カジノサイト
リモート ワーカー向けの内部脅威早期警告システムを作成する方法
I内部の脅威を軽減することは決して簡単ではありません。内部関係者による窃盗、詐欺、妨害行為、職場での暴力による事件の件数と経済的コストは増加しています。行動分析などの技術的な対策は問題の一部にしか対処できず、ますます高価で複雑になり、統合が困難になります。従業員のリモート勤務を許可することで諸経費を削減し、士気を高めるという動きは、さらなる課題を意味します。コロナウイルスのパンデミックが始まる前は、従業員の約 15% がほぼ完全にリモートで働いており、そのほとんどが管理職、販売職、財務職でした。はるかに多くの割合が仕事の一部をリモートで働いています。
事態をさらに複雑にしているのは、新型コロナウイルス感染症 (COVID-19) コロナウイルスの蔓延により、多くの組織が、通常は行われる長時間にわたる開始前の計画、設計、テストのプロセスを行わずに、リモートワーク プログラムを迅速に導入するようになったということです。これらのプログラムは一時的な危機に対処することを目的としていますが、過去 10 年間で既に顕著に見られたリモート ワーカーの増加を後押しする可能性が非常に高いです。また、組織がこれらのプログラムの立ち上げを急ぐあまり、十分に考慮されていないセキュリティ イベント (内部関係者による攻撃や脆弱性など) が発生する可能性も非常に高いです。
在宅勤務、顧客サイト、外出先で働く従業員が増えるにつれ、不定形な「デジタルフェンス」により内部関係者にはより大きな責任が与えられるものの、直接的な監視は減少します。この新しいパラダイムでは、従来のインサイダー リスクの早期警告リソースは低下します。具体的には、マネージャー、同僚、顧客による定期的な対面観察や関与から得られる貴重な洞察が限定的になってしまいます。
したがって、この環境における早期警告に対処するには、リモート ワーカーが「視界から外れ、意識を失ってしまう」という自然な傾向に対抗する新しい戦略が必要です。代わりに、これには、従業員と従業員に影響を与える重大なイベントを理解することに重点を置く、別の形式の管理が必要です。この新しい戦略を支えるには、異常なアクティビティ、新たな脆弱性、脅威を特定、評価し、対応するための新しい戦術が必要です。
パラダイムシフト
国境を越えたインサイダー脅威戦略を策定するための最初のステップは、リモートワークに移行すると何が失われるかを理解することです。従業員の観察と職場の団結がリストの最上位にあります。
独立した行動評価は伝統的に悪意のある行動を特定するための非常に貴重なリソースであるため、観察は重要です。基本的に、同僚の従業員やマネージャーは歴史的に脅威を特定する上で大きな役割を果たしてきました。この早期警告リソースは、公開が電子メール、電話会議、時折の会議に限定されている場合、大幅に低下します。
社会的および専門的なグループの結束は重要です。なぜなら、すべての労働力において、労働者間で真の関係を構築することで、従業員、マネージャー、組織の間に満足のいく絆が生まれるからです。この絆は、仕事の満足度、士気、生産性に広く有益であり、内部関係者による攻撃に対する組織の回復力も強化します。団結力のあるグループは、より高いレベルの信頼と感情的な一体性を持ち、お互いに気を配り合う傾向があります。
従業員の観察力と結束力の低下は、独立してインサイダー脅威プログラムに対する重大な課題を表しますが、これらが組み合わされると、インサイダー リスク環境にパラダイム シフトが生じます。
このパラダイムの変化は注目されないわけではありません。でマネージャーから経営幹部までの IT リーダー 250 人のうち、半数以上が、リモート従業員の方がオンサイト従業員よりも大きなセキュリティ リスクを引き起こすと考えていると回答しました。回答者の 3 分の 1 以上が、リモート ワーカーのアクセスが原因でセキュリティ インシデントをすでに経験しています。
インサイダー脅威研究の有力なセンターとして評価されているカーネギー メロン大学のソフトウェア エンジニアリング研究所 (SEI) CERT National Insider Threat Center は、最新の年次報告書の中で、インサイダー脅威を軽減するための 21 のベスト プラクティスをリストアップしています技術レポート。従業員の配置転換と分散化は、これら 5 つのベスト プラクティスの実行に大きな課題をもたらします。ポリシーと管理を明確に文書化し、一貫して施行することです。疑わしいまたは破壊的な行動を監視し、対応する。職場環境におけるネガティブな問題を予測し、管理する。内部関係者のストレスや間違いを最小限に抑えるための構造管理とタスク。ネットワークと従業員の両方の通常の行動のベースラインを確立します。
簡単に言えば、セキュリティ ポリシーを適用し、リモート従業員の行動ベースラインを決定して監視することが求められます。さらに悪いことに、組織の結束が欠けていると、ネガティブな問題が発生または悪化し、ストレスが増大し、不審な行動や破壊的な行動に対する適時かつ適切な対応ができなくなる可能性があります。
これらの新たな課題は、内部関係者の脅威キル チェーン、つまり内部関係者が攻撃に向けてたどる経路の観点から調べると、特に明らかです。
気質、つまり内部関係者の内面の性質の第 1 段階から始めて、セキュリティ リーダーは従業員の性格を考慮する必要があります。内部関係者が「自己修復」ではなく「自己破壊」に傾いている場合の違いにより、従業員が内部関係者による攻撃などの事件に巻き込まれる可能性があることに注意することが重要です。このタイプの性格の指標には、暴力的傾向、心理的不均衡、復讐心などが含まれる場合があります。
この旅の 2 番目の目的地は、個人的または仕事上の危機など、感情の変化を引き起こす出来事や特定のストレス要因です。
第 3 段階は紛争であり、そこでは内部関係者が上司、同僚、あるいはおそらくビジネス全体に不満を抱いており、このキル チェーンの残りの部分全体にわたって恨みが蓄積される可能性があります。
決意は第4段階であり、内部関係者が認識された敵に対して特異的に反対するようになる。これは多くの場合、リスクを取ること、あからさまな敵意、社会的引きこもり、暴力との同一視の増加として現れます。
第 5 段階の準備中、内部関係者は偵察を行ったり、必要な資料を入手したり、マニフェストを書いたりして準備を行います。
ついに攻撃に到着し、そこで恨みが頂点に達します。
現場の従業員の場合、このプロセスが発生する環境は、完全ではないにせよ、大部分がリーダーの制御または監督下にあり、内部関係者のキル チェーン内での移動は、潜在的な攻撃者に近い関係者が行動の変化を認識する機会を提供します。リモート ワーカーの場合、組織環境の制御は最小限に抑えられ、従業員全体の行動を観察することははるかに困難になります。
中心となる真実
国境を越えたインサイダー脅威戦略を策定する場合、その取り組みに関連する中心的な真実を理解することが重要です。リモートワークにおける内部関係者の脅威の軽減が研究され始めたばかりであることを考えると、これらの真実は内部関係者攻撃とリモートワークの研究全般の中にあります。それらを見つけることで、学んだ特定の教訓が明らかになります。
内部関係者による攻撃を阻止する大きなチャンスがあります。一般に、こうした出来事は本質的には衝動的なものではありません。内部関係者は、動機に関係なく、行動するまでにかなりの時間がかかり、アイデアから行動への進行が遅いということは、ほとんどの場合、態度や行動の目に見える変化を通じて、ある程度自分自身をさらけ出すことを意味します。
人間は内部関係者の脅威を発見するのが非常に得意です。人は自然と知り合い全員の行動基準を作成し、逸脱を第六感で察知します。アルゴリズムとは異なり、人々はコンテキスト内でアクションを即座に評価し、何かが間違っている場合は迅速かつ正確に判断できます。
問題が拡大する一般的な最初の兆候は、内部関係者の関与が減少したり、同僚、マネージャー、顧客とのやり取りから離れたりすることです。これは通常、仕事以外の事柄への関心が高まっていることを反映しています。これらは多くの場合、重要な個人的または職業上のイベントであり、組織が従業員を支援することで、職場の生産性や安全性への悪影響を回避できる可能性があります。
重要な出来事がキル チェーンを引き起こす可能性がある一方で、内部関係者の人生には特に脅威の軽減に関連する重要な段階があること、特に 35 歳から 45 歳までの年齢層が存在することは注目に値します。私生活と職業生活の共生関係が頂点に達するこの時期は、人生の選択や目標の再評価が特徴であり、離婚や転職につながる可能性もあります。
状況、トリガー、反応が流動的であることを考慮すると、内部関係者による脅威プログラムは積極的に行う必要があります。継続的な評価によりこれが可能になり、キル チェーンの初期段階でのリスクが軽減されます。組織文化、従業員のプライバシー、資金の制約により、企業はこの方法論を導入できないことがよくありますが、それが従業員の福利厚生と士気を高めることを組織が理解していれば、別の決定が下される可能性があります。理解と支援によって早期の警告サインが得られたことで、従業員は責任を負う立場から前向きで思いやりのあるセキュリティ文化の模範となり、全体的な仕事の満足度、定着率、生産性が向上しました。
戦略の策定
企業リスク管理者は、効果的なリモート内部関係者の脅威戦略を構築する際に、いくつかの要素、方法、目標を考慮する必要があります。
制御可能な内部関係者環境要因もあれば、制御できない要因もあります。リモートワーカーの場合、組織は環境をコントロールできないかもしれませんが、最初の採用決定を通じて一緒に働く人柄をコントロールすることはできます。そもそも誰が雇用されているかを真に理解することで、組織は将来の重大な問題を回避できます。もちろん、より責任と信頼のある職を求める人には、より厳格な採用前審査が必要です。
潜在的な新入社員であろうと、すでに定着した従業員であろうと、「全人」および「全体の脅威」手法は、内部関係者の早期警告に非常に効果的です。全人アプローチは、状況に応じた心理社会的アプローチであり、性格、環境、および引き起こされた出来事を使用してインサイダー リスクを特定します。脅威全体へのアプローチは、データ盗難、詐欺、妨害行為、暴力など、さまざまな攻撃を引き起こす共通の根本原因に対処します。これらの方法は、常識と客観性を活用して、組織に関連する信頼できる内部関係者の人格だけでなく、それらの人格を悪意のある行動に向ける可能性がある、誘発されたイベントとそれに対応するトリップワイヤーを理解します。
データは常に検出方法をサポートしており、公開データは早期警告リソースとして非常に価値があります。歴史的に、公的記録データは、少数の悪意のある内部関係者を除いて全員が、最終的に発見される前に極悪活動の兆候を示していたことを示しています。最終的には、 の合法的かつ適切な使用法です。公開データは内部関係者による脅威の行動を特定するのに役立ちます特にアクセス、責任、信頼が高い立場にある者からの攻撃が起こる前に。
すべてのインサイダー脅威戦略では、データの使用、保管、送信、セキュリティの進化する性質を考慮する必要があります。データは攻撃を阻止することができますが、新たなエンドポイントでもあります。リモート ワーカー向けのデータの分類と分離に関する考慮事項は、完全に個別に検討する価値があるため、いくつかの厳選された実践方法は注目に値します。まず、クラウド インフラストラクチャの大規模な導入により、機密データが世界中に保存され、ますます多くの従業員、パートナー、顧客がアクセスするため、新たな脆弱性が生じています。これらの脆弱性に対処するための重要な最初のステップは、安全なアプリケーションを使用し、アイデンティティをロックダウンし、アイデンティティがアプリケーションをどのように使用するかを監視することです。
第二に、リスク管理者はネットワークからデータ自体に焦点を移す方法を検討する必要があります。ゼロトラスト環境では、データ オブジェクトは、データの作成から消費、破棄に至るまで、保存中も移動中も永続的に保護されます。電子メールとファイルは、送信者のコンピュータから送信される前に暗号化され、送信先に到達したときにのみ復号化されます (多要素認証を使用)。これにより、アクセス、使用、送信、保存のどこにいてもデータが保護されます。
インサイダー リスクのベスト プラクティスを適用する
オンサイト職場内のリスクを軽減するためのベスト プラクティスの多くはオフサイト職場にも関連しており、いくつかはさらに重要になります:
権限を与えられた関係者チームを作成します。簡単に言えば、インサイダー リスク プログラムは、経営幹部、法務、人事 (HR)、情報技術 (IT)、管理、財務、コンプライアンス、セキュリティ、および一般従業員の代表者を含めてクラウドソーシングする必要があります。このチームは、上級レベルのチャンピオンのサポートを受けて、組織を越えたコミュニケーションと情報共有の実装を支援します。人事部は、従業員の異常な行動や自発的/非自発的離職に対処する主要なオフィスであることが多いため、このチームにおいて重要な役割を担う必要があります。リモート ワークプレイスの分散した性質により、組織のサイロを横断する広範で権限を与えられたステークホルダー チームの必要性が強化されます。
リモート ワーカーのセキュリティ プログラムの目標を決定します。利害関係者チームを活用して、リモートの従業員を知り、理解し、支援するために必要な目標を設定します。実現可能な成果に焦点を当て、組織文化とリソースを一致させ、何が達成不可能かを判断し、望ましい進歩に向けたマイルストーンを作成します。
あなたのプログラムを宣伝してください。利害関係者チームを活用して、何を行うのか、なぜ行うのかを明確に述べて透明性を示します。質問や提案をする機会を提供します。これらすべては、隠された議題の主張を避けるのに役立ちます。これは、リモート ワークスペースでは特に重要です。効果的な異常行動報告メカニズムを作成し、従業員と組織の成功の共依存関係を強調することで、リモート従業員もプログラムの利害関係者になります。このプログラムは、組織からの支援が必要な従業員に早期に警告することを目的としていると説明すれば、このプログラムは懲罰的ではなく前向きに受け止められるでしょう。
重要な資産を特定し、所有者にアクセスします。一般に、このリストはほとんどのリスク管理者が認識しているよりもかなり長いです。リモート ワークスペースでは、重要なデータが管理されていない環境で処理されることがよくあります。この環境では、組織がセキュリティ ポリシーの順守を監視し、指定したユーザーのみにデータが保持されるようにする能力が限られています。
重要なデータや資料を保管するクライアントサイトのスペースやネットワークにアクセスできる技術者やベンダーは、リスク方程式で見落とされることがよくあります。報道価値のある例としては、特権的アクセスを利用して銀行強盗を助長する警報技術者、闇市場で製品を販売し、正規品をプラセボとすり替える医薬品営業担当者、大量の郵便物を溜め込んだり破棄したりする郵便配達員などが挙げられます。
最も有害な内部関係者による攻撃を特定します。特定の組織は、特定の内部関係者による攻撃に対してより脆弱です。リモート ワークプレイスは、特に詐欺 (クライアント サイトへのアクセスを悪用することによる)、妨害行為 (企業製品の破壊または変更による)、および意図しないアクセス (権限のない担当者による機密データへのアクセスを許可することによる) の影響を受けやすくなっています。最も有害な内部関係者攻撃を特定すると、最も関連性の高い内部関係者プロファイルの監視リストを作成できます。これらのプロフィールに当てはまる従業員は、内輪の性格を有害な行動に移す「転換点」にさらされていないか、追加の監視を受ける価値があるかもしれません。
内部関係者の早期警戒能力を評価する。特権アクセスまたは権限を持つリモート ワーカーに焦点を当てます。攻撃者の考え方を適用するそして、悪意のあるリモートのインサイダーがどのように組織を攻撃するのか、そしてインサイダー キル チェーンのどのくらい早い段階で異常な活動が誰によって特定されるのかを理解するためのレッド チーム。
採用候補者の審査がどれほど厳格であるかを尋ねてください。性格、組織への適合性、リモートワークの条件はどの程度考慮されますか。そして採用候補者の背景はどの程度調査されているのか。
管理者とリモート ワーカーの間、および従業員間の結束の強さ、また、リモートの従業員がより大きな結束力のあるグループの一員であると感じることができるように、定期的な個人的な接触 (仮想またはその他) が含まれるエンゲージメント ポリシーを検討してください。従業員が内部関係者による脅威に関する危険信号を理解し、それをどのように報告し、対応するかを見てみましょう。リーダーが攻撃者のプロファイルに該当する個人について知っているかどうか、またキル チェーンを開始する可能性のあるトリガーを認識しているかどうかを評価します。内部を調査した後、ベンダー、下請け業者、組織やその資産への特権アクセスを持つ人物など、一定レベルの信頼を得ている外部者も同様に分析します。
利用可能な早期警戒センサーをすべて特定します。特にリモート作業環境では、内部脅威の早期警戒はチームスポーツであり、多くの人的および技術的なセンサーを必要とします。 HR はパフォーマンスと行動の問題を強調し、IT はネットワークの異常を強調し、セキュリティはポリシー違反を強調できます。ラインマネージャーと従業員は、異常な動作を直接観察することができます。
現実的かつ効果的なリモートワークのセキュリティ ガバナンスを開発します。重要なデータや資料への従業員のアクセスは、役割、情報の種類、知っておくべき原則に応じて制限されるべきです。認証、安全な通信、暗号化、個人のデバイスの使用、データとデバイスのストレージ、従業員の監視はすべて、組織が検討し、効果的なポリシーを作成する必要がある領域です。コンプライアンスに対する監査と説明責任は、定期的な更新トレーニングとともに管理する必要があります。
内部関係者の脅威に対する認識を高めます。インサイダー早期警告システムの一部としてのプロファイルと指標の使用に対する認識を深めます。リモートワークスペースを含む内部関係者による攻撃を防ぐには、行動と行動観察が重要であることを理解するようにリーダーとスタッフを訓練します。内部関係者の性格タイプ、引き起こされた出来事の影響、出来事に対する否定的な反応の兆候を見つける方法について教えてください。利用可能な異常行動報告メカニズムの使用方法を教えてください。健康、生産性、評価において従業員が生み出す価値に注意を払うことを、経営者の中核的責任としてください。
従業員の曖昧さ、個人的な判断の要求、指標の見逃しを減らすために、従業員に対するセキュリティ違反の報告義務を設けることを検討してください。
対応計画を立ててください。インサイダーリスクの兆候に対する対応は状況と組織によって異なりますが、考慮すべき注目すべきベストプラクティスがいくつかあります。まず、越えた場合にさらなるアクションが必要となるラインをあらかじめ決めておきます。第二に、無罪という前提から始めて、さらなる情報収集(判断ではなく)の出発点として観察を使用し、状況の客観的な視点を維持します。最後に、ステータスが達成された場合にモニタリングの終了を促すステータスを事前に決定します。
その目的は、従業員の福利厚生に重点を置くことです。これにより士気が向上し、利害関係者の同意、同僚の報告、プログラム全体の成功が積極的に強化されます。
継続的で適応性のあるプロセスを確保します。ほとんどのセキュリティ プログラムと同様に、継続的な評価、机上演習、レッド チーム演習を実施し、従業員からの建設的なフィードバックや推奨事項を求め、将来の計画やプログラムに組み込んでください。
インサイダー攻撃者の分類
インサイダー攻撃には 5 つの異なるカテゴリがあります。各攻撃者のプロフィールは、一般的に見られる性格特性と、攻撃者に悪影響を与える重大な出来事から作成されます。
知的財産/機密データの盗難 これらの内部関係者は、単独で、または外部の悪意のある攻撃者と協力して、貴重なデータや資料を盗むことで自分自身や他人の利益を図ろうとしています。一般的な性格特性には、資格、ナルシシズム、反社会的行動、支配欲が含まれます。通常、原因となる出来事には、個人的な経済的マイナスの出来事、昇進活動の失敗、業績評価の悪さ、キャリアへの願望が満たされていない、辞任、解雇などが含まれます。
インサイダー詐欺これらの攻撃者は、自らの行動を通じて個人的な利益を追求しています。典型的な性格特性には、利己主義、権利、特権、自尊心が含まれます。一般的な突然の出来事には、大幅な追加出費、個人的な財務上のマイナスの出来事、満たされていないキャリアやライフスタイルの願望などが含まれます。
妨害行為これらの内部関係者は、組織の機能を損なうことを目的として組織に対して攻撃を行っています。一般的な性格特性には、怒り、復讐心、執念深さ、無関心、破壊的行動が含まれます。典型的な原因となる出来事には、経営陣との対立、不十分な業績評価、昇進努力の失敗、降格、職場での当惑、解雇などが含まれます。
職場での暴力これらの内部関係者は組織に反抗し、組織の人々に身体的危害を与えます。一般的な性格特性は、攻撃性、感情的な無関心、対立、無関心、緊張、そして後悔の欠如です。一般的に誘発される出来事には、家族や人間関係に関する否定的な出来事が含まれます。
意図しない内部関係者の脅威これらの内部関係者には悪意はありませんが、過失や外部からの操作によって脅威となります。一般的な性格特性には、気まぐれ、集中力のなさ、まとまりのない、散漫、ストレス、緊張などが含まれます。一般的な突然の出来事には、新たな個人的または仕事上の気が散ることが含まれます。
ヴァル・ルテリエは、20年にわたる外国情報筋の採用とCIAの諜報目標への侵入を通じて得た、インサイダーがどのように作成され、管理され、保護され、発見されるのかについて深い理解を持っています。彼は カジノサイト 防衛情報評議会のインサイダー脅威ワーキング グループを率いており、INSA インサイダー脅威小委員会のメンバーでもあります。
