米国の重要インフラ領域における内部脅威の軽減: インテリジェンスの観点からのガイドライン [PDF] dni.gov/files/NCSC/doc…:
米国の重要インフラ領域における内部脅威の軽減: インテリジェンスの観点からのガイドライン
[PDF]
dni.gov/files/NCSC/doc…
Overview
米国の国家防諜戦略、2020-2022」は、米国の重要インフラ組織に対する外国の国家および非国家主体からの脅威が拡大し、進化していることを強調しています。
外国の敵対者は、冷戦時代によく見られたように、もはや単に米国政府を標的としているのではなく、今日では、米国の重要インフラやその他の民間企業、学術団体を含む、より広範な標的に対して高度なインテリジェンス能力を使用しています。
これらの米国の産業界や学術機関は、今や地政学的な戦場の真っ只中にあります。
外国の脅威となる企業は、これらの組織とその従業員に関する大量の公開・非公開データを、かつてないレベルで収集しています。
これらの情報を高度なデータ分析能力やその他のツールと組み合わせることで、外国の敵対者は、米国の地政学的利益を促進するために、米国の労働力の中から脆弱な人々を特定し、標的とし、利用する膨大な機会を得ています。
彼らの強みは、私たちの弱点を見極めることであり、私たちの脅威は彼らのチャンスなのです。
このような脅威の状況を考えると、重要インフラ企業は、インサイダーの脅威を事前に防ぎ、軽減するためのリソースを優先的に投入することが不可欠です。
インサイダー脅威とは、組織内で信頼されている人物で、意図的か否かにかかわらず、施設、人員、情報への許可されたアクセスを利用して、組織に損害を与える可能性があるものです。
National Insider Threat Task Force(NITTF)は、組織が効果的なインサイダー脅威プログラムを構築するための基準、勧告、ガイド、公報を豊富に作成しています。
NITTFは、機密情報の漏洩に対応するために設立されましたが、NITTFは、従業員のプライバシーと市民的自由を保護しつつ、あらゆるインサイダー脅威に積極的に対応する組織運営を推進しています。
NITTFのモデルは、人間の行動に焦点を当てており、異常な行動を特定し、従業員、組織、ミッションに重大なダメージが及ぶ前に対処することを目指している。
NITTFのモデルは、すべての組織資源を保護するためのベストプラクティスとして、政府や産業界で広く認識されています。
国家防諜・セキュリティセンター(NCSC)は、脅威に対する認識を高め、外国の諜報活動の脅威から国を守るために設計された実務を推進しています。
正式な防諜プログラムではありませんが、インサイダー脅威に対抗するために設計されたプログラムと実務は、国の全体的な防諜態勢の強化に役立ちます。
本報告書の目的は、重要インフラに対する人間の脅威に対する認識を高め、この脅威のベクトルを組織のリスク管理に組み込む方法についての情報を提供し、インサイダーの脅威を軽減する方法についてのベストプラクティスを提供することである。
本報告書は、重要インフラ事業体が人間の行動に焦点を当てた内部脅威プログラムを利用することで、重要な脆弱性に対処し、敵に悪用されるのを防ぐ方法について幅広く考察し、既存のNITTFガイダンスを補完するものである。
Insider Threat(内部脅威)
「インサイダーの脅威」は、文明の起源から人類の歴史の一部となっています。
ほとんどの文化圏では、インサイダーの脅威に関する歴史的な物語があります。
米国の歴史には、信頼できる仲間が寝返ったときに直面する脅威を浮き彫りにする逸話がたくさんあります。
ベネディクト・アーノルドから最近の大惨事となった機密情報の不正開示に至るまで、共通の物語があります。
信頼された有能な人間が、人生の課題に直面して進路を変更し、最終的に危害を加えるというものです。
外国の敵対者が、侵入しようとする組織内のインサイダーを悪用したり、利用したりするために費やしているリソースを考えると、インサイダーの脅威は、今後数年間にわたり、ほとんどの重要インフラ事業体の脅威とリスクの状況の中で永続的な部分となるでしょう。
解決策は?インサイダー脅威は人間の問題であるため、人間による解決策が必要です。
テクノロジーを利用すれば、特にバーチャルな領域での従業員の行動を把握することができますが、インサイダー脅威に対抗するために組織が持つ最も重要なリソースは、従業員自身です。
このような脅威を軽減するために、組織は最低限、次の2つのことを実現しなければなりません。
- 個人の異常な行動を特定するプログラムと、それに対応するためのリソースを用意する。
- 信頼を醸成し、パートナーとしての従業員を活用する方法で、異常な行動に対応する。
重要インフラ事業体とは、大統領政策指令21(Critical Infrastructure Security and Resilience)で定義された、米国の電力網、通信ネットワーク、金融機関、製造施設、輸送施設、病院などの16セクターを指します。
これらのセクターには、道路や繊維などの物理的な資産だけでなく、それらを支える知的資本、すなわち医療、エネルギー研究、食糧生産、グリーンテクノロジーなどに携わる人々が含まれています。
これらの人々は、悪意のある目的のために重要な資源へのアクセスを求める外国の敵対者の主要なターゲットの一つです。
米国の重要インフラ事業体におけるインサイダーの脅威は、故意であるか否かにかかわらず、国家安全保障や公共の安全、さらには個々の企業や州・地方自治体に重大な損害を与える可能性があります。
このような脅威を軽減する方法を改善することは、国益と個々の組織の利益につながります。
NCSCとNITTFは、国土安全保障省、財務省、エネルギー省、国防省などと協力して、米国の民間企業、州・市・地方自治体、学界などの重要インフラ事業体をよりよく支援するために活動しています。
重要インフラ事業体には、従来のセキュリティ対策を強化・補完し、それぞれの環境や固有の脅威・リスクに合わせた、人間の行動に焦点を当てたインサイダー脅威対策プログラムに投資することをお勧めします。
How the Risk and Threat Environment is Changing(リスクと脅威の環境はどのように変化するか)
米国の脅威環境は、新たな種類とレベルの注意を必要とする形で変化しています。米国の重要なインフラは、地政学的な戦いの場であると同時に、大規模な犯罪活動の標的でもあります。
米国に対する外国のインテリジェンスの脅威は、今日ほど複雑でダイナミックなものはありません。
外国の脅威主体は、ますます洗練されたインテリジェンス能力を持ち、それらを新たな方法で米国を標的にしています。
さらに、これらの脅威主体は、自らの利益を追求するために利用すべきターゲットと脆弱性を拡大しています。敵対者は日常的に学習し、米国のセキュリティ対策に適応しています。
米国の重要インフラを破壊することは、外国の敵対者にとって、米国の国家安全保障、経済安全保障、国民の健康と安全に深刻な損害を与える手段の一つです。米国の国家防諜戦略、2020-2022年によると、
外国の諜報機関は、世界中の重要インフラを悪用し、破壊し、劣化させる能力を開発しています。外国の情報機関は、重要インフラを危険にさらすことで、危機的状況にある米国の意思決定者に影響を与えたり、強要したりすることを目的としている可能性が高い。世界各地の重要インフラは分散化され、デジタル化されているため、外国の情報機関が利用できる脆弱性があり、世界のエネルギー、金融市場、通信サービス、政府機能、防衛能力を支える施設やネットワークも標的となっています。
このように進化する脅威の状況と、米国の重要インフラの多くが民間企業に所有されているという事実を考慮すると、重要インフラの安全確保は、米国の情報コミュニティや連邦政府だけの機能ではありません。
解決策には、民間企業やその他のステークホルダーが関与する必要があります。米国の重要インフラを守るためには、官民一体となって「ゲームを盛り上げる」ことがこれまでになく求められています。
Insider Threats Pose New Kinds of Challenges(インサイダーの脅威がもたらす新たな課題)
重要インフラ企業に対するインサイダーの脅威は増大しています。これらの脅威は、リモートアクセスによるサイバー脅威に比べて評価が低く、緩和が困難な場合があります。
インサイダーの脅威は、サイバーセキュリティやサプライチェーンのリスクの観点からも、また、セキュリティに対する広範なリスクの観点からも、重要インフラに対する脅威のベクトルとしてますます重要になっています。
インサイダーの脅威は、経済スパイ、サボタージュ、職場での暴力、詐欺、その他の企業資源の悪用などによって被害をもたらす可能性があります。
インサイダー脅威活動には、外国の情報機関と連携したインサイダーによる意図的な行動や、悪意や犯罪の動機を持ったインサイダーによるその他の行動が含まれることがあります。
最後に、インサイダーは単純な過失や不注意によっても被害を引き起こす可能性があります。
現在の米国における緊迫した思想・イデオロギーの状況は、これらのリスクを悪化させ、一部の人々にはより多くの動機を与え、他の人々には高レベルのストレスに対してより脆弱にさせています。
米国の重要インフラ事業体に対するインサイダーの脅威は、一般的に目立ちがちなリモートアクセス型のサイバー脅威(フィッシング・キャンペーンなど)との関連で考えることが重要です。
重要インフラ保護の議論は、しばしばサイバーセキュリティの議論と同義となり、脅威の主体(人間)ではなく、主に戦場(サイバー)に焦点が当てられています。
しかし、多くの場合、アクセス権を持つ人間が我々のリソースの完全性を危うくしています。
重要なインフラは、今後も情報通信技術(ICT)への依存度を高めていくでしょう。
また、ICT要素間の相互依存性が高まり、その結果、脆弱性が増加する可能性があります。
遠隔地からのサイバー脅威は、重要インフラ事業体にとって継続的かつ深刻な脅威となります。
しかし、内部の人間は、インターネットを介して遠隔地からアクセスしなくても、ICTの脆弱性を悪用することができます。
リモートアクセスによるサイバープロテクションが非常に効果的であっても、敵対者は、組織に侵入するための最も実行可能な手段がインサイダーであると考えるかもしれません。
How the Covid-19 Crisis Affects the Threat/Risk Landscape(武漢ウイルスが脅威/リスクの状況に与える影響)
武漢ウイルスのパンデミックは、公衆の健康、安全、経済的不安を伴い、インサイダー脅威を含む脅威環境を悪化させる可能性があります。
武漢ウイルスのパンデミックは、米国および世界各国の公衆衛生、公衆安全、経済安全保障にかつてない危機をもたらしています。
米国の多くの州や地方の団体、企業、そしてそれらに勤める個人にとって、パンデミックは信じられないほどの新しいストレスをもたらしました。
このようなストレスを、外国の情報機関はチャンスと捉えています。
遠隔地や自宅で仕事をする人が増え、パンデミックの影響で、敵に悪用される可能性のある安全性の低い情報通信技術への依存度が高まり、これらの技術の要素間の相互依存性も高まっています。
同時に、雇用の確保や健康などに関する個人や家族の不安も増大する可能性があります。
緊迫した国家の経済、社会、政治情勢は、これらの緊張をさらに悪化させるかもしれない。
要するに、社会人の多くは、家庭でかつてないストレスに直面し、組織から孤立し、仕事をする上で安全性の低い情報技術への依存度を高めているのである。
このような環境では、強固で適応性のある内部脅威プログラムがより必要とされ、より困難になります。
インサイダー脅威プログラムは、インサイダー脅威の動機、行動、ストレスがより顕著になっているため、必要性が増しています。
このような環境下では、危機がセキュリティプログラムを含む企業や政府のリソースにストレスを与えるため、インサイダー脅威プログラムはますます困難になります。
Security as an Evolving Cycle(進化するセキュリティサイクル)
現在の環境では、企業は、進化する脅威やリスクの状況に合わせて、自社のセキュリティ態勢を見直すことが新たな課題となっています。
インサイダーの脅威に対抗するには、情報に精通し、意識が高く、献身的な従業員を基盤とした、組織全体の取り組みが必要です。
インサイダーの脅威に対処するためには、組織の市民意識を育み、セキュリティ文化を促進することが重要です。
真の組織的セキュリティは、国家安全保障とビジネスの両方の意味で、組織内の全員が責任を負うべきものです。
効果的な内部脅威プログラムは、単なる「セキュリティプログラム」ではなく、組織と従業員の保護に対する責任の共有を促進するための、従業員への継続的な働きかけと意識向上の取り組みです。
米国政府は半世紀以上にわたり、「オペレーション・セキュリティ」(OPSEC)という概念を推進してきました。
OPSECの核となるのは、敵対的な脅威(意図と能力)を考慮して組織の脆弱性を評価し、適切な緩和策を実施するというリスク管理サイクルです。
外国の国家および非国家の脅威主体が米国の産業や重要なインフラをますます標的としている中、産業界は外国の敵対的な脅威をリスクマネジメントやビジネスプラクティスに取り入れ、自社の従業員が問題ではなく解決策の一部であることを確認することが不可欠です。
進化する脅威環境の中で、企業は、今日の脅威に対して自社のセキュリティ態勢がどの程度適合しているかについて疑問を持つべきである。
外部からの物理的なアクセスや遠隔地からのサイバー脅威に対する対策は、インサイダーの脅威に対する対策よりも進んでいることが多い。
自社のセキュリティ態勢を把握することは、新たな脅威に対処するための第一歩です。
- 多くの企業にとって、潜在的な脅威やリスクの数や範囲が非常に多いため、どれを優先すべきかが不明確になっています。多くの場合、物理的なアクセスや遠隔地からのサイバー攻撃など、一見すると最も重要なリスクに固執することになります。
- ほとんどの組織は、リスクや脅威に対して何らかの形でセキュリティを構築していますが、これらのセキュリティ対策は、最新の脅威の状況にマッチしていない可能性があります。脅威やリスクへの対策は、専門的な「縦割り」で行われる傾向があり、企業としての見解を持つことは困難です。
- 組織によっては、「チェック・ザ・ボックス症候群」に陥ることがあります。名ばかりのセキュリティプログラムは、何もしないよりはましだと考えてしまうのです。このようなリスクフレーミングは、深刻なセキュリティの欠陥を引き起こす可能性があります。
- 既存のセキュリティ体制を強化したり、新しいセキュリティプログラムを作成したりすることは、リソース的に難しい場合が多い。従来のセキュリティ体制を維持する場合でも、その体制を見直し、評価して、現在の脅威や新たな脅威に対応しているかどうかを確認することが重要です。
進化する脅威環境の中で、企業や政府のリーダーは、次のような質問に答えられる必要があります。
組織の全体的なセキュリティ対策はどうなっているのか?
企業全体のセキュリティ体制はどうなっているのか?
セキュリティに対する最近の投資や組織変更はどうなっているのか?
現在および新たに出現する脅威環境との不一致はどのようなものか?
そのようなミスマッチがあるかどうかを知る立場にあるのは経営陣の誰か?
インサイダー脅威のインシデント、対応、あるいはより大きなセキュリティ態勢のミスマッチについて責任を負うのは誰か?
このような質問に、既存のポリシーとプラクティスに基づいて答えられない場合、セキュリティ態勢の見直しと評価の必要性がさらに高まる可能性があります。
セキュリティ態勢の評価は、組織が「インテリジェンスに似た」機能(組織のセキュリティに関連する情報を収集し、処理する能力)を果たしているかどうかを判断するのに役立ちます。深刻なセキュリティイベントは、組織のインテリジェンスが機能していないことが原因となる場合があります。
脅威に効果的に対応するためには、多くの重要インフラ企業がセキュリティの「インテリジェンス」機能を構築するか、既存の機能を強化する必要があります。
米国の情報コミュニティにおけるインテリジェンスとは、米国の政策決定に関連する質問、洞察、仮説、データ、証拠などの情報を指します。
重要インフラ組織におけるインテリジェンスとは、組織の目標を成功裏に達成し、脅威やリスクから身を守るために必要な情報のことである。
重要インフラのセキュリティを強化するためのインテリジェンス機能の主な要素は以下の通りです。
- 人的、物理的、情報的な分野における脅威と脆弱性を分析するセキュリティ・インテリジェンス・プログラムの構築
- 頻発するセキュリティ違反や「危機一髪」事件のパターンの傾向分析の実施
- セキュリティに関する懸念事項を従業員に伝えるためのコミュニケーションプランの策定
- 複数の組織的専門分野(人事、福利厚生、情報技術など)をセキュリティの計画と運用に統合すること
- 内部および外部の脅威について常に最新の情報を得る(また、将来を見据える)
- 組織横断的な学習のためのリソースを確保すること
- 市民の自由とプライバシーの保護を、セキュリティおよびインテリジェンスに類似したプログラムに完全に組み込むこと
米国政府のインサイダー脅威プログラムでは、「防諜」情報へのアクセスが一つの最低基準となっています。
正式な防諜プログラムは、企業の多くにとって実現可能ではないと思われますが、意図や能力を含む外国の敵対的脅威に関する情報を組織のリスク管理に組み込んで、決意の固い、組織化された、資金力のある敵対者から保護することは必須です。
このようなプログラムは、組織とその従業員を守り、重要なインフラが危険にさらされている場合には、米国の国家安全保障と公共の安全を守ることにつながります。
インサイダー脅威プログラムは防諜プログラムではありませんが、敵対的な脅威を理解し、それをリスク管理の取り組みに組み込むことで、インサイダー脅威プログラムがその取り組みに集中し、脅威に対抗するために従業員をよりよく準備するのに役立ちます。