近代の企業は、一昔前の企業に比べてグローバル化が進んでいることもあり、扱う情報量が非常に多くなってきています。
そのため、情報に対する扱い方はより慎重になることが必要です。
そこで、情報を慎重に扱うために重要なのが情報を守るためのセキュリティ対策です。
ウイルスソフトを活用した技術的セキュリティに始まり、泥棒のような外部要因による情報漏洩を防ぐために防犯カメラの設置などを行う物理セキュリティはいまやなくてはならない対策の一つです。
もし情報のセキュリティ対策をする検討をしているのであれば、当記事の内容を参考に適切な対策方法を検討することができます。
物理セキュリティとは
物理セキュリティとは、主に情報を管理しているPCや設備のような実体があるものに対して行うセキュリティ対策のことを言います。
例えばオートロック、警備員、二重鍵があり、人やモノに加え施設や設備を守るために利用する対策として物理セキュリティ対策はあります。
【主な物理セキュリティ対策】
●入退室管理システムの導入
●防犯カメラの設置
●サーバールームの施錠やラックの鍵管理
従来から物理セキュリティは、外部からの侵入による強盗などから人命を守るという重要な役割を果たしてきました。
しかし近年、ネット上で情報が管理されることが多くなるにつれて、物理セキュリティには『情報を守る』という役割もあわせて機能するようになってきました。
そのため、部屋自体を守るセキュリティだけでなく、PCのような情報を管理する媒体を守ることも物理的セキュリティと呼ばれるのです。
セキュリティ対策の種類は3つ
情報セキュリティとは、名前の通り保管されている情報の安全を守ることです。そして、情報を守るために活用される具体的な対策として、情報セキュリティを3つのセキュリティ対策に分類することができます。
【セキュリティ対策の種類】
●物理セキュリティ
●人的セキュリティ
●技術的セキュリティ
『物理セキュリティとは』で解説した物理セキュリティは情報セキュリティを分類した3つのうちの1つです。それぞれ3つのセキュリティ対策は、『どのように情報を守るのか』で分けられています。
具体的な内容は以下の表のとおりです。
内容 | 具体例 | |
物理セキュリティ対策 | 物理的なもの(触れることができるもの)に対するセキュリティ対策。 | ● パソコンをワイヤーロックで盗まれないようにする
● 情報を保管している棚のカギを電子ロックにする ● 防犯カメラの設置 |
人的セキュリティ対策 | (内部の)人を通じて情報が漏洩しないようにするためのセキュリティ対策。 | ● 守秘義務契約を結ぶ
● 情報を持ち出し・保管時のルールを決める ● 社員といえども、相手が必要としない情報に関してはシェアをしないようにする。 |
技術的セキュリティ対策 | 物理セキュリティと違って触れることのできない範囲で行うソフトウェアなどの技術的なセキュリティ対策。 | ● ウイルス検知ソフトを使う
● 迷惑メールなどを検知して表示しないようにする ● 定期的にPCのアップデートを行う |
物理セキュリティ
物理セキュリティとは、PC本体やルーターのような物理的なもの(触れることができるもの)に対するセキュリティ対策のことを言います。
基本的にはまったく関係のない外部の人からの盗難、いわゆる泥棒に盗まれないようにするために行う対策が物理セキュリティ対策です。
【泥棒や盗難に対する物理セキュリティ対策】
●出入り口にスマートロック(電子錠)・生体認証を利用する
●二重鍵・オートロックを設置する
●防犯カメラの設置
●警備員を配置する
●PCをワイヤーでロック、貴重品保管庫には電子ロックを利用する
上記の対策は『何かを追加で設備や設置』することで泥棒などから情報の漏洩を防ぐ対策案でした。しかし、実は人以外にも「あること」に対して対策を追加で取っておくとより強固に情報を守ることができます。それは災害(火事)に対する物理セキュリティ対策です。
地震やがけ崩れなどによる災害から設備を守ることは非常に難しいことですが、火事は対策をすることで被害を最小限に抑えることができ、PC等の情報機器の損傷を防ぎ情報の保護につながります。
【火事に対する物理セキュリティ対策】
●スプリンクラーや消火器を設置する
●熱を持ちやすい機器を密接させない
●スプリンクラーを設備する
●予備電源を用意する
火事のように対策可能なことは日ごろから意識しておくことで、不本意に情報を紛失する可能性を減らすことができます。
人的セキュリティ
人的セキュリティとは、内部の人を通じて外部へ情報が漏洩しないようにするためのセキュリティ対策のことを言います。
つまり、企業の中での情報管理力を高めることが人的セキュリティの本質です。
【具体的な人的セキュリティ対策】
●企業と従業員で守秘義務契約を結ぶ
●社内の情報を持ち出したりする際の管理方法を決める
●情報管理に関する研修を行う
機械ではなく、人が情報に関わる以上、人的ミスが発生しやすいので、ミスの発生率を下げるためにも一定のルールを作っておくことは重要です。また、ルールを作っておくことで万が一情報が漏洩したとしても、責任の所在を明らかにしやすいというメリットもあります。
技術的セキュリティ
技術的セキュリティとは、触れることのできない範囲に対してセキュリティ対策を行うことを言います。主に、外部からのウイルスに対して行う対策が技術的セキュリティのメインです。
【具体的な技術的セキュリティ】
●ウイルス対策ソフトを導入する
●ファイヤーウォールを設置して外部からの不正アクセスを防止する
●アクセス制御のできるツールを利用して、関係のない人が情報を閲覧できないようにする
●侵入検知システムを追加する
技術的セキュリティは、ウイルスや不正アクセスを検知から対応まで行うことで初めて効果を発揮します。そのため、検知のみ可能な対策をするのではなく、検知後にウイルスによる被害を少なくするためのシステムも充実させてバランスよく対策を行うことが重要です。
これは、3つに分けられた『物理的・人的・技術的セキュリティ』にも同じことが言えて、3つの対策方法をバランスよく備えておくことが情報を保護するためには同様に重要です。
物理セキュリティの考え方やガイドラインを紹介
物理セキュリティは、個人情報を入力・参照・確認するためのコンピューターやタブレットのような端末を物理的な方法で管理するという考え方を意味します。
具体的には、情報の種類・重要性と利用形態に応じてセキュリティ区画をいくつか定義したのち、以下の3項目を考慮しながら適切に管理します。
●入退館の管理(時間帯の管理・入室権限の管理)
●盗難・窃視などの防止
●端末などの情報媒体の盗難や紛失防止も含めた保護、および措置
以上の物理セキュリティの考え方をもとに、セキュリティ対策を行っていくためのガイドラインを紹介します。
【物理セキュリティのガイドライン】
1.個人情報を保存する媒体を設置している場所、および管理記録を保存する場所には施錠をする。
2.個人情報を入力・参照できる端末が設置されている場所は、利用時間以外施錠をするなど、端末の運用規定に基づき許可された者以外立ち入ることが出来ないように対策する。
3.個人情報を保管している物理的な場所への入退管理を実施する。
4.個人情報が存在するPCやタブレットなどの重要機器には、盗難防止のためのチェーンをつける。
5.窃視されないための対策をとること。
6.《推奨》 防犯カメラを情報の管理をしている場所すべてに設置する。
すべてまとめて対応するのは無理であっても一つずつ確実に取り入れていくことで、情報の管理力・保護力は高まるので最終的にはすべて網羅していることをおすすめします。
場面別に物理セキュリティ対策の具体例を紹介
『物理セキュリティの考え方。ガイドラインを紹介』で解説したガイドラインについて、さらに深堀した具体例をご紹介します。
ガイドラインを確認しただけでは、どういった対策を具体的に取るべきかわからない方は以下で解説していく内容を参照に物理セキュリティ対策を取り入れてみてください。
今回は特に以下の2点に関する具体例を挙げていきます。
●入退館の管理
●盗難、窃視などの防止
入退館
入退館の管理をすることは、情報を守るために最低限整えておかなくてはならないセキュリティ対策です。そして、入退室管理をする上で覚えておきたいことは、『部外者が外部から入ることができないようにする』ことが一番重要であるということです。
この本質を前提に、入退室管理の質を高めていくことが、情報を確実に守っていくことにつながります。
では、入退室管理を行う方法として具体的にどのような例があるのでしょうか。
【入退室管理方法の具体例】
●紙媒体で入退者の情報を記録する(氏名・電話番号・住所など)
●ICカードを作成&電気錠を設置して特定の人以外入室できないようにする
●入退管理システムを利用して、タブレットなどで入室者の情報を管理する
●顔認証システムを取り入れて入室者を記録する
紙媒体で記録することも問題ないですが、記入者が正しい情報を記入しているかを確認することができないので、より正確に情報を記録していくことを希望している場合はICカード等の認証システムを取り入れることがおすすめです。
もし、入退管理をICカードなどのシステムで管理した場合は以下のような項目を記録することができます。
●ID・ユーザー名
●認証日時
●入室場所
●認証時の顔写真
盗難、窃視等の防止
盗難・窃視などを防止するには、物理的セキュリティ対策と技術的セキュリティ対策をかけ合わせるのがベストです。
まず、盗難に関しては物理的セキュリティ対策を活用します。具体的には『ワイヤーロック』が効果的です。
そして、窃視に関しては技術的セキュリティを活用します。作業中の画面を盗み見られてしまう場合は避けようがありませんが、PCを他人が使用して閲覧するのを防ぐには、『ログインパスワードの設定』などをして特定の人以外が閲覧をできないようにすることが効果的です。
その他具体的な方法は以下の表のとおりです。
具体例 | |
盗難 | ● PCなどの端末をワイヤーロックして持ち出せないようにする(ダイヤル錠などだとより効果的)
● センサーを利用して持ち出した場合にアラートが鳴るようにセットする ● アラートのソフトウェアを導入して、ケーブルが抜かれるなど特定の動作に対して電源が落ちた場合はアラートが鳴るようにする |
窃視 | ● ログインパスワードを設定する
● ハードディスクを暗号化する ● PC内の情報を他の場所に保管する(USBやクラウドなど) ● ウイルス対策を行い、サイバー攻撃による外部からの閲覧を防ぐ ● 接続するWi-Fi(ネット回線)を統一してウイルスの侵入を防ぐ ● タブレット端末を利用する場合は、むやみに端末数を増やさない(必要最低限の数で) |
PCを盗まれないように物理的セキュリティ対策を行い、外部から窃視されないように端末内の閲覧に制限を設けて技術的セキュリティ対策を行います。
どちらかが欠けていると、情報を守るには完璧の状態とはいえないので、両方を兼ね備えたセキュリティを維持して情報の管理をしてください。
また、盗難・紛失に関しては所有者自身が気を付けることも重要なので、物理的セキュリティとしては『PCにGPS機能をつける』もしくは『PCを入れるケースにGPSをつける』といった対策も効果的です。
まとめ
お客様の個人情報を守ることは、情報を取り扱う側の義務です。そのため、企業側は情報を管理することにおいて最大限の対策をとって情報を死守する必要があります。
もし、情報保護のためにPCや端末の盗難を防ぎたい場合は、『防犯カメラの設置』 『生体認証などの入退館管理を電子的に行うシステム』を取り入れるべきです。
技術的セキュリティ対策をとって盗難されても保護できるようにしておくことは重要ですが、まずは特定の人しか見ることができない・入室できないなどのように『関係のない人』と『情報』の接点を減らし物理的セキュリティ対策をとるようにしましょう。