カジノサイト
スノーデン事件から 10 年後のインサイダー脅威への取り組みの状況
「自分の行動のせいで苦しむことになるのは承知している」が、「私が愛する世界を支配する秘密法の連合体、不平等な恩赦、そして抗えない行政権力が一瞬でも暴露されれば、私は満足する」と、元国家安全保障局(NSA)契約社員で内部告発者となったエドワード・スノーデンは、漏洩した米国政府文書の最初のセットに添付されたメモの中で書いている2013 年。
スノーデン氏は、何百万ものアメリカ人の電話記録に。このリークにより、米国と英国のスパイ機関がどのようにして次の情報にアクセスしていたのかが明らかになりました。世界中の人々電話とインターネットのトラフィックを伝送するケーブル経由。
スポンサー付き国家支援による知的財産盗難が増加しています。 Strider がオープンソース インテリジェンスを使用して、競合他社を追い越し、量子技術を進歩させる中国の計画を特定した方法をお読みください。
|
10年経った今でも、スノーデンの暴露の影響は反響を呼び続けている。彼らは米国の指導者たちに、より多くのことを強いた。アメリカ国民に影響を及ぼしている既存の監視方法について、また大規模な改革を開始した。リークはまた、世界的な会話を変えました。そしてプライベートなコミュニケーションに対する国民の期待。さらに、内部関係者の脅威のリスクを評価し、それに対応するためのポリシーと手順を導入するための新たな取り組みも始まりました。
質問から統制へ
国家対諜報安全センター (NCSC) エンタープライズ脅威軽減総局の米国副次長であるリサ・セイヤー氏は、2013 年に米国防総省 (国防総省) の対諜報活動に従事していました。スノーデンの漏洩が起こったとき、彼女は最初に焦点を当てていたと述べています。—人員と政府機関の資産に与えられた損害を調べています。
「当時、私たちは被害評価の観点から検討していましたが、それによって内部関係者の脅威に対するリソースが本当に強化されました」とセイヤー氏は語りますセキュリティ管理。「代理店が知りたがっていたなぜ私たちはそれを見なかったのですか?”
2014年1月29日、米国上院情報特別委員会での発言の中で、当時国家情報長官(DNI)のジェームス・クラッパーは、スノーデンの暴露は「重大な損害」を引き起こし、その結果として国家の安全が低下したと述べた。
この完璧な嵐の悲惨な結果は明らかです。
「さらに、不正開示の影響は、NSA()だけでなく、情報コミュニティ全体に損害を与えています。」クラッパー「米国が数十億ドルを投資した重要な諜報能力は、妥協や意識的な決定により、危険にさらされているか、縮小または排除される可能性が高い。さらに、開示によって生じる損失の影響は、私たちが負担している大幅な予算削減によって増幅されるでしょう。この完全な嵐の悲惨な結果は明白です。」
スノーデンの漏洩から6か月の間に、NSAはデータを管理し、ネットワークを監視し、個人の監視を強化するための41の技術的措置を導入する計画を打ち出した。2013 年 12 月。
「対策には、誰かがデータにアクセスできるすべての場所を2人で管理することを義務付けること、人々が通過するセキュリティプロセスを強化すること、システム管理アクセスのより頻繁な検査を義務付けることが含まれる。」
スノーデンの漏洩時にNSAの元副長官で文民上級指導者だったクリス・イングリスは、2017年のRSAカンファレンスで、スノーデンの漏洩後に実施された規制の一部について語った。彼は説明しました規制は政府機関の従業員のパフォーマンスに影響を与えましたが、内部関係者による脅威への対処には役立ちました。これは、非常に大きな影響をもたらす可能性が低いイベントです。
たとえば、スノーデンは、何千人もの NSA アナリストが脅威を追跡するために使用できるサーバーの構築を担当する SharePoint 管理者でした。スノーデンの仕事は、NSA が情報をどのように収集、処理、保存、問い合わせ、生成するかを理解することでした。
「これはかなり豊富で危険な情報であり、現在私たちが知っていることです」とイングリス氏は準備した発言の中で述べた。 「そして、そのコントロールは比較的低めでした。欠落しているわけではありませんが、低めでした。なぜなら、観客がそのスピードで走って、彼らの期待を上回ることを望んでいたからです。」
データ管理と監視の強化により、NSA職員のパフォーマンスは十分ではなくなったが、信頼と能力の間の整合性はより高まったとイングリス氏は付け加えた。同氏の事務所はこの件についてのコメント要請に応じなかった。
これらの新しい管理と監視措置を導入したのは NSA だけではありません。政府機関は全面的に前進しました次の目標を達成する2011 年より。政府機関にインサイダー脅威の検出および防止プログラムの実施を義務付けるこの命令は、機密情報をウィキリークスに送信。
これらのプログラムは少なくとも 26 の要件を満たす必要がありました。これらには義務が含まれていました連邦政府が管理する機密コンピュータ ネットワーク上でのユーザー アクティビティの監視、個人のセキュリティ情報の評価、内部関係者による脅威の認識、従業員向けの報告トレーニングなど、内部関係者の脅威を検出して軽減することを目的としています。また、一元的な分析、レポート作成、および対応機能のための情報の収集が行われています。
さらに、この枠組みでは政府機関に対し、インサイダー脅威プログラムの管理、説明責任、監視を行う権限を持つ高官を指名することが求められていた。コンプライアンスに関する独立した評価を可能にする。自己評価を実行します。
このフレームワークが導入されて以来、政府機関はその要件を実装するために 2020 会計年度の時点で 10 億ドル以上を費やしました。.
「インサイダー脅威関連の製品やサービスを購入しているトップの政府機関は、国防省、国土安全保障省、保健福祉省、退役軍人省である」とブルームバーグは報じている。 「25%減少したHHSを除き、年間のインサイダー脅威義務の約3分の2を占める上位4機関はすべて、2019年度は2018年度よりもインサイダー脅威に多くの支出を行った。」
たとえば、米国司法省 (DOJ) は 2020 年に 2,180 万ドルを費やし、内部関係者による脅威の防止と機密システムの保護に専念する 73 名のポスト (弁護士 14 名を含む) を配置しました。2021 年には、さらに 100 万ドルと 4 人のスタッフのポジションがプログラムに追加されること。
機動部隊
政府機関がインサイダー脅威プログラムに最適なプロセスと手順を決定できるように支援する重要な役割を果たしているのは、国家インサイダー脅威タスクフォース (NITTF) です。これは国家脅威インサイダー政策によって創設され、米国家情報長官と米国司法長官の共同作戦です。この特別委員会は、国家情報長官室の一部である NCSC に設置されており、政府機関がインサイダー脅威プログラムを実施するためのポリシーと基準を開発するために、安全保障、防諜、情報保証に関する政府全体の専門知識を結集しています。
2022 年末まで NITTF の副局長を務めたレベッカ モーガンは、インサイダー脅威管理の新時代の到来に貢献しました。このプログラムは、基本的な行動から逸脱している個人を特定するのに役立ち、インシデントが発生する前に同僚、上司、脅威管理チームが仲裁する機会を生み出しました。
「これらのプログラムは人々を助けるために設計されている」とモーガン氏は以前のインタビューで語ったセキュリティ管理.「私たちは、『人々を振り向かせるのではなく、振り向かせる』というフレーズをよく使います。私たちの目標は、あらゆる否定的な行動に先んじることです。」
セイヤー氏は、クライアントエンゲージメントグループを運営するグループチーフとして、2021年にNCSCに異動した。つまり、彼女は諜報コミュニティ、国防総省、その他の機関と協力してインサイダー脅威プログラムの開発に関する評価を実施していた。その後、彼女は 2022 年 10 月に NITTF の副所長に就任しました。一部の政府プログラムが実装に苦労しているインサイダー脅威管理の分野の 1 つは、従業員の一部を継続的に監視する要件であると彼女は言います。たとえば、そのような能力があれば、スノーデン氏が勤務していた NSA 事務所から文書を組み立て、コピーし、削除することはできなかったかもしれない。
政府機関がこれらの措置を導入できなかったのは、リソースや指導部からの支援がなかった可能性があります。資金のない任務であることも一因です。
「彼らにはそのための予算がありません。場合によっては専任の常駐スタッフがいなかったり、従業員が異動したにもかかわらず補充されなかったりします」とセイヤー氏は付け加え、新型コロナウイルス感染症パンデミック時代の従業員離職の課題の一部に言及した。
NCSC の仕事量も増大し、国家作戦安全保障プログラム局 (OPSEC) も含めて、セイヤー氏とそのチームは現在約 400 の機関と協力することになっています。以前は NSA がこのプログラムを担当していましたが、このプログラムは米国の利益に対して敵対者が使用する可能性のある未機密情報の保護に重点を置いていました。
しかし、このプログラムをNCSCに移行するということは、国家安全保障大統領覚書に概説されている要件を満たすためにOPSECプログラムを迅速化するために、内部関係者による脅威に費やす時間を減らすことを意味するとセイヤー氏は付け加えた。
「受信機関側だけでなく、私たち側にもリソースがあるため、OPSEC により多くの時間を費やす必要がありました。」と彼女は説明します。 「現在、そのプログラムはほぼ進行中で、順調に開発されているので、私の焦点は内部関係者の脅威に戻ることにあります。」
政府機関のプログラムの多くはフル稼働で稼働しています。これは、国家インサイダー脅威政策の 26 要件をすべて満たしていることを意味します。ただし、それは必ずしもプログラムが効果的であることを意味するわけではありません。
NITTF は現在、標準化された方法論を使用してどの程度効果的であるかを判断するのに役立つ内部脅威プログラムの評価の展開を開始するために各機関と協議中です。これらの対話には、評価をどのように実施すべきかを決定するために政府機関や学者が関与しました。
「最終的に、私たちが注目したいのは、スパイ行為や不正開示、自傷行為や他者への危害への重要な経路の初期段階にある従業員を支援するために講じられた予防措置によって、プログラムの効果がどのように評価されるかということです。」とセイヤー氏は説明します。
NITFFは、までに完了する予定だった新しい枠組みに基づいて評価を実施します。セキュリティ管理者時間を押してください。セイヤー氏は、枠組みが完成したら、NITFFはプロセスに参加する各機関の意欲を考慮して、どの機関を最初に評価するか優先順位を付けると述べた。彼女の希望は、2023 暦年末までに 12 件の評価が完了することです。
「少し野心的な目標かもしれませんが、それが私たちが今目指していることです。」と彼女は付け加えました。
進化する脅威
最近の調査では、2020 年から 2022 年にかけて内部関係者による脅威の頻度とコストの両方が増加したことが明らかになっているため、内部関係者による脅威プログラムの有効性を評価することはますます重要です。
Proofpoint の 4 回目のベンチマーク調査では、ポネモン研究所は、雇用主が内部関係者の脅威を特定するのに時間がかかっており、以前の調査で特定された封じ込めまでの平均 77 日から 85 日まで増加していることを発見しました。プルーフポイントが後援したこの調査では、不注意または怠慢な従業員がこうした事故を引き起こすことが多いことも判明しました。
「合計 3,807 件の攻撃、または 56% が従業員または請負業者の過失によって引き起こされ、1 件あたりの費用は平均 484,931 ドルでした」と研究者らは書いています。 「これは、デバイスの安全性が確保されていない、会社のセキュリティ ポリシーに従っていない、パッチとアップグレードを忘れているなど、さまざまな要因の結果である可能性があります。」
逆に、研究者らは、調査したインシデントのうち悪意のある内部関係者が引き起こしたのはわずか 26% であることを発見しました。ただし、これらの各事件の被害者組織の費用は平均 648,062 ドルです。
「今日では、生産性を向上させるために従業員がより多くの情報へのアクセスを許可されることが増えているためどこからでも働ける従業員、悪意のある内部関係者は、外部の攻撃者やハッカーよりも検出が困難です」と調査では説明されています。
2020 年から 2022 年にかけて、インサイダーの脅威は頻度とコストの両方で増加しました。
将来に向けてセキュリティ担当者にとって重要な軽減ツールは、ユーザー行動ツールや自動化などのテクノロジーの実装となるでしょう。
「内部関係者の脅威を検出するためのユーザー行動ベースのツールは、内部関係者の脅威を軽減するために不可欠または非常に重要であると考えられています (回答者の 62%)」と研究者らは書いています。 「これに続いて、内部関係者インシデントの予防、調査、エスカレーション、封じ込め、修復のための自動化 (回答者の 55%)、および内部関係者インシデントの予防、調査、エスカレーション、封じ込め、修復のための AI と機械学習 (回答者の 54%) が続きます。」
研究者らは、内部関係者の脅威を軽減するために、継続的な監視機能に似たこれらのツールを指摘していますが、NITTF の枠組みは、政府機関の内部関係者脅威プログラムがどの程度効果的であるかも評価する予定です。セイヤー氏は、2023 年の第 2 四半期に発表される予定の、代理店を評価するための枠組みの内容を正確には明らかにしませんでした。
「私たちは、他の代理店よりも重点的にターゲットにされている代理店に注目して、優先順位を付けて代理店を積み重ねていきます」とセイヤー氏は説明します。彼女は、一部の機関、特に研究、健康、環境、エネルギーに携わる機関が、中国、ロシア、イランを含む米国の敵対勢力によって頻繁に標的にされていると付け加えた。
「評価を実施したら、当局に戻って評価自体を読み上げ、どこに脆弱性があるのか、どのように改善できるのかを提案します」とセイヤー氏は言います。 「私たちはリストを提示するだけではありません。フォローアップも行い、約 100 の代理店と強固な関係を築いています。」
さらに、NITTFは民間部門に対し、脅威情報、学んだ教訓、独自のインサイダー脅威プログラム評価を実施するためのベストプラクティスについてのガイダンスを提供している、と彼女は付け加えた。これらのリソースの提供は、エネルギー、研究、技術分野の民間企業にとって特に価値があると考えられます。 で2023 年 3 月に発表された米国諜報機関の情報。たとえば、米国国家情報長官アヴリル ヘインズは次のように強調しました。中国がもたらすリスクの増大米国、特に技術競争力の領域。
「中国は、海外の科学的協力やパートナーシップ、投資や買収、人材採用などを幅広く活用し、海外の科学技術情報や専門知識を獲得する努力を続けるだろう。」技術や技術知識の取得と移転を目的としたサイバー窃盗」と評価されています。
内部関係者脅威の問題の範囲についての認識を高め、内部関係者脅威プログラムの有効性を評価するシステムを構築することは、セキュリティ管理者がより積極的に脅威に対処できるようにするのに役立ちます。これは、NITTF の年次内部関係者脅威傾向報告書に基づいて、政府機関が採用しようとしているアプローチです、とセイヤー氏は言います。
政府機関は「事後的なアプローチから積極的な緩和へと着実に移行している」と彼女は付け加えた。 「政府機関は、セキュリティ、防諜、CIO ショップ、人事、監察官、法務顧問室を含むハブを再構築することに真剣に取り組んでいます。」
NITTFはまた、事件を調査する際には、ストレス、自殺願望、職場での暴力に関連する兆候を特定するなど、事前対策に焦点を当てる必要があることを政府機関に強調している。代理店は従業員に福利厚生やサポートを提供する方法も検討する必要があります。
「私たちはまた、政府機関に対し、従業員を支援し、従業員に必要なメンタルヘルスケアや従業員の健康のためのその他のリソースを提供しようとしている間は、スパイ行為が依然として発生しており、不正な情報開示が依然として発生しているという事実を見逃してはいけないと警告します。」とセイヤー氏は言う。 「私たちはその点にも留意し、私たちが焦点を当てていたもの、つまり脅威から、従業員の健康へと振り子が振れないようにする必要があります。私たちはしっかりとした中間点を維持し、焦点を当てなければなりません。両方とも非常に重要です。」
エドワード・スノーデンと、内部関係者の脅威管理に対する彼の影響について詳しくは、次の記事をご覧ください。セキュリティ管理者アーカイブ:
- 「内部関係者の脅威に立ち向かう」2013 年 10 月
- 「民間部門における内部関係者の脅威」2015 年 5 月
- 「内部関係者による独特の脅威」2017 年 10 月
- 「人員の危険: 内部関係者の脅威のリスク」2018 年 4 月
- 「内部関係者の脅威: レポートからサポートへの移行」2021 年 9 月/10 月
ミーガン・ゲイツはの上級編集者ですセキュリティ管理。彼女と連絡するには[email protected]または LinkedIn で。 Twitter で彼女をフォローしてください:@mgngates。
