会社情報

パブリシティ

リスクマネジメントABC 物理的セキュリティー対策 立ち入り領域を制限 日刊工業新聞 2006年(平成18年)11月23日掲載

リスク管理
情報セキュリティーの対策として、まず初めに考えるべきは「物理的セキュリティー対策」であろう。

「物理的セキュリティー対策」とは大局的に言えば、守るべき情報資産に触れられぬよう、管理領域に境界を設けることである。システムをネットワークに接続しなければ、不正侵入を受けることが無いのと同様、情報資産そのものに触れられなければこれを脅かされることはない、という考え方である。

物理的セキュリティー対策表は、日本情報処理開発協会から公開されているISMS認証基準(Ver2.0)における「物理的セキュリティー対策」。ここでは表からも読み取れる次の二つの対策に着目したい。「情報資産を取り扱う領域を設けること」と、「領域への立ち入りを制限すること」である。

一つ目の対策は、社屋、執務室、サーバルーム等の境界を明確に設けることで、情報資産を取り扱う領域を物理的に隔離することである。社屋の中に、守るべき情報資産のレベルに応じたゾーニングを定義し、多層の管理領域を設定しているケースも見られる。

二つ目の、領域への立ち入りを制限するための対策は、管理領域への所謂入退管理である。社員証ICカードや指紋、虹彩、顔面による本人認証等の制御機構がこれにあたる。また、鞄の中身を確認して、ノートPCの持ち込みを制限することも行われているだろう。
これも、情報資産の管理領域に立ち入りを許した上でも、守るべき資産を外部に持ち出させない対策として重要である。こうしたゾーニング制御の一つとして、外来者とのミーティングスペースをロビー付近に別途確保する組織も多い。

某企業では、個人情報漏洩事件の発生後、個人情報取扱領域への入退管理として、金属探知機のゲートを設置し外部記憶媒体の持込みを禁止している。加えて指紋認証やICカードによる入退館の履歴も記録している。
さらに監視カメラ導入により、社員といえども常に監視されている状況下で執務を行っている。当然これらの対策の実施には相応の設備を整えるべく、社屋自体の補強・改修も必要な場合がある。

こうした対策の実施には、相応の費用が発生する。様々な制約条件の中で、これらのすべての対策を実施することは現実的には難しい。結果として、本人認証と監視カメラによる入退館履歴の記録を残せば十分と考えている組織がほとんどではないだろうか。

最近のキーワードでもある「ビジネスコンティニュイティ(事業継続)」とは、「災害や不祥事などの緊急事態を含め、自社の存続に大きな影響を与えるような事象が発生した際に、組織が活動を継続でき、生き残るための戦略・計画を策定し、これを維持すること」である。組織の物理的セキュリティー対策を怠ることから、情報資産が脅かされ、結果として組織・事業の継続が危ぶまれる可能性もないとは言えない。事業継続対応の視点からも、場合によっては移転も視野に入れた物理的対策強化について、今一度検討されてみてはいかがであろうか。(日本総研ソリューションズ)


執筆 技術本部:佐久間 邦彦

※日刊工業新聞 2006年11月23日 掲載記事より転載

PDF版はこちらから(361KB)PDF

ページトップへ戻る

JSOLへのお問い合わせ

特集

特集SAP

SAP ERPの豊富な導入実績があり、企業の業務改革を総合的にご支援します。

特集Biz∫

人とシステムの融合による業務効率化を目指し、あらゆる企業の変革を迅速かつ確実に実現します。

特集オムニチャネル

コンサルティングからソリューションまでオムニチャネル化に向けた最適なご支援を提供します。

特集JSOLアグリ

農業生産に係る数理計画を中核に、農業生産者の経営指標の見える化と収益拡大を実現します。