株式会社エス・シー・ラボ

物理的セキュリティ強化対策

物理的セキュリティ強化対策

セキュリティというと、どうしても不正アクセス対策やウイルス対策、Webアプリケーションによるクロスサイトスクリプティングなどの脆弱性を考えがちですが、セキュリティ対策という意味では、もっと幅広く対応しなければならないことがあります。そこで、今後考えていかなくてはならないオフィス全体のセキュリティ対策を考えてみましょう。

情報セキュリティリスクの考え方

「物理的セキュリティ」対策は、各組織において保有する情報セキュリティリスクによって、対策内容(どこまでするのか)が大きく異なってきます。

下記の検討を各組織で実施し、情報セキュリティリスクが小さい組織では、余りコストをかけずに、運用対策を行うだけで十分効果が期待できるかもしれません。また、逆に、情報セキュリティリスクの大きな組織では、大きなコスト(初期投資、継続的費用)をかけてでも必要になる対策をとる必要があるかもしれま せん。

(1)情報セキュリティゾーンの設定(安全区域の分離など)

情報や情報処理施設に対するリスクを考慮して、情報の取扱いに厳重な管理を必要とする、または重要な業務の情報処理設備・装置が設置される領域を明確にします。

その結果、必要な場合には、そのセキュリティを保つべき領域を保護するために、物理的セキュリティ境界(カード制御による入退室制限、有人の受付など)を備えます。また、セキュリティを保つべき領域でのルール(カメラ及びカメラ付携帯電話の使用を禁止するなど)を決めて、実施します。

(2)入退室管理策の実施

上記(1)で厳重なセキュリティを保つべき領域と設定された場所(サーバ室、作業場所など)については、認可された者だけが入室できるようなルールを決定します。

そのルールとしては、訪問者の入退の日時・記録を記録することや、すべての従業員(入室が認可された者)、すべての訪問者に何らかの形式で目に見える証明書の着用を要求すること、などが考えられます。

(3)重要な情報の保管・持出・廃棄のルール設定

重要な情報については、施錠つきの書庫に保管するなど持出が限られた従業員のみにしかできないように考慮することも必要です。その場合に、鍵の管理も厳重に実施しなければなりません。重要な情報の持ち出しについては、持出簿に記入したり、責任者の承認を得た後に持ち出すというルールを決めて、周知徹底することも必要です。また、万が一の情報の紛失・盗難・破損時に報告を速やかに管理部門へ行うことも行動ルールとして決めておきましょう。

重要な情報の廃棄時は、シュレッダー廃棄や破壊などのルールも決めておくことが望ましいでしょう。

(4)PCや通信装置の保護・保守

PCの盗難・不正持ち出しを防止するために、オフィス内の設置場所へのセキュリティワイヤーによる固定や、施錠つきラック・サーバールーム内に設置するようにします。また、情報資産の完全性・可用性を継続的に維持するためにも、情報処理設備・装置の定期点検を実施します。

(5)クリアデスク・クリアスクリーンの実施

情報の漏えい(盗み見)のリスクがあると考えられるPCのディスプレイについては、離席中又は作業中断時にパスワード付スクリーンセーバーを設定します。利便性を考慮して、社員証をICカードとし、PC認証に利用することもいいでしょう。

重要な情報が含まれる書類及び持出可能な記録媒体については、情報の消失や漏えいを防ぐために、使用時以外は机上に放置せずに、指定の場所に保管することを徹底します。

ページトップへ戻る