セキュリティ コミュニティは、サイバー脅威に対して世界をより適切に配置するために、継続的に変化し、成長し、互いに学び合っています。最新の Voice of the Community ブログ シリーズの投稿では、Microsoft プロダクト マーケティング マネージャーのNatalia Godylaが、ジャーナリズム セキュリティの専門家であり、The New York Times の元情報セキュリティ担当シニア ディレクターであるRuna Sandvikと対談しています。このブログでは、Runa がジャーナリズム セキュリティの固有の課題と基礎を紹介します。
ナタリア: ジャーナリズムのセキュリティとは何ですか?
Runa:レポーターは 9 時から 5 時までの仕事ではありません。ワシントン ポストやウォール ストリート ジャーナル、CNN のドアをくぐったとき、あなたはただのレポーターではありません。仕事の前、オフィス、自宅、またはバーでの仕事の後に行うことになります。ある意味で、あなたは常に仕事をしているので、ジャーナリストを確保することは、彼らの生命とアイデンティティを確保することです。アカウントと彼らが職場で使用しているシステムを保護するだけではありません。これはエンタープライズに分類されます。個人的に使用するアカウントとシステムを保護しています。
また、記者は出張します。彼らは抗議と戦争地帯をカバーしています。彼らの身体的および感情的な安全を考慮する必要があります。私にとってジャーナリスティックなセキュリティは、事実上、デジタル セキュリティ、物理的セキュリティ、および感情的安全の包括的な用語です。
ナタリア: メディア組織を保護することの特徴は何ですか?
Runa:メディア組織は、それが小規模な非営利ニュースルームであろうと大企業であろうと、他の組織と同じタイプのセキュリティ ツールとプロセスを必要とします。ただし、メディア組織では、影響を考慮する必要があります。企業に属するデータが暗号化されたり、盗まれてオンラインに投棄されたりすることだけを話しているわけではありません。また、購読者、読者、およびソースからのデータについても話しています。その結果、メディア組織に対する攻撃の潜在的な影響は、ニュースのソースを探している国家機関のアクターのような標的型攻撃であろうと、 日和見ランサムウェアであろうと、より大きくなり、はるかに多くの人々がより多くの人を巻き込む可能性があります。センシティブな文脈。ニュース編集室にとっても、プライバシーを保護する監視は重要です。ジャーナリストが自分のデバイスで何が起こっているかを理解するのに役立つと信じています。彼らに脅威モデルを教えたり、彼らのストーリーやソースとのコミュニケーションのデジタル セキュリティ リスクについて考えたりしなければ、ギャップが生じるでしょう。
他の大きな違いはペースです。ニュースルームは信じられないほど締め切りに追われており、セキュリティの仕事は、ジャーナリストが安全に仕事を行えるようにすることであり、仕事を妨害することではありません。ジャーナリストがセキュリティ チームに、北朝鮮に行く予定であり、セットアップを確保する必要があると伝えた場合、チームは、トレーニングや新しいハードウェアの提供を意味するかどうかにかかわらず、それに対応するためにやることリストを変更する必要があります。
ナタリア: メディア組織を確保する上での最大の課題は何ですか?
Runa:メディア組織にとって課題であり続けていることの 1 つは、内部の IT およびセキュリティ チームとニュースルームの間の信頼とコラボレーションの欠如です。ニュース編集室は、必ずしもこれらの部門を信頼したり、レポーターやその資料、仕事を確保するための支援やツールを求めたりするわけではありません。防御態勢を構築していると、わからないものは確保できません。ニュース編集室との関係が良好でなかったり、彼らがどのような仕事をしているのかを知らなかったりすると、ギャップが生じます。仕事に影響を与えるツールやプロセスに関する決定を下す際には、ニュース編集室を関与させることが役立つことがわかりました。たとえそれが技術的なものであっても、ニュースルームに影響を与える議論にニュースルームを関与させることは、信頼関係を構築するのに大いに役立ちます.
ナタリア: リスクを評価して軽減するプロセスをどのように構築しますか?
ルナ:最高のチョコレート チップ クッキーについて書いているなら、おそらく大丈夫です。ソースや嫌がらせの問題に遭遇することはおそらくないでしょう。ただし、政治について報告することにした場合、オンラインでの脅迫や嫌がらせのリスクに直面し、身体的な脅迫や嫌がらせに発展する可能性があります。特定のプロジェクトとストーリーのコンテキストは、説明が必要な一連のリスクになります。
通常、物理的リスク評価プロセスはすでに確立されています。ニュースルームは長い間、戦争地域などの危険な任務に記者を派遣してきました。ほとんどのニュース編集室では、レポーターが編集者と話し、仕事関連の出張のリスクを評価します。彼らは、物理的なセキュリティ アドバイザー、法務、および人事から情報を得ます。
デジタル空間に同様のプロセスを構築することは、 教育と認識の課題になります。場合によっては、ニュース編集室が適切に機能するプロセスを確立して文書化しており、セキュリティ チームがその意思決定ツリーの一部になることができます。それ以外の場合は、ニュースルームに自己紹介をして、あなたが助けに来ていることを人々に知らせることから始めなければなりません.私は、ニュースルーム、IT、セキュリティ、人事、コミュニケーション、法務の代表者との機能横断的なチームを持っている米国、英国、ノルウェーの報道機関と話をして、記事が見落とされないようにしています。
ナタリア: ジャーナリストとその調査を保護するために、どのようなプロセス、プロトコル、またはテクノロジを使用していますか?
Runa:ニュースルームには通常「デスク」があります。あなたは調査デスクを持っています。あなたにはスタイルがあります。あなたはスポーツをしています。デスクが異なれば、テクノロジーと教育の観点からのニーズも異なります。ニュース編集室と話をするときはいつでも、最初にセキュリティの基本について説明するようにしています。パスワード、 多要素認証の更新、フィッシングについて話しています。ベースラインについて説明します。次に、各デスクが行っている作業の種類を調べて、さらに掘り下げます。調査の場合、これには、一般からのヒントを受け取るためのツールの設定、または情報を安全に確認するためのエア ギャップ (オフライン) マシンの設定が含まれる場合があります。
海外旅行の場合、ジャーナリストが新しいラップトップや新しい電話をすぐにリクエストできるように、IT チームとの内部プロセスを確立する必要があります。多くの場合、最終的に使用されるツールは人気があり、よく知られています。ジャーナリストは通常、ソースと同じツールを使用する必要があります。
セキュリティ チームをニュース編集室で利用できるようにすることも、大いに役立ちます。レポーターは、インタビューを行っているか、パスワード マネージャーの仕組みや YubiKey の使い方を理解しようとしているかにかかわらず、質問の仕方を知っています。社内のチャット チャネルまたは毎週のミーティングを通じて、質問する機会を彼らに与えます。それはすべて、関係の構築と認識にまでさかのぼります。
ナタリア: ジャーナリズムのセキュリティの仕事は、セキュリティに対するあなたの見方をどのように形成しましたか?
Runa:オンライン匿名性のための無料のオープンソース ソフトウェアを開発するThe Tor Projectで初めて働き始めたとき、コード行を使用してそれを実現する方法に興味がありました。使う人や何に使うかはあまり考えていませんでした。しかし、その仕事を通じて、活動家やジャーナリストからセキュリティ研究者や法執行機関に至るまで、Tor プロジェクトが世界に与える影響について多くのことを学びました。レポーターとやり取りする中で、セキュリティの観点からの理想的なセットアップと、仕事を成し遂げる方法との間には違いがあることを受け入れなければなりませんでした. Tails または Qubes OS が構成されたラップトップをすべての人に提供できれば素晴らしいと思いますが、それを仕事に使用できるでしょうか?データやシステムを保護すること、レポーターを有効にすること、およびリスクを受け入れることの間の適切な中間点を見つけたと言えるのはどの時点でしょうか?
ナタリア: ニュースルームのセキュリティを強化し続けるにはどうすればよいですか?
Runa:メディア組織やレポーターを標的にして影響を与えるセキュリティ攻撃に、もっと焦点を当てる必要があります。通常、セキュリティ攻撃に関する情報を読む場合、影響を受ける業界が強調されます。政府、教育、医療への言及が見られますが、メディアについてはどうでしょうか?
あなたが直面しているデジタル脅威の種類を理解しようとしているメディア組織で働いている場合、どこで情報を見つけますか?組織または個人が、2015 年から 2021 年にかけて米国のメディア組織に対して見られた種類のデジタル攻撃のタイムラインでリソースを構築するのを見てみたい.リスクについてジャーナリストを教育し、運用への影響とリスクを特定し、リーダーシップに情報を提供します。
もっと詳しく知る
Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments