スノーデン氏の元上司が内部脅威を阻止するためのヒントを提供

元防衛関連請負業者のスティーブン・ベイ氏は、内部脅威について多少の知識を持っている。彼は一時期、米国国家安全保障局（NSA）から機密文書を盗み出したことで有名な情報漏洩者、エドワード・スノーデン氏の上司だった。

2013年6月、スノーデンがNSAのリークの背後にいたことを知った日のことを思い出しながら、ベイ氏は教会の指導者会議中にその速報を知らせるメッセージを受け取ったと語った。最初のメッセージには「ごめんね、最悪の悪夢が現実になったみたいだね」と書かれていた。

ベイさんは打ちのめされた。「教会の誰もいない部屋に出て行って、泣き崩れてしまいました。」

「考えられる限りのネガティブな考えが頭をよぎりました」と彼は言った。「クビになるんじゃないか、刑務所に行くんじゃないか、家族を失うんじゃないか、CIAの潜入捜査官が殺されるんじゃないか、と」

幸いなことに、NSAハッキング当時スノーデン氏のマネージャーだったベイ氏は投獄を免れた。しかし、この事件を通して、ベイ氏は内部者によるデータ窃盗の危険性と、すべての企業がこれを真剣に受け止めなければならないことを学んだ。

「スノーデン事件を見ると、非常に意見が分かれる問題です」と彼は述べた。「しかし、そこから得られる教訓もたくさんあるのです。」

ベイ氏は火曜日、IEEEコンピュータ協会主催のTechIgniteイベントで講演し、企業が内部脅威から身を守るためのヒントを解説した。ベイ氏は以前、NSA向けのコンサルティング会社であるブーズ・アレン・ハミルトンに勤務していた。2013年2月、ベイ氏はスノーデン氏を同社への採用面接に招いた。

スノーデン氏は報道陣に対し、NSAの監視プログラムのデータにアクセスするためにブーズ・アレン社に就職を希望したと語っている。

ベイ氏はスノーデン氏を「悪意ある内部者」と呼び、投獄されるべきだと述べている。しかし、彼のような人物を止めるのは難しいかもしれない。

ベイ氏はインタビューで、スノーデン氏がブーズ・アレンに情報分析官として勤務していた2ヶ月間、彼の意図を露呈するような明白な危険信号は示さなかったと述べた。しかし、振り返ってみると、何かがおかしいことを示唆する「危険信号」はいくつか示していた。

例えば、スノーデンは当初、NSAの機密監視プログラム「PRISM」へのアクセスを要求していました。2週間後、彼は再びアクセスを要求し、そのデータがNSA関連の仕事に役立つと説明しました。情報にアクセスした後、彼は結局それをマスコミに漏らしました。

スノーデン氏はまた、てんかんを患っており、そのせいでブーズ・アレンを休職せざるを得なかったと主張していた。ベイ氏によると、通常、従業員は給与を受け取れるよう人事部に短期の障害手当を申請する。しかし、スノーデン氏はそれを気にしなかったという。

「短期の障害ではなく無給休暇を求めるのは奇妙だ」と彼は言った。しかし、これらの行動はどれも不合理なものではなかった。

「彼を信用しない理由はなかった」とベイ氏は言う。ベイ氏はブーズ・アレンでスノーデン氏を面接した際、同氏の専門知識に「驚かされた」ことを思い出す。

だからこそ、内部者がストライキを起こした場合に備えて、どんな組織でも防御策を講じておくことが重要だと彼は述べた。

スノーデンは最終的にNSAのプログラムに関する膨大な数のファイルを盗み出すことに成功した。しかし、機密データの移動を検知するシステムアラートなど、より優れた技術的制御があれば、これを阻止できたはずだとベイ氏は述べた。

「USBメモリが差し込まれたときにアラートを出すとか」と彼は付け加えた。「USBメモリの電源が入ったときにアラートを出すとか。」

または、ローテクな解決策としては、最も機密性の高いコンピューティングシステムから USB ドライブポートを削除する必要があります。

ベイ氏によると、企業は機密ファイルの監視と保護に特化したデータ損失防止サービスを検討できるという。しかし、内部脅威から身を守るもう一つの方法は、誰が何にアクセスできるかを適切に分離することだ。

例えば、退職する従業員のコンピュータへのアクセスは直ちに停止されるべきです。また、経理部門は研究開発チームの研究成果にアクセスできないようにすべきであり、その逆も同様です。

「内部関係者が王国の鍵を持っていない限り、損害を与えることはできるが、アクセスできる範囲に限られる」と彼は語った。

NSAの漏洩事件を受けて、ベイ氏はブーズ・アレン・ハミルトンでのNSA関連業務から外され、昨年同社を退職した。現在は医療機器メーカーでCISOを務めた後、独立したサイバーセキュリティコンサルタントとして活躍している。

ベイ氏はブーズ・アレン時代を振り返り、TechIgniteでの講演で冗談めかしてこう語った。「何十億人もの人間の中で、なぜ私だけがスノーデンの上司という立場に追い込まれたのかは分かりません。でも、そうだったんです。」

同氏はさらに、スノーデン氏のような内部ハッカーはまれなので、企業はフィッシングメールからもたらされる脅威など、より一般的なサイバーセキュリティの脅威にも焦点を当てることが重要だと述べた。

しかし、だからといって企業がインサイダーリスクを無視すべきだというわけではありません。

「こうした悪意ある内部関係者は、世間のどんな脅威よりも大きな被害をもたらす可能性があると私は考えている」と彼は語った。

Recommended Reading