初心者向けセキュリティ基礎講座富士美咲のセキュリティ始めます！第9回 : 富士通

新米美咲にミッション！：G社には、役員室やサーバ室のように許可なしでは入室できないゾーンがある。簡単に言えば、こうした物理エリアへのアクセスや、そこでの人やモノの動きを管理するのが「フィジカルセキュリティ」だ。しかし「なーんだ、入退室管理のこと？」と軽く考えてはいけない。入退室管理を含むフィジカルセキュリティは、企業セキュリティの土台なのである。なぜ重要か、今回はそこを理解せよ。

セキュリティが超キビシイと言われる情報システム部に、最近、入室できるICカードをもらった。社長室には入社以来3回しか訪れたことがないのだけれど・・・。
どうも『関係者以外立入禁止』とか、あるエリアに入室できる/入室できないという管理は、企業セキュリティにとって大きな意味があるらしい。今回は、これまでの形の見えない「情報セキュリティ」とは異なって、手でさわれる物理的なセキュリティ、「フィジカルセキュリティ」がテーマだ。セキュリティ担当・美咲、今日も体育会系です！

「フィジカルセキュリティ」を理解せよ、というのが企画部長からのミッションなんだけど、要するに入退室管理のこと？だったら、今回は楽勝かも！

確かに、入退室管理は代表的かな。
ただ、フィジカルセキュリティというときは、もっと基本的なゾーンとかセキュリティレベルといった考え方が重要になるんだ。
それと、これまで見てきた「アイデンティティマネジメント」や「認証」、「アクセスコントロール」なども関係してくるから、単なる入退室管理とはちょっと違うかもね。

ん？ここでも「アイデンティティマネジメント」や「アクセスコントロール」といったものが出てくるの？

ほら、見渡してみて。G社のビルやオフィスの中では、ほんとうに多種多様な人が働いたり、出入りしているでしょう？美咲のような社員だけでなく・・・。

お客様はもちろん、協力会社とか、支店や派遣社員の人々。営業時間外にも取引先や宅配便、それにピザ屋さんが来るし（笑）、真夜中には警備会社の人なども巡回しているでしょうね。

社員だって、所属部署や職位で見ればさまざまな人がいる。そういう人たちが自由にアチコチを歩き回れると、セキュリティ的には危険な状況に陥ってしまわない？
一方、僕のような、取引先だけどサーバルームに入って作業する人間もいるし。

そうよね。これだけ人数が多いと、見分けがつかない・・・。

うん。だから、現実の、物理的なセキュリティ管理をまずシッカリしましょう！ という考えが出てくるんだよ。
これをフィジカルセキュリティと呼んだりしているのだけど、企業セキュリティの土台、入口だよね。

そうか。ITの仮想空間も大事だけど、手始めにさわったり、歩き回れるところから企業の守りを固めなくちゃね。
とりあえず、会社中を見て回ろうか！

体を使って、覚えるって？（笑）
その前に、ポイントを押さえておこうよ。

もしかして、フィジカルセキュリティも奥が深い？

そうでもないよ。さっきちょっと口にした「ゾーン」とか「セキュリティレベル」などの言葉も使ったりするけど、考え方はシンプルなんだ。

いつもそう言ってる（笑）

だいじょーぶ（笑）。
フィジカルセキュリティの基本は、最初に、会社のさまざまな空間をセキュリティの観点でゾーン分け（ゾーニング）して、レベルをつけるんだ。で、それに基づいて、誰がアクセスできるのかを決定する。
この部分を慎重にやれば、後は、それらに従って入退室するためのツールや監視カメラなどの設備を対応させていけばいいんだから、難しくないでしょ。

けっこう、わかりやすいかも（笑）。
「誰がアクセスできるのか」を決定して設定管理するというところが、前に勉強した「アイデンティティマネジメント（第2回）」や「アクセスコントロール（第4回）」に関係してくるというわけね。

そうそう。

「入退室するためのツール」というのは、私が情報システム部にたびたび行くからって支給してくれた、この“スマートカード（ICカード）”とか？

それもあるし、もっと高セキュリティのゾーンには生体認証が使われていたりする。サーバルームとかさ。

あッ、「認証（第3回）」のときに出てきた“手のひら静脈認証”とか“指紋認証”ね。
そういうものをトータルに連動させて、権限のある人が必要な場所にスムーズにアクセスでき、権限を持たない人はアクセスできないようにして、会社のセキュリティを守ろうというわけね。

で、同じように会社全体を考えれば、カードや生体認証、監視カメラなどのデータを利用して、誰が・いつ・どこへ入退室したのかなどを記録していく「証跡管理（しょうせきかんり第7回）」も、フィジカルセキュリティには含まれてくるよね。
さらに、すべてを統合的に管理したければ「集中管理（第8回）」も必要になるし。

フィジカルセキュリティは、情報セキュリティと相性がいいというのか、関係が強いのね。

うん。それともう少し付け加えると、フィジカルセキュリティはエリアや人だけでなく、モノの動きも管理対象にするんだよ。
たとえば、セキュアゾーンでは、ノートPCやUSBメモリなどの記憶媒体、小型AV機器が勝手に持ち込まれたり、残されていないかを厳しく管理するとかね。

そうよね。IT機器やAV機器のチェックはセキュリティ上、はずせないわよね。

あるいは一般オフィスだったら、プリンタ機器などにも、いろいろ実務的なセキュリティをかけていたりするでしょう。
出力した本人だけがプリントを持ち出せるように生体認証の仕組みをプラスしたり、マル秘文書のコピーを不可能にする不正コピー防止機能付きのプリントアウトとか。

そっか。ミスコピーもシュレッダーで廃棄するのがあたりまえになってきたけど、言われてみれば、それもセキュリティの1つよね。セキュリティレベルはさまざまだけど、フィジカルセキュリティって社内のアチコチですでに実践されているんだ。

ところで、情報システム部門ではなく、企画部の人間としては、フィジカルセキュリティについてはどこにポイントを置いておけばいいかしら。

そうだね、全社的なセキュリティの担当者としては、

「フィジカルセキュリティは、鍵やカード、生体認証、監視カメラなどを使って、オフィスや機器・設備などのファシリティを守る手段として導入される。
そして、フィジカルセキュリティは、多層防御の考え方をベースに、情報セキュリティと融合し、人やモノ、情報などの企業資産全体のセキュリティ対策を実現する」

といったことを理解したり、納得できればいいんじゃないのかな。

うーん、ちょっとムズカシイまとめ方かな。
つまり、フィジカルセキュリティは、企業のセキュリティにとって必須である。セキュリティはみんなつながっている。だから、フィジカルセキュリティは、情報セキュリティと関連させて管理すべし、ということよね。