カジノサイト

今日の内部脅威環境に対する運用戦略

米国家安全保障局(NSA)請負業者エドワード・スノーデンが数千件のNSA機密文書をジャーナリストに漏らし、米国政府が自国民に対してスパイ行為を行っていたことを暴露してから10年が経った。スノーデン氏の情報漏洩は、プライバシーの侵害やデータの収集、使用、保管、破棄の方法についての議論を引き起こしました。内部関係者による脆弱性のほんの表面をなぞるだけだった脅威管理プログラムは、差し迫った問題に対処するために全面的に見直されました。営業秘密の窃盗、意図せずログイン認証情報を公開する、職場の設備を意図的に妨害するなどの内部関係者による脅威は、これまでも、そして今後も常に念頭に置かれ続けています。

内部関係者の脅威から逃れられる人は誰もいません。これらは、検出、防御、管理が最も困難な攻撃の一部です。

組織は、生産に影響を与えることなく、従業員、専有情報、プロセス、データ、テクノロジーを保護することを正当化できますか?リスクと利益のバランスを考えた場合、どの程度の保護が多すぎるのでしょうか?

このバランスを取るための組織のアプローチは、スノーデンの情報漏洩の衝撃と畏怖の念以来変わってきました。内部関係者による脅威への対応は、断続的な対応から、プロアクティブなプロセスの一環として組み込まれるようになりました。たとえば、単に職歴や経歴に基づいて人材を精査することから、将来の従業員が居住していた州や国での犯罪歴を調査する第三者との契約に移行しました。さらに、組織は、従業員を信頼して割り当てられたアクセス権と権限を尊重することから、意図的または意図せずに権限を超えた個人をフォローアップするようになり、アクセス権と権限を定期的に見直して特権を阻止するようになりました。クリープ。

組織は、収集したデータをどのように管理し、そのデータをどのように扱うかについて、より透明性を高めています。ほぼすべての Web サイトのランディング ページのフッターにプライバシーに関する声明が記載されています。 10 年前にはほとんど前代未聞のことでしたが、機密保持とプライバシーのプロセスは、内部関係者の脅威を軽減するための重要なツールになりました。生活のデジタル面では、トランスポート層セキュリティなどの暗号化対策が追加され、保護された機密データがネットワーク外にアクセス、コピー、または送信されたときに監視して警告するために組み込まれた堅牢なシステム監視が行われました。

現在、セキュリティ意識向上トレーニングはより強化されていますが、依然として蔓延している課題の 1 つは、電子メールのリンクをクリックしたり、誤ってネットワークへの侵入手段を提供したりすることによる、意図しないネットワークへのアクセスのリスクです。

組織は、外部の脅威から保護するためにすでに導入されている強固なインシデント対応計画が、内部の脅威に対処する場合にはギャップが残っていることに気づき始めました。すぐに、潜在的な内部関係者の脅威に対処するための兄弟計画が策定されました。総合的なアプローチを利用して、検出プロセスの開発において物理的、人的、サイバー上の脅威のあらゆる側面が考慮されました。

内部関係者による脅威を認識するための重要な要素は、懸念のある行動を観察し特定することです。潜在的な脅威を評価する際の主な目標は、意図的か非意図的かにかかわらず、インシデントを防ぐことです。内部関係者の脅威を管理するだけで、内部関係者の行動 (悪意があるか偶発的か) に関係なく、進行を阻止したり、有害な結果から損失のリスクを効果的に軽減する方向に事態の経過を変更したりすることが可能です。

インサイダー リスク プログラムは、その開始時に内部コラボレーション、データ共有、システム、リソースの制限などのさまざまな課題を引き起こすため、セキュリティ専門家はまず適切な制御を特定し、プログラムを組織のリスク許容度に合わせる必要があります。

これらの課題を乗り越えるためには、適切な質問をする必要があります。  エンタープライズ セキュリティ リスク管理 (ESRM) はこのプログラムをどのようにサポートしていますか?リアルタイム、運用上、企業全体で監視する必要がある、関連するリスクと脆弱性は何ですか?インサイダーリスクの懸念に対処するにはどのようなツールを使用する必要がありますか?どのスキルが必要で、どのように習得すればよいのでしょうか?組織にとって重要なインサイダー リスク プログラムの望ましい結果は何ですか? ESRM は、組織のリスク許容度を理解するための基盤を確立し、プログラム管理者が優先順位を設定し、インサイダー リスク プログラムをサポートするリソースを特定するのに役立ちます。

基本的に、セキュリティ チームはベースラインを検討して開発する必要があります。これは、組織のリスク選好と活動を明確に理解することを意味します。このベースラインは、インサイダー リスク プログラムをサポートするための基本的な指標を特定するのに役立ちます。これらの指標には、最小限の特権アクセスに関して確立された物理的および論理的なアクセス制御プロビジョニング要件、重要なスペースのアクセス監査、セキュリティ ツアーの頻度の確立、結果に関する上級リーダーへの報告の透明性の提供などが含まれますが、これらに限定されません。

物理的および論理的なプロビジョニングの確立が基礎です。これは、生体認証およびカード アクセス認証、モバイル認証、身元調査、および説明責任ツールを通じて実行できます。物理的アイデンティティ アクセス管理 (PIAM) およびセキュリティ インシデント イベント管理 (SIEM) システムが情報を共有して、物理的および論理的なユーザー アクティビティの全体像を把握することが重要です。これは、データ分析 AI 主導のソフトウェアを使用して、物理的および論理的なリスク行動に関するリアルタイムのリスクをレポートすることで実現できます。

インサイダー リスク プログラムを開発する際には、使命、企業の視点、基礎、運営戦略、準備という 5 つの領域を考慮する必要があります。ポリシーを作成、施行、レビューすることを常に忘れないでください。

ミッション

セキュリティの使命は、適応型セキュリティ モデルを通じて変化を教育し、影響を与え、刺激し、整合性を確保し、セキュリティのあらゆる側面を評価することです。これらのチームを連携させて物理的とサイバーの両方に重点を置くことで、運用環境を取り巻く潜在的なインサイダー リスクを総合的に把握できるようになります。したがって、人間のオペレーターの対応も含め、物理環境とサイバーセキュリティ環境の両方をテストすることを考慮する必要があります。

ソーシャル エンジニアリング攻撃には、フィッシングやビッシングなどさまざまな名前が付けられていますが、ユーザーを操作するという前提には同じ目的があります。それは、ユーザーを騙して間違いを犯させたり、信頼を利用したりすることによって、機密情報、財務情報、またはネットワーク情報を開示することです。

ソーシャル エンジニアリングに関しては、内部関係者の脅威は必ずしも不満を抱いた従業員から発生するとは限りません。無知または無謀な従業員は、巧妙に作成されたソーシャル エンジニアリング メッセージによって生み出される緊急性、好奇心、または恐怖に屈してしまう可能性があります。教育と年次キャンペーンを通じて、ユーザーはこれらのリクエストを特定して管理する方法を学びます。フィッシング キャンペーンを頻繁に実施すると、ユーザーは不審な電子メール、電話、または電子メッセージに進む前に行動を一時停止するという自信を得ることができます。このソーシャル エンジニアリングは、社内の対象分野の専門家と協力して、サードパーティの業界リソースを通じて実現できます。

企業の視点

ESRM は、組織のあらゆるリスク管理領域にわたってオープンな対話を行うための基盤を提供できます。セキュリティ担当者は、適切な資金調達とインサイダー リスク プログラムの監視を通じて経営陣の期待に応えられるように、経営幹部との継続的なコミュニケーションを維持する必要があります。さらに、物理的およびサイバーセキュリティ戦略には、インサイダー リスク プログラムの対応プロトコルをサポートし、それと連携する、すべての危険に対応するアプローチが含まれていることを確認します。

接地

グラウンディングとは、組織の企業リスク選好を理解し、それが困難であり、リーダーシップによる影響力が必要であることを理解することです。経験上、リスクが変化すると、組織のリスク選好はその状況に合わせて適応する必要があることがわかります。 ESRM は、リスク管理の領域全体にわたって透明性を提供し、プログラムの方向性、説明責任、管理者の期待を支援します。

インサイダー リスクとサイバー保険のオプションを保険会社と検討することも重要です。それなしでは戦略を立てることはできません。

運用戦略

論理的および物理的アクセスは、成熟したセキュリティ プログラムの主要な要素です。物理的および論理的アクセスを必要とするユーザーのバックグラウンド スクリーニングは、運用慣行がオンサイト従業員とベンダーを含むオフサイト従業員の両方のアクセス制御手順と一致していることを確認するための基本的なコンポーネントです。

たとえば、従業員の検査とベンダーの検査の間にサービスの継続性があることを確認してください。新しいベンダーを導入する前に、財務状況、セキュリティ計画とプロセス、機密情報の取り扱い方法、同一のセキュリティしきい値が設定されているかどうかを確認して、組織を評価します。

準備完了

組織の準備状況を測定して、ギャップや改善すべき領域を特定することが重要です。適切な関係者の見つけ方は、組織の規模によって異なる場合があります。このプログラムでは、物理的セキュリティ、サイバーセキュリティ、リスク管理、法務、人事の人材が選ばれる必要があります。これらの利害関係者のそれぞれが、インサイダー リスク プログラムを管理するためのポリシーと手順を確立するために、必要なリソースを最前線に投入します。

では、インサイダー リスク プログラムをサポートするために、準備状況を測定し、必要な情報を収集するにはどうすればよいでしょうか? 

従業員アンケート。これは、人事パートナーを活用して組織のストレス要因を評価する絶好の機会です。従業員アンケートを作成することは、職場内の変化やストレスの温度をテストするための素晴らしい方法です。アンケートは、リスクを特定するための情報を収集するのに役立つ優れたツールです。

セキュリティサイトの調査。セキュリティ サイト調査の実施は、インサイダー リスク プログラムをサポートできる運用リスクの評価に役立つ優れた戦略です。適切な情報を監視チームと共有できるように、重要エリアのツアーの頻度を特定する必要があります。

建物内の安全なエリアとネットワーク上の安全なファイルへのユーザーのアクセスを少なくとも年に一度評価し、権限のクリープを防ぐために必要に応じて調整します。最小特権の原則を採用して、ユーザーが必要なタスクを完了するために必要な特定のデータ、リソース、アプリケーションにのみアクセスできるようにします。

情報共有。インサイダーリスクプログラムにとって不可欠な要素であるため、重要な情報共有戦略とみなされるべきです。あらゆる組織における脅威管理には、人事、法務、リスク管理、物理的セキュリティ、サイバーセキュリティが含まれる必要があります。  機密記録、ビジネスプロセス、さらには企業や工場の内部ツアーを共有する前に、機密保持および機密保持契約を確認し、合意する必要があります。これは、企業秘密と専有財産を保護するのに役立ちます。

訓練。アクセス制御、機密保持、銃撃犯、不審な電子メールに関するトピックを含むセキュリティ意識向上トレーニングを少なくとも年に 1 回実施します。フィッシングキャンペーンを頻繁に実施して、サイバーコンセプトを強化します。教育が最良の予防策です。

データ共有。状況認識を提供するためのシステム間の通信を優先する必要があります。物理的アイデンティティ アクセス管理 (PIAM) システムとサイバー中心のセキュリティ インシデント イベント管理 (SIEM) システムとの関係は、私たちを取り巻く潜在的な脅威に対する環境の全体像を確立したいと考えているため、特に重要です。

覚えておいてください: 組織がマルウェアやランサムウェアにさらされるのは「かどうか」ではなく、「いつ」であるかです。サムドライブなどのリムーバブルメディアを禁止し、ハードドライブやハードコピー文書を安全に廃棄することで、データを共有する機会を排除します。好奇心の誘惑を排除するために、クリーンデスクポリシーを導入します。セキュリティ ツアーは、コンプライアンスの問題を特定するのに役立ちます。

テクノロジーはポリシーを超えて、組織の検出および対応リソースを強化できます。たとえば、セキュリティ チームは、自己学習 AI を使用してネットワークとユーザーのパターンを学習するログ管理ツールを実装できます。これらの学習されたパターンは、ネットワーク侵入者、悪意のあるユーザーの行動、またはネットワークの問題を示す可能性のある異常を特定し、リアルタイムでアラートを送信するのに役立ちます。

インサイダー リスク プログラムを効果的に管理するには、組織は部門を超えて情報を共有する必要があります。これによりサイロ化が回避され、適応的な脅威管理戦略が提供されます。これらの関係者が一緒に発足することで、インサイダー リスク対応能力が向上し、ESRM に対する理解を深めることができます。公平なツールは、現在の脅威とリスクの状況を把握し続けることで、文化的規範を監視し、リーダーの期待に応えるのに役立ちます。これにより、組織のセキュリティ体制を向上させるための循環的な改善モデルが提供されます。

ロバート・アッヘンバッハ、CMAS 編集博士は、ファースト・ナショナル・バンク・オブ・オマハの最高セキュリティ責任者 (CSO) および企業セキュリティおよび安全担当シニア・ディレクターを務めています。アッヘンバッハ氏は過去 18 年間 CSO を務め、その 30 年にわたる豊富な経験は政府および民間部門の行政におけるリスク軽減とプログラム開発にあります。同氏は、機器、情報、および人員をコンプライアンスに準拠して保護するためのセキュリティ対策、システム、および戦略を改善するための健全な協議を指示しました。アッヘンバッハは、対テロ認定委員会の認定マスター対テロ対策スペシャリスト (CMAS) です。

デブ・アンダーセン、PSP、CISSPはネブラスカ州リンカーンの MWI ダイレクトの物理およびサイバー セキュリティのセキュリティ管理者、彼女は物理的およびサイバーセキュリティのプロセス、ポリシー、トレーニングのあらゆる側面を管理します。  彼女は、世界的な製造会社の物理的セキュリティとテロリズムに対する関税貿易パートナーシップ (C-TPAT) プログラムの開発と実装、サードパーティのリスク管理評価の実施、企業向けのセキュリティ ソリューションの設計と実装など、15 年以上のセキュリティ経験を持っています。 Andersen は、カジノサイト International から PSP 認定資格を取得し、ISC2 から認定情報システム セキュリティ プロフェッショナル (CISSP) を取得しています。