らのリスクをさらに高めます。彼らはお金が不足しているため、賄賂を受けやすくなります。」

その後、委員会は、企業のクレジット カードや経費報告書を監視する財務部門や潜在的な職務遂行上の苦情を監視する人事部門など、適切な関係者と脅威が確実に共有されるようにするためのプロセスを作成しました。

「座ってこれらのコミュニケーション パスとプロセスを開発するための数回の会議が必要でした。」とホランズワース氏は付け加えました。

しかし、この取り組みの主要なパートナーの 1 つは IT セキュリティであり、潜在的な内部関係者による脅威を警告し、企業ネットワーク上でのその人物の活動を監視することができました。 

「IT 部門が、約 100 ギガのデータをダウンロードし、それを個人用サム ドライブに保存した個人を特定した例があります」と、ホランズワース氏は言います。 「それに理由はなかったので、IT 部門がそれについて私に知らせてくれました。そして、それは無害であることが判明しました。この男は、あるコンピューターから別のコンピューターにデータを移動しているだけでした。しかし、その通信パスは存在していました。そのプロセスは存在していました。」

このプログラムは米国連邦政府の要件を満たすために作成されましたが、サイバー セキュリティ チームと物理セキュリティ チームが協力してリスクに対処することで、組織がリスクを軽減することで得られるメリットも示しています。

ギャップ

従来、組織内のサイバーセキュリティ担当者と物理セキュリティ担当者の間にはギャップがありました。物理的なセキュリティ対策は、コンピュータとネットワークが最初に発明されたときにすでに導入されており、最終的には IT およびサイバーセキュリティの分野が誕生しました。 

組織内でこれらの役割を果たす人材は、さまざまな背景を持っています。サイバーと IT では、多くの場合、技術的な背景や大学プログラムの出身です。物理的セキュリティの分野では、法執行機関、軍、政府のバックグラウンドを持つことが多い。

1998 年に国防総省のヘルプデスクで働き始めたとき、ホランズワース氏は、IT チームと物理的セキュリティ チームは別々であり、両者の間にはあまりコミュニケーションがなかったと述べています。

「当時、人々は IT セキュリティを一種の新しい流行のものだと考えていたと思います。今日のように IT セキュリティをより深く理解し、発生する侵害とその重要性を理解できるような状況ではありませんでした。」と彼は付け加えました。 「それに、物理的なセキュリティの面では、おそらく少しエゴがあったでしょう。『私たちはセキュリティ担当者で、あなた方は単なるコンピュータ担当者です。』

CISO Insights の CEO、CPP、CISSP の Dave Tyson も、警備員としてその職業を始めたときに、同様の経験をしました。 1990 年代半ばに講演者がこのテーマについてプレゼンテーションを行った昼食会に出席するまで、彼のサイバーセキュリティに関する知識はほとんどありませんでした。タイソンを含むほとんどの人にとって、このトピックは解読不可能でした。 

「デジタル化が何なのか想像できませんでした。ファイルキャビネットはもう意味がありません」とタイソン氏は言います。 「それで私はこう言いました。『おい、それは意味が分からない。もっと知りたい』。」

IT とその背後にある概念についてさらに学ぶことで、当時の物理セキュリティの分野でのタイソン自身のキャリアにおけるフラストレーションが明らかになりました。 

「私は同じことを何度も繰り返しているように感じました。警備員を雇ったり、カメラを用意したり、リスクを軽減する点でなぜ私たちの人間が他人の人間よりも優れているのかを説明しようとしていたのです」と彼は言います。 「そして、私たちは実際にはビジネス、つまり組織の中でお金を稼ぐ部分と提携していなかったため、イライラしました。」

IT はビジネスの活動と関係していた、と Tyson 氏は説明します。これらのチームはデータベースを構築し、顧客情報を操作して、会社に影響を与える実際の影響を生み出していました。 

しかし、タイソン氏は、「このネットワークを介してどのようなデータが送信されているのか? 誰がデータを見ることができるのかを誰が決めるのか? 誰が何にアクセスできるのかを誰が決めるのか?」などの基本的なセキュリティの質問を投げかけることで、IT の活動の中で物理的なセキュリティがどのような役割を果たす可能性があるのかを確認することもできると述べています。

これにより、リスクに対処するために物理的とサイバーを 1 つの会話にまとめることに対するタイソンの関心が高まりました。ただし、この統合に対する 1 つの障害は、サイバー チームと物理チームが職場で使用する専門用語の違いでした。

「難しいのは、専門用語のせいでメッセージが伝わらないことがあるということです」とタイソンは言います。 「用語とそれをどのように説明するかは、話の内容よりも重要です。そうすることで、人々は関心を持ち、無視されなくなります。」

この言語の壁を埋めるために、ホランズワース氏は、チームが共通の辞書を作成して、双方が相手を理解できるようにしたと述べています。 

「従来のセキュリティ側にルート キットとは何か、スピア フィッシングとは何かを教えるなど、相互通信方法に関する共通の語彙を開発することが重要です」と彼は説明します。 「そして、IT 側とは逆の方向に進み、どのタイプのカメラがどのタイプの照明で最適に機能するか、個人の身元調査をどのように処理するかなど、その重要性を理解してもらいます。」

この実際的な例の 1 つは、企業が使用を承認されたコンピューター システムを必要とした場合です。このシステムを使用するには、文書化プロセス、特定の種類の構成、および政府による承認が必要でした。

「文書化プロセスの一環として、システムの物理的保護を文書化する必要がありました」とホランズワース氏は言います。 「それで、それは安全なエリアにありますか? どのような種類の多層セキュリティが導入されていますか? それはすべてです。」

しかし、プロジェクトに取り組んでいる IT スタッフと物理的セキュリティ スタッフのメンバーは相互のコミュニケーションに問題を抱えていました。物理セキュリティ担当者は、なぜこの情報を IT 部門に提供しなければならないのか理解できませんでした。また、IT スタッフも、なぜセキュリティが協力的でないのか理解していませんでした。

「私は 2 人に会い、両方の必要性を説明し、IT セキュリティ担当者が求めていることと従来のセキュリティ担当者が求めていることを別の言葉で表現して、共通の理解と共通の用語を見つけようとしました」とホランズワース氏は説明します。 

彼は、コンピュータ システムを、システムの承認のために文書化する必要がある周囲の保護リングが付いたブルズアイの中心のようなものだと考えるように言いました。このアプローチを使用することで、対処する必要があるシステム、そして最終的には組織に対するリスクを中心とした対話を成功させることができました。

「リスクは、セキュリティを重視するあらゆる種類の組織間の共通言語です。財務リスク、法的リスク、物理的セキュリティ、サイバーなど、実際には重要ではありません。これらすべてはリスク管理に関するものであり、同じプロセスを通じて効果的にそれを行うことができます。」とタイソン氏は言います。 

メリット

組織がテクノロジーを運用および実装する方法が変化しているため、サイバー セキュリティと物理的セキュリティが融合しつつあります。カメラやアクセス制御システムなどの物理的保護は、システムへの足掛かりを狙う侵入から保護する必要がある企業ネットワーク上で実行されています。

 「データを保護するには、物理的セキュリティ プログラム、人的セキュリティ プログラム、運用セキュリティ プログラム、情報セキュリティ プログラムをすべて連携させる必要があります」とホランズワース氏は言います。

たとえば、タイソンが eBay にいたとき、人々は近所を歩き回り、USB スティックを落としたり、従業員のフロントガラスにチラシを置いたりしていました。 

「人々はこれらのものをオフィス内に持ち込んで、USB スティックをコンピュータに接続するか、iPhone を獲得するためにこの Web サイトにアクセスするよう奨励するチラシの URL リンクを見ることになります。マルウェアに感染するでしょう」とタイソン氏は言います。 「ここでは、物理デバイスを使用した組織に対するサイバー脅威があります。」

脅威を軽減するために、タイソンは、カメラ システムの監視と環境へのアクセスを担当し、悪意のある資料を放置した人物を検出する責任を負う物理的セキュリティ リーダーの教育に努めました。彼はまた、ネットワークを防御するサイバーセキュリティ チームと協力して、マルウェアを防御してダウンロードを防ぐシステムが確実に導入されていることを確認しました。

「これまで見たことのない新たなリスクを守るために、それらの人々全員が調和して働く必要がありました」とタイソンは言います。

タイソンはまた、物理チームおよびサイバーセキュリティ チームと協力して、不正な無線アクセス ポイントの検出に取り組みました。当時の従業員は、企業のファイアウォールが特定の Web サイトやサービスへのアクセスをブロックしていることに不満を抱いていました。そのため、彼らはネットワークへの独自の Wi-Fi 接続を確立するために必要なものを買いに行きました。これは会社のポリシーに違反していました。 

「それらは非常に簡単に購入でき、接続も非常に簡単でしたが、サイバーセキュリティ担当者が 5 つの建物から離れたコンピューターの後ろに座っている場合、見つけるのはそれほど簡単ではありませんでした」とタイソン氏は言います。 「そこで、私たちは物理セキュリティ チーム (一般的な任務に就いている警備員) に、無線アクセス ポイントがどのようなもので、どのように使用されるかについて訓練し、近くを歩いて無線信号を受信するとビープ音が鳴るスニファーを与えました。」

ビープ音が聞こえたとき、警備員はデバイスがどこにあったかを記録し、サイバーセキュリティチームに報告するよう指示されました。翌日、サイバーセキュリティ スタッフ メンバーがポリシーに違反した従業員と問題について話し合った後、デバイスを取り外しました。

「最初の 1 か月で 3 匹見つけました」とタイソンは言います。 「この新たなリスクに対処するための新しいセキュリティ プログラムの限界コストは 80 ドルでした。そしてここでは、ファイアウォールをバイパスしている不正なワイヤレス アクセス ポイントを検出しています。そして、警備員はドアを監視するだけでなく、実際にビジネス上の問題を解決しているので、本当に満足しています。」

人間関係の構築

サイバーセキュリティと物理セキュリティが連携してリスクに対処できるようにプログラムとプロセスを導入することは重要ですが、チームライン全体で個人との関係を構築することも重要です。 

カルガリー市の企業セキュリティ (サイバー) マネージャーである CPP、CISSP、CISA (公認情報システム監査人) のティム・マククレイト氏は、アルバータ州政府の企業情報セキュリティ局での仕事において、セキュリティ専門家間のオープンな対話の機会を作り出すことが重要であったと述べています。

当時、彼は CISO 室のエグゼクティブ ディレクターであり、政府のセキュリティ関連の役割を担っている他の人々に月例会議を開催するよう働きかけ、最終的には全員に最新情報を知らせるために週に 1 回のコーヒー ミーティングに変わりました。 

「私が提案できる最良の方法の 1 つは、自分のエゴをドアの外に放り出すことです」とマクレイト氏は言います。 「人、財産、情報を守るためにそこにいるのです。他の人がテーブルにもたらすものを評価する必要があります…会社を守るサイロの中で活動する物理的なセキュリティ担当者になることはできません。協力する必要があります。」

タイソンもこれに同意し、セキュリティ専門家がどのような立場で活動しているかに関係なく、すべてのセキュリティ リーダーは自分たちが情報労働者であることを忘れてはならないと述べました。 

「時々数人を逮捕することを除けば、ほとんどの場合、私たちは人々と会話し、人々と関係を持つことでお金をもらっています」とタイソンは言う。 

「私たちは毎日非常に多くの人々と交流しますが、私たちの職場環境が半社会的な環境に基づいていることを時々忘れてしまいます」と彼は付け加えました。 「最初のステップは、一緒に仕事をしなければならない人々のことを知ることです。彼らが直面している問題、つまり彼らにとって最大のリスクは何かを理解します。そして、彼らがそれらのリスクを軽減するのをより成功させるために何ができるかを尋ねます。」  

ミーガン・ゲイツはセキュリティ管理部門の上級編集者です。彼女に連絡するには、[email protected]または Twitter @mgngates で彼女をフォローしてください。