ゼロトラスト博士のブログ

  • ゼロトラスト
  • セキュリティニュース
2021.06.08

従業員トレーニングの徹底はゼロトラストか

  • 本ブログ記事はカニンガム博士のポッドキャスト「Zero Trust and Cyber Security News」の5月28日のエピソードを元に編集を加えたものです。

    https://open.spotify.com/episode/6KfkJTjpawqi1LQy7RloTd

FBI職員が自宅に機密情報を持ち帰って逮捕・起訴

興味深い記事を見つけました。
FBI employee indicted for stealing classified info on FBI cybersecurity work
参照先:CyberScoop.com(英語)

米国連邦大陪審が、国家安全保障上の機密情報を自宅に10年以上保管していたFBI職員を起訴したというニュースです。機密情報の中にはサイバー脅威対策、テロ対策、具体的な捜査内容、人的情報源、外国の諜報機関に関する情報などが含まれていました。

どんな目的で自宅に機密情報を持ち帰っていたのかわかりませんが、この人はまさにサイバーセキュリティと諜報に関わる仕事をしていたので、この情報を持ち出すことの重大さを知っているはずです。テレワークで会社の情報を自宅に持ち帰れる一般企業と国の情報機関では情報管理のレベルが全く異なるのです。

米連邦政府の機密情報管理の徹底ぶり

私もかつてFBI、CIA、NSAといった国の機密情報を扱うところで働いていたので、徹底した機密情報管理のためのスクリーニングや教育は本当に凄まじいわけです。嘘発見器にかけられ、行動科学調査を受け、趣味嗜好などプライベートなことも根掘り葉掘り聞かれます。そしてスクリーニングにパスして、機密情報にアクセスできる権限を得ても、実際に機密情報にアクセスする時にはICカード、生体認証、18文字以上のパスワードまで求められます。アクセス結果は全てログに記録されます。

2ヶ月に1度は情報管理に関するトレーニングを受けなければなりません。2ヶ月に1回です!うんざりする頻度です。そして、トレーニングでは毎回「君たちは監視されている!規則を破ったら大変なことになるぞ!」と決り文句を言われるのです。

FBIではこのようなトレーニングを欠かさず実践してきていたわけですから、今回起訴された本人も当然、機密情報を自宅に持ち帰ることの重大さは100%理解しているわけです。

人は完全にはコントロールできない

この事件から導き出せる本質は、いくらトレーニングを積み重ねても、いくら警告しても、いくら厳しいセキュリティ対策を施しても、いくら監視しても、「人間を完全にコントロールすることはできない」ということです。人は政治的、経済的、あるいはその他の動機によって、ルール違反を犯してしまうものなのです。そして、もし本人がルール違反を行う意思がなくても、あなたが全幅の信頼を置く人であっても、ソーシャルエンジニアリングでフィッシングされたり、ハッキングされたりするものなのです。

個人的には、サイバーセキュリティのトレーニングを提供する会社が数十億ドルの会社規模になっているのかが理解できません。もちろんトレーニングは必要なことです、しかし、人を完全にコントロールすることはできないのですから、人をトレーニングすることでセキュリティのギャップを埋めようと期待するのは失敗の元です。連保政府の情報機関ですらできないことを、普通の企業ができるでしょうか?

ゼロトラスト的な考えは「人は間違える」を前提とすること

しかし、そのような人間の不正確さを補うことはもちろん可能です。例えば、いくら車の安全講習を受けさせても、交通事故をなくすことはできませんが、事故にあっても死なないように、シートベルトやエアバッグを装着した車を与えることはできます。

これがゼロトラスト的な考え方です。人間としては従業員のことを信頼している。だから会社のシステムを使ってもらう。しかし、従業員は万能のセキュリティマシーンではないので、フィッシングされるかもしれないし、マルウェアに感染するかもしれない。もちろん一定のトレーニングは効果的であり、必要なことです。しかし、会社としてはシステムは多要素認証しなければアクセスできず、アクセスも全てRBI経由で行わせ、システムリソース全体に対する可視性を保ち、優れたアナリティックスを用いてインサイトを得る、というゼロトラストを実践しなければなりません。

関連している記事

  • ゼロトラスト
  • セキュリティニュース
2021.06.07

DarkSideランサムウェア VS ゼロトラスト

DarkSideランサムウェアによって米主要パイプラインが停止。ゼロトラストなら守れたか?

  • ゼロトラスト
  • セキュアブラウジング
  • Ericom
2021.05.10

なぜ今、RBI(Web分離)が必要なのか?

ゼロトラストで大事な役割を担うRBI(Remote Browser Isolation(Web分離))。SASEベンダーの必須機能になった理由とは?ゼロトラスト博士のブログ翻訳記事です。

  • ゼロトラスト
  • インタビュー
2021.04.16

【特別インタビュー】ゼロトラストを知り尽くした博士に聞く、「ゼロトラストってなんですか?」ーその3

「ゼロトラスト博士」と呼ばれる元フォレスター・リサーチのカニンガム博士へのインタビュー記事 その3(全3回)

ページの先頭へ戻る