国防総省 監察官室 国防総省内部関係者脅威管理・分析センターへの国防総省構成機関の内部関係者の脅威報告に関する監査
こんにちは、丸山満彦です。
国防総省監察官室が、「国防総省内部関係者脅威管理・分析センターへの国防総省構成機関の内部関係者の脅威報告に関する監査」を公表しています。国防総省の内部監査報告書です。一部黒塗り...
インサイダー(内部関係者)、つまり正当な権限を持っている者による、ある意味裏切り行為によるリスクをどうするか?これは難しい問題です。情報漏洩の文脈でここでは述べられていますが、財産的価値に対する内部関係者のリスクについても同じようなものかもしれないと思っています。いわゆる内部不正対策です。いろんな組織で同じ問題があるのでしょう。
● Department of Defense Office of Inspector General
Audit of the DoD Component Insider Threat Reporting to the DoD Insider Threat Management and Analysis Center (DODIG-2022-141) |
国防総省内部関係者脅威管理・分析センターへの国防総省構成機関の内部関係者の脅威報告に関する監査 (DODIG-2022-141) |
Publicly Released: September 30, 2022 | 2022年9月30日公開 |
Objective | 目的 |
The objective of this audit was to determine whether DoD Components reported insider threat incidents to the DoD Insider Threat Management and Analysis Center (DITMAC) in accordance with DoD guidance. | この監査の目的は、国防総省コンポーネントが国防総省の指針に従って国防総省内部脅威管理・分析センター(DITMAC) に内部脅威事件を報告したかどうかを判断することである。 |
Background | 背景 |
DoD Directive 5205.16 defines a DoD insider as any person (DoD personnel, contractors, and other non‑DoD individuals) to whom the DoD has, or once had, granted eligibility for access to classified information or to hold a sensitive position. The Directive defines an insider threat as a threat that insiders pose to the DoD and Federal Government installations, facilities, personnel, missions, and resources, that can result in damage to the United States through espionage, terrorism, and unauthorized disclosure of national security information. The FY 2017 National Defense Authorization Act revised the definition of a DoD insider (also known as a covered person) to include any person who has, or once had, authorized access to DoD information, facilities, networks, or other resources. According to DoD officials, DoD Directive 5205.16 is being updated to reflect the revised definition of a DoD insider. | 国防総省指令 5205.16 は、国防総省の内部関係者を、国防総省が機密情報へのアクセスや機密職への就任資格を与えている、あるいはかつて与えていたあらゆる人物(国防総省職員、契約業者、その他の非国防総省個人) であると定義している。同指令では、内部脅威を、内部関係者が国防総省および連邦政府の施設、設備、人員、任務、資源にもたらす脅威であり、スパイ活動、テロ、国家安全保障情報の不正な開示を通じて米国に損害を与える可能性があると定義している。2017年度国防権限法は、DoD内部関係者(対象者とも呼ばれる) の定義を、DoDの情報、施設、ネットワーク、その他のリソースへのアクセスを許可された者、またはかつて許可された者を含むように改定した。国防総省職員によると、国防総省指令5205.16は、国防総省の内部関係者の定義の改訂を反映するよう更新されている。 |
DoD insiders have caused high-profile disclosures and breaches of data critical to national security. For example, since 2001, some of the most noted disclosures were made by former National Security Agency (NSA) contractors Edward Snowden and Harold Martin. DoD insiders were also responsible for the mass shootings at Fort Hood, Texas, in 2009 and at the Washington Navy Yard in Washington, D.C., in 2013. | 国防総省の内部関係者は、国家安全保障にとって重要なデータの重大な開示と侵害を引き起こしてきた。例えば、2001年以降、最も注目された情報公開は、元国家安全保障局(NSA) の契約者であるエドワード・スノーデン氏とハロルド・マーティン氏によるものである。また、2009年にテキサス州フォートフッドで起きた銃乱射事件や、2013年にワシントンD.C.のワシントン海軍基地で起きた銃乱射事件は、国防総省の内部関係者が引き起こしたものである。 |
After the Navy Yard shooting in 2013, the Secretary of Defense commissioned independent panels to review gaps and deficiencies in DoD security programs, policies, and procedures. In response to recommendations made in the panel reports, the Secretary of Defense approved the formation of DITMAC to provide a centralized capability to manage and analyze DoD insider threat data. DITMAC helps prevent, deter, detect, and mitigate the potential threat that DoD insiders may pose to the United States. | 2013年のネイビーヤード銃乱射事件の後、国防長官は独立したパネルに委託し、国防総省のセキュリティプログラム、政策、手続きのギャップや不備を検証させた。国防長官は、パネルの報告書に記載された提言を受けて、国防総省の内部脅威データを管理・分析するための一元的な機能を提供するDITMACの設立を承認した。DITMACは、国防総省の内部関係者が米国にもたらす可能性のある脅威を防止、抑止、検知、緩和するのに役立つ。 |
In 2016, the Under Secretary of Defense for Intelligence and Security (USD[I&S]) , who serves as the DoD senior official responsible for overseeing the DoD Insider Threat Program, established DITMAC within the Defense Counterintelligence and Security Agency. The USD(I&S) also directed that all DoD Components report insider threats to DITMAC. DoD Components are required to report to DITMAC through their Component’s insider threat analysis center, known as an Insider Threat Hub. DoD military, civilian, and contractor personnel are required to report any incidents that involve a covered person (DoD insider) and meet one or more of the 13 reporting thresholds established by DITMAC. Examples of reportable incidents involve sexual assault, violent acts, questionable allegiance to the United States, unauthorized disclosure of classified information, and terrorism. DITMAC receives insider threat incidents from the Hubs electronically through the DITMAC System of Systems or e-mail. | 2016年、国防総省の内部関係者脅威プログラムを監督する責任を負う国防次官(USD[I&S]) は、国防防諜・保安局内にDITMACを設立した。また、国防総省はすべての国防構成機関に、内部関係者脅威をDITMACに報告するよう指示した。国防総省の各部門は、内部脅威ハブとして知られる各部門の内部脅威分析センターを通じて、DITMAC に報告することが要求されている。国防総省の軍人、文民、請負業者の職員は、対象となる人物(国防総省の内部関係者) が関与し、DITMAC が定めた 13 の報告基準値のうち 1 つ以上に該当するあらゆる事件を報告することが義務付けられている。報告すべき事件の例としては、性的暴行、暴力行為、米国への忠誠を疑うような行為、機密情報の無許可開示、テロリズムなどが挙げられる。DITMACは、DITMACシステム・オブ・システムズまたは電子メールを通じて、ハブから内部脅威インシデントを電子的に受け取っている。 |
Finding | 調査結果 |
The Army, Navy, Marine Corps, Defense Logistics Agency, and Defense Health Agency Component Hubs did not consistently report to DITMAC insider threat incidents that involved a covered person and met one or more of the reporting thresholds. Specifically, of the 215 insider threat incidents we reviewed from those Hubs, 200 incidents involved a covered person and met one or more of the thresholds. Of those 200 incidents, 115 were reported to DITMAC, but the other 85 were not. Furthermore, of the 115 insider threat incidents that were reported to DITMAC, the time it took the Hubs to report the incidents ranged from 1 day to over 2 years. | 陸軍、海軍、海兵隊、国防物流局、および国防保健局の各ハブは、対象者が関与し、かつ1つ以上の報告基準を満たす内部関係者脅威事件を、一貫してDITMACに報告していない。具体的には、我々がレビューした215の内部関係者脅威インシデントのうち、200のインシデントが対象者を巻き込み、1つ以上の閾値を満たしていた。この200件のうち、115件はDITMACに報告されたが、残りの85件は報告されていない。さらに、DITMACに報告された115件の内部関係者脅威インシデントのうち、ハブがインシデントを報告するのに要した時間は、1日から2年以上と幅があった。 |
The inconsistent reporting to DITMAC occurred because the USD(I&S) did not: | DITMACへの一貫性のない報告は、USD(I&S) が以下を行わなかったために発生した。 |
・develop an oversight program to periodically verify that the Hubs reported insider threat incidents that involved a covered person and met one or more of the reporting thresholds; or | ・ハブが、対象者を巻き込んだ内部関係者脅威のインシデントを報告し、一つ以上の報告基準を満たしたことを定期的に確認するための監視プログラムを開発すること、または |
・establish timelines for reporting insider threat incidents to DITMAC. | ・DITMACに内部関係者脅威事件を報告するためのタイムラインを確立していない。 |
Insider threat incidents have resulted in harm to the United States and the DoD through espionage, terrorism, unauthorized disclosure of national security information, and the loss or degradation of DoD resources and capabilities. Unless the DoD Component Hubs consistently report insider threat incidents to DITMAC as required, DITMAC cannot fully accomplish its mission to provide the DoD with a centralized capability to identify, mitigate, and counter insider threats and reduce the harm to the United States and the DoD by malicious insiders. | 内部関係者脅威事件は、スパイ活動、テロ、国家安全保障情報の不正な開示、国防総省の資源と能力の損失や劣化を通じて、米国と国防総省に損害を与えてきた。国防総省の各ハブが、要求された通りに内部関係者脅威事件を一貫してDITMACに報告しない限り、DITMACは、内部関係者脅威を特定、緩和、対抗する集中的な能力を国防総省に与え、悪意のある内部関係者による米国と国防総省への損害を軽減するという任務を完全に達成することができない。 |
Recommendations | 提言 |
We recommend that the USD(I&S) implement a process for assessing DoD Component compliance with insider threat reporting requirements, develop timelines for DoD Components to report insider threat incidents to DITMAC, and submit the FY 2021 annual report on the DoD Insider Threat Program to the Secretary of Defense as required. | 我々は、国防総省が内部関係者脅威報告要件を遵守しているかどうかを評価するプロセスを導入し、国防総省がDITMACに内部関係者脅威事件を報告するためのタイムラインを策定し、2021年度の内部関係者脅威プログラムに関する年次報告書を要求に従って国防長官に提出することを提言する。 |
We also recommend that the Secretary of the Army, the Secretary of the Navy, and the Defense Health Agency Director require that their Hub Directors review the insider threat incidents that we determined should have been reported to DITMAC and report those incidents as required. Lastly, we recommend that the NRO Director, USCYBERCOM Commander, and the NSA/Central Security Service Director require that their Hub Directors review the insider threat incidents received since the establishment of their Hubs or the 2016 DoD Component reporting requirement was initiated and report any of the incidents that involve a covered person and meet one or more of the reporting thresholds. | また、陸軍長官、海軍長官、防衛衛生庁長官は、私たちがDITMACに報告すべきであったと判断した内部関係者脅威事件を各ハブディレクターに確認させ、それらの事件を要求通りに報告するよう要求することを勧告する。最後に、NRO長官、USCYBERCOM司令官、NSA/Central Security Service長官は、ハブが設立されて以来、あるいは2016年のDoD Component報告要件が開始されて以来受け取った内部関係者脅威事件を見直し、対象者が関与し一つ以上の報告基準値を満たす事件のいずれかを報告するよう、そのハブディレクターに求めることを提言する。 |
Management Comments and Our Response | 執行陣のコメントと当局の対応 |
The DoD Counter-Insider Threat Deputy Director, responding for the USD(I&S) , agreed to implement a process for assessing DoD Component compliance with insider threat reporting requirements, develop timelines for DoD Components to report insider threat incidents to DITMAC, and submit the DoD Insider Threat Program annual report to the Secretary of Defense. | 国防総省の内部関係者脅威対策副局長は、内部関係者脅威報告要件に対する国防総省構成組織のコンプライアンスを評価するプロセスを実施し、国防総省構成組織がDITMACに内部関係者脅威事件を報告するためのタイムラインを開発し、国防長官にDoD内部関係者脅威プログラム年次報告書を提出することに同意したと回答している。 |
The Under Secretary of the Army, responding for the Secretary of the Army, and the Deputy Under Secretary of the Navy for Intelligence and Security, responding for the Secretary of the Navy, agreed to report the incidents identified in this report to DITMAC. In addition, the USCYBERCOM Chief of Staff, responding for the USCYBERCOM Commander, agreed. | 陸軍次官(陸軍長官の代理として回答) と海軍次官(情報・安全保障担当) は、本報告書で確認された事案をDITMACに報告することに同意した。さらに、USCYBERCOM司令官の代理であるUSCYBERCOM参謀長も同意した。 |
The NRO Director and the NSA Chief of Staff for Workforce Support Activities, responding for the NSA/Central Security Service Director, disagreed. | NRO長官とNSA/中央セキュリティ局長の代理として回答したNSA労働力支援活動担当参謀長は同意しなかった。 |
We disagree. The FY 2017 National Defense Authorization Act revised the definition of a DoD insider (covered person) to include any person who has, or once had, authorized access to DoD information, facilities, networks, or other resources. Therefore, the recommendations to NRO and NSA are unresolved, and we request that the NRO Director and the NSA/Central Security Service Director provide comments on the final report. | 我々は同意しない。2017年度国防権限法は、DoD内部関係者(対象者) の定義を、DoDの情報、施設、ネットワーク、その他のリソースへの権限を持つ、またはかつて持っていたすべての人を含むよう改定した。したがって、NRO と NSA に対する勧告は未解決であり、NRO 長官と NSA/中央セキュリティ局長は、最終報告書に対するコメントを提供するよう要請する。 |
The Defense Health Agency Director did not provide comments on the draft report; therefore, we request that the Defense Health Agency provide comments on the final report. | 防衛省衛生局長は報告書案に対してコメントを出さなかったので、最終報告書に対して防衛省衛生局長からコメントをもらうよう要請する。 |
This report is a result of Project No. D2020-D000CP-0074.000. | 本報告書は、プロジェクト番号 D2020-D000CP-0074.000 の成果である。 |
・2022.09.30 [PDF] (U) Audit of the DoD Component Insider Threat Reporting to the DoD Insider Threat Management and Analysis Center
目次...
(U) Introduction | (U) はじめに |
(U) Objective | (U) 目的 |
(U) Background | (U) 背景 |
(U) Review of Internal Controls | (U) 内部統制のレビュー |
(U) Finding. DoD Component Hubs Did Not Consistently Report Insider Threat Incidents toDITMAC | (U) 発見事項:国防総省の各ハブは、内部関係者脅威事件を一貫してDITMACに報告していなかった。 |
(U) DoD Component Hubs Did Not Follow Insider Threat Reporting Guidance | (U) 国防総省の各ハブは内部脅威の報告ガイダンスに従っていなかった。 |
(U) USD(I&S) Did Not Provide Oversight of the DoD Insider Threat Program | (U) USD(I&S) は国防総省の内部関係者脅威プログラムを監督していなかった。 |
(U) USD(I&S) Did Not Establish Timelines for Reporting Insider Threat Incidents to DITMAC | (U) 米国農務省は、DITMACへの内部脅威インシデントの報告のためのタイムラインを確立していなかった。 |
(CUI) XXXXXXXXX | (CUI) XXXXXXXXX |
(U) The DoD Is at Risk of Not Identifying or Mitigating Critical Insider Threats | (U) 国防総省は重要な内部関係者脅威を特定または軽減しない危険にさらされている。 |
(U) Other Matters of Interest | (U) その他の関心事項 |
(U) Recommendations, Management Comments, and Our Response | (U) 推奨事項、執行陣のコメント、我々の回答 |
(U) Appendixes | (U) 附属書 |
(U) Appendix A. Scope and Methodology | (U) 附属書A. スコープ及び方法論 |
(U) Use of Computer-Processed Data | (U) コンピュータ処理データの使用について |
(U) Use of Technical Assistance | (U) 技術支援の利用 |
(U) Prior Coverage | (U) 過去の調査結果 |
(U) Appendix B. DoD Insider Threat Incidents | (U) 附属書B. 国防総省の内部関係者脅威事件 |
(U) Appendix C. DITMAC Reporting Thresholds | (U) 附属書C. DITMACの報告閾値 |
(U) Management Comments | (U) 執行陣のコメント |
(U) Department of the Army | (U) 陸軍省 |
(U) Department of the Navy | (U) 海軍省 |
(U) Under Secretary of Defense for Intelligence and Security | (U) 国防総省情報・安全保障担当次官 |
(U) DoD Insider Threat Management and Analysis Center | (U) 国防総省内部脅威管理・分析センター |
(U) U.S. Cyber Command | (U) 米国サイバー軍 |
(U) National Reconnaissance Office | (U) 米国国家偵察局 |
(U) National Security Agency | (U) 国家安全保障局 |
(U) Acronyms and Abbreviations | (U) 頭字語および省略形 |
Comments