プロフィール
ミアミン
ホワイトハッカーを夢みて、セキュリティアカデミーでお勉強中のミーアキャット。心配性でやさしい性格で、「みんな無事ミア?」「危険はないミア?」が口癖。ちょっとしたことですぐに「キャッ!」と動揺しがち。
目崎 匠
2007年5月入社でユービーセキュアの設立メンバー。主にWebアプリケーション診断や診断スキルトレーニングを約10年経験。診断ツール「Vex」のプリセールスを経て現在は脆弱性管理ソリューションのプリセールス、ポストセールスチームを統括。セルフSMを趣味としています。
身近だからこそ中途半端になりがちな「物理セキュリティ」
目崎さんこんにちは!今日のテーマは「物理セキュリティ」なんですね。でも前回「ユービーセキュアは情報セキュリティ中心」と言っていたミア……?
目崎さん
そうそう、ユービーセキュアの得意領域は情報セキュリティで、物理セキュリティに関するサービス展開はまだまだ準備が足りていない状況です。そこで今回は、ごく一般的な物理セキュリティに関する情報を紹介します。最後により詳しい情報がわかるガイドラインなども紹介するので、参考にしてくださいね。
そういえば物理セキュリティは、監視カメラや警備員、カードキーなど見たことのあるものが多かったミア。
目崎さん
たしかに、物理セキュリティは情報セキュリティと比較すると「目に見える」セキュリティといえるのではないでしょうか。他にもノートパソコンを盗難から守るためにワイヤーロックを付ける、オフィスに無関係の人が入れないように鍵付きゲートを設置する、などの対策が浮かびます。
なるほど……企業や組織であれば、何らかの物理セキュリティを取り入れていることが多いといえそうミア。
目崎さん
そうですね、でもそのセキュリティ施策が断片的な場合が多いということも否めません。セキュリティ施策にはどこまでをどれくらい実施すればよいかわからない場合があり、取り急ぎ思いついたことやできることから手を付けていくケースが多いのではないでしょうか。
キャッ!「思いついたことやできることから」なんて、身に覚えがあり過ぎるミア!
目崎さん
そうなるとやることが次から次へと出てきて、“モグラ叩き”の様相になりがちで、なおかつ対策が中途半端で終わってしまうこともしばしばあります。
そう、そしてせっかく取り掛かった施策が効かず、むだな出費になってしまうミア……(泣)。
物理セキュリティも「情報」との連携は欠かせない
思いつきで失敗しないために、物理セキュリティにどうやって取り組めばいいミア?
目崎さん
そうですね、例えば「ISMS(情報セキュリティマネジメントシステム)」のような包括的なセキュリティ規格に対応するといった明確な方針がある場合は、ISMS取得を専門としたベンダーに相談するのが賢明です。ISMSの主体は「情報セキュリティ」ではありますが、オフィスへの入退出管理や物理的な鍵管理などが含まれるため、物理セキュリティを検討する際にはいい出発点になると思います。
自分たちでやるのではなく、プロに相談した方がいいのはどうしてミア?
目崎さん
自社スタッフのみでゼロから取り組み、審査を受けて取得することも可能ですが、そこには多岐にわたる専門的な知識が必要なので、たくさんの作業と工数が発生します。非常に骨の折れる作業なんですよ。そのため無理にリソースを注ぐよりも、コストを用いてその道のプロに介入してもらった方がスムーズです。短い時間で実現したいことを達成させた方が、本来自組織が注力すべき本業にリソースを注げるようになりますからね。
なるほど、「餅は餅屋」ということミア!
目崎さん
手始めに物理セキュリティに関するガイドラインに目を通し、自分たちがどの領域に取り組むべきかを把握したうえで、実際の策定に進むとよいのではないでしょうか。また「物理」とはいえ、高度にデジタル化された今の社会では「情報」との連携が不可欠です。この点にも要注意ですね。
「物理」で防ぐのに、「情報」も関係あるミア?
目崎さん
そうなんです。入退出の監視カメラを例にすると、以前はカメラで撮影した映像は物理的な映像ケーブルを通じて録画機に接続され、「ビデオテープに録画」されていました。それが今では、映像データは有線または無線LANを経由してサーバーに送られ、「データとして記録」されます。従来は録画機やビデオテープに対する物理的なアクセスがない限り、映像を手に入れることはできず、狭い対策範囲で済んでいたといえます。
そのころと比べると今は、ネットワークを経由して悪い人に不正アクセスされてしまうリスクがあるってこと……?
目崎さん
そのとおり。サーバーに不正アクセスを行って映像データが盗まれる可能性があるので、サーバー、および記録されている映像データをデジタル的に保護する対策が必要になっています。つまり入退出という「物理」と、データという「情報」の両方を融合した形で対策をする必要があるんです。
なるほど。デジタル化ってとても便利だけど、時には不正アクセスを簡単に許してしまう危険もあるミア……。
セキュリティ対策ガイドラインでもっと学ぼう
うちは物理セキュリティ対策もまだまだだし、もっと詳しく学んでみたいミア。
目崎さん
それであれば、下記のガイドラインが役に立つかもしれません。
- 経済産業省 「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」
https://www.meti.go.jp/policy/netsecurity/wg1/building_guideline.html - 情報処理推進機構 「中小企業における組織的な情報セキュリティ対策ガイドライン」
https://www.ipa.go.jp/archive/security/guide/security-guidline.html
本資料自体は2011年のものですが、物理セキュリティに関するセクションは現在でも有効な情報です。
物理、情報の両方のセキュリティに関するガイドラインもありますよ。
- 情報処理推進機構 「中小企業の情報セキュリティ対策ガイドライン」
https://www.ipa.go.jp/security/guide/sme/about.html
おぉ……物理、情報の両方に関するガイドラインもあるとは!さっそく学んでみるミア。今日はいろいろ教えてくれてありがとミア!
