第2回オフィスセキュリティEXPOレポート
オフィスの物理セキュリティは「統合」と「選択」の段階へ
高橋 睦美
@IT編集部
2007/7/23
情報システムのセキュリティ対策だけでなく、執務室や机、キャビネットを保護する物理的セキュリティにも目を配らなければ、実効的な情報漏えい対策は困難だ。第2回オフィスセキュリティEXPOの展示会場から、物理的対策を手助けするセキュリティ対策ソリューションをいくつか紹介する(編集部)
やみくもにセキュリティを強化する段階から、社員にとって使いやすく、持続可能でしかも安全な仕組みを目指す段階へ――7月4日から6日にかけて東京ビッグサイトで開催された「第2回オフィスセキュリティEXPO」では、物理的対策を軸に、企業オフィスのセキュリティ強化を試みる業界のこのような変化を読み取ることができた。
運用フェーズに入ったが故の課題が浮上
2005年の個人情報保護法の完全施行を1つのきっかけに、情報漏えいを防ぐには、アンチウイルスやファイアウォール、IPSの導入といった情報システムでのセキュリティ対策だけでは不十分であるという認識が広まってきた。事実、日本ネットワークセキュリティ協会(JNSA)の調査によると、2006年度の個人情報漏えい事件の原因の中で圧倒的に多いのは「紛失・置き忘れ」や「盗難」で、ほぼ半数を占めている。逆に、ネットワークを介した外部からの不正侵入が原因となったケースは少ない。
こうした現実を踏まえ、この1〜2年、入退室管理やPCの盗難/紛失防止に代表される物理的なセキュリティ対策が進んできた。それも、物理的対策のみを単体で実施するのではなく、既存の情報システムとうまく連携させた形で実現させようというアプローチが進んでいる。
最も分かりやすい例は、ICカードの活用だろう。執務室やサーバルームへの入退室管理にICカードを活用し、文字通りオフィスへの不正侵入を防止する。同時に、PCへのログインやアクセスコントロール時に、同じカードを認証の鍵として活用する。このとき、入室記録がなければPCへログインできない仕組みとすれば、「共連れ」などの不正を防ぐことが可能だ。また、機密性の高い文書であれば、プリンタからの出力時に重ねて認証を実施することで、本人以外の人物がプリントアウトを手にする事態を防ぎ、紙文書経由の情報流出を防ぐ……といった具合だ。
すでに業界団体のSSFC(Shared Security Formats Cooperation)では、1枚のICカードをさまざまな局面で活用し、セキュリティを高めるシステムの実現に向け、仕様策定などを進めてきた。
【関連記事】 SSFCが実現する高セキュリティオフィス空間(RFID+IC) http://www.atmarkit.co.jp/frfid/rensai/ssfc/ssfc01/ssfc01.html |
しかしながら、往々にして理想と現実の間にはギャップが生じる。この場合の現実とは、具体的には「コスト」だ。物理的対策と情報システムでの対策をひとまとめに実現しようという青写真は素晴らしいものだが、その導入、実装には相応のコストが掛かる。さらに、既存システムとの連携や移行をどう実現するかといった問題に加え、新たな手順やワークフローにエンドユーザーとなる社員が戸惑い、運用面で課題が生じる可能性もある。
実際に運用フェーズに入ってきたが故のこうした課題を踏まえ、会場では「守るべき情報の重要度」と「利用可能なリソース」とのバランスを見極めつつ、実現可能な範囲からセキュリティを固めていくという、当たり前といえば当たり前のアプローチが紹介された。
守るべき文書の「重要度」に応じたロックを
コクヨでは、セキュリティレベルに応じて異なる認証方式を利用できる文書管理システムを紹介した。一般の文書はこれまでどおり扱う一方で、機密文書はカメラ付きの携帯電話ですぐに読み取れる二次元コード(QRコード)を活用し、いつ、誰が、どの文書を取り出したのかを把握できるようにする。さらに重要性の高い文書については、持ち出し時にはICカード認証を行い、ICタグを用いて文書単位で持ち出しを管理する仕組みだ。
「ICタグやバーコードなど、どの方式を用いるにしても、われわれが目指すところは変わらない。つまり、1つのファイルにユニークなIDを付け、それを基にステイタスを管理するということだ」と同社は説明した。
「参照文書」「機密文書」「最重要文書」など、重要度の区分に応じた紙文書の管理をアピールしたコクヨ |
文書管理といっても、すべての文書に同じ管理方式を押し付けるのは現実的ではない。その重要性や出し入れされる頻度などを考慮し、それぞれに適切な方法を導入するのが「投資効果を重視した、地に足の付いたアプローチだ」とコクヨは説明する。特に、文書管理という作業は業務と密接に関連しており、いったん導入してしまうと、その後の変更は困難なだけに、運用上無理のない方法を考慮することが重要だという。
プラスでは、複数のオフィス向けキャビネットを紹介した。中に格納するファイルや書類の重要度に応じて、異なる種類の認証を実装している。
液晶パッドやICカードによる認証を経て初めて扉が開く。セキュリティ強化に加え、複数の鍵を使い分ける煩わしさからも解放されるという |
最も一般的な文書は従来型の鍵を用いるキャビネットに格納すればよい。機密性が上がれば、テンキーや液晶パッドを用いた認証が用意されている。特に後者は、キャビネットに対する暗証番号に加え、利用者自身のID番号を入力して初めて扉が開く仕組みで、誰が扉を開けたのかという履歴を残すことが可能だ。もっとセキュリティを高めたければ、ICカードや指紋認証を組み合わせることができる。認証結果に応じて、ドアを開くことができる範囲を制限できるほか、操作ログの取得が可能だという。
1/2 |
Index | |
オフィスの物理セキュリティは「統合」と「選択」の段階へ | |
Page1 運用フェーズに入ったが故の課題が浮上 守るべき文書の「重要度」に応じたロックを |
|
Page2 IDの集中管理で運用負荷を軽減 監視カメラに机、プリンタ……オフィスの隅から隅まで統合を コラム:ネットワーク機器のポートは「裸の王様」 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|