内部脅威リスクを軽減する計画を策定し始めたばかりの組織であっても、すでにそのような計画を導入している組織であっても、信頼できる内部脅威検知ツールなしでは、組織の内部脅威軽減計画を成功させることは困難です。
これは、RSA Conference 2014でインサイダー脅威管理プログラムの成功の基盤について講演したRaytheon Oakley Systemsの防衛プログラム担当ディレクター、Daniel Velez氏の主なメッセージです。
インサイダー脅威検知ツールは通常、データ損失防止やエンドポイント監視製品のカテゴリーに属し、エンドポイントに配備され、ユーザーがデータをどのように扱うかを監視するツールです。ポリシーベースの技術制御を使用して、機密メールを個人アカウントに転送したり、機密データをUSBメモリにコピーしたりするような特定のユーザー行動を防止します、とVelez氏。
Velez氏は、一般的に組織は強力なエンドポイント検出エージェントを搭載した派手なツールに魅力を感じるが、エンドポイントで何を検出できるかという点だけでツールを選択しないよう警告しました。彼は、組織がどのようなエンドポイントプラットフォームを使用しているか、エンドポイントプラットフォームの導入と管理がいかに容易か、どのようなポリシーの柔軟性を提供しているか、インシデントレスポンスと管理機能が組織の既存のプロセスにスムーズに統合できるかなど、企業固有の状況に基づいて製品を選択することを提案します。
製品選定プロセスで見落とされがちな基準は他にもあります。例えば、多くの大規模組織や成熟した管理構造を持つ組織では、内部脅威管理プロセスに監査委員会メンバー、コンプライアンス関係者、人事・法務担当者など多くの利害関係者が関与しており、これら全員が内部脅威製品へのアクセスを必要としている可能性があるとベレスは述べています。
「私が選んだツールは、複数のステークホルダーを持つことができますか?ベレスは、"顧問弁護士がアカウントを欲しがったり、人事がアカウントを欲しがったりしたら、対応できますか?" と質問しました。
また、優れた内部脅威検出ツールは、従業員が悪意を持ってネットワークに感染しようとしているのか、それともウイルスが含まれていることを知らずに自分のUSBドライブをコンピュータに挿入しているだけなのかを判断するのに役立つ十分な情報を提供することで、管理者がインシデントを正しく判断するのに役立ちます。
「私は8年間、防諜脅威調査官を務めていますが、私のデスクに寄せられる事件の98パーセントは他人事で、たいていは仕事をこなすために従業員が規則を破っているだけです」とベレスは言い、従業員の訓練に役立つコンテンツが必要だと付け加えました。"
同氏は、内部脅威検知プログラムの変化、特にユーザーや利害関係者の反応に応じて、製品がポリシーを迅速に調整できる必要があると指摘。
「秘密裏に展開すれば、噂は必ず広まります。
ヴェレスはまた、インサイダー脅威検知ツールが、人々にとって理解しやすいアウトプットを提供できるようにする必要性を強調しました。同氏は、1つのインシデントに関する20ページのレポートは一部の人々にとって有用ですが、優れたツールは、インシデントの重要なポイントを要約できるものであるべきであり、***情報担当役員やその他の幹部、非技術的な利害関係者が、何が起こったのかを迅速かつ容易に理解し、対応するための適切な意思決定を行えるようにする必要があると述べました。
適切な内部脅威検知ツールを選択する際の課題には、商用製品の成熟度が大きく異なることも含まれます。ヴェレスは、組織は調査会社が推奨する一連の製品リストに基づいて製品選択プロセスを開始するのではなく、組織の監査ニーズに基づいて製品選択プロセスを開始すべきだと述べています。
このツールに何をさせたいのか』という基本的な質問から始め、もう少し深く掘り下げてみてください。そして、もう少し深く掘り下げてみてください。そして、しばらくこの業界にいて、既存顧客とのつながりを気にしないベンダーを探す必要があります」。
すべての要素を考慮しても、実際にツールを導入する前に、そのツールで何ができて何ができないかを完全に把握することは不可能です。組織は、ベンダーが確かな導入計画を持っているだけでなく、それが組織の特定のビジネスニーズをサポートしていることを確認する必要があります。
アトランタを拠点とするCareerBuilder.comの情報セキュリティ・コンプライアンス・チームのメンバーであるジム・バトラー氏は、同社が内部脅威検知ツールを評価していると述べています。
バトラー氏は、監査プロセスに幅広いステークホルダー・グループを巻き込んでいる彼の組織では、すでに多忙なスタッフが、大きな負担になるのではなく、潜在的な内部脅威について継続的に監査できるような製品が必要だったと述べています。
また、常に新しい製品やプロセスが導入される、高度にコラボレーティブなネットワーク環境で適切なツールを選択することは、困難な課題であると指摘。
"どのような環境でどのようなツールを操作するのが適切かは、一概には言えません。"とバトラーは言います。"製品を選ぶポイントは、選ばれた製品が従業員の仕事を中断させたり、遅らせたりすることができない一方で、ある程度の可視性を提供することです。"
