内部犯行対策の要は個人の特定にあり
情報セキュリティ対策の弱点の一つは、インシデントの発生元である個人の特定を行うことが難しい点です。データの流出に関して、いつ・どこからアクセスした記録から犯人の絞込みはできますが、本当にIDカードやPCにアクセスするためのID・パスワードが付与されている人間の仕業であるかは、それらを盗んで悪用した「なりすまし」による犯行であれば、個人を特定するための決定的な証拠がつかめないのです。個人の特定に有効な物理セキュリティとして、防犯カメラと入退室管理システムがあります。
まずは防犯カメラ。近年の防犯カメラは、鮮明な映像が録画できます。オフィス内やデータセンターにアクセス可能なPCのある部屋や、サーバルームを撮影しておくことで、映像で犯行の記録を残しておきます。万が一の際には、アクセスログと、同時刻の録画映像を付き合わせることで、個人を特定する証拠とすることができ、「なりすまし」を見破る有効な手段となります。また、日頃から高い精度の証拠を残すことができる環境にすることで高い抑止力を発揮し、犯行の未然防止が十二分に期待できるでしょう。
また、監視カメラ導入の際には、第二回「監視カメラ運用虎の巻」で取り上げたように、個人情報が含まれる録画映像の管理等、防犯カメラの運用のポイントはしっかり抑えましょう。
続いて、入退室管理システム。これは、電気錠の出入り口を、あらかじめ登録されたIDカード等を操作器で認証して開く、特定のエリアへの入退室を制限するものです。古くからある、一番メジャーな物理セキュリティですが、これをうまく活用する方法を考えます。
入退室管理システムで得られる情報として、オフィス等の出入り口扉の内側と外側に操作器を設置すると、入室情報と退室情報を取得することができます。この情報を活用して、「退室済み社員のPCをロックする仕組み」を作り、情報セキュリティを高めることができるのではないでしょうか。
技術的な準備として、まずIDカードによる入退室の状況を保存しておく簡易サーバを設置し、PCは入退室管理システムの入退室情報をネットワーク経由で確認できる状況にします。PCにログイン操作を試みると、PCは簡易サーバにアクセスし、最終の入退室履歴が入室(在室)と判断した時のみ、ログイン可能となる仕組みとします。それ以外の履歴(最終の入退室履歴が退室)の場合はログイン不可とします。これでPCに対するアクセス管理を、使い勝手を悪くすることなく向上することが可能です。
さらに厳密にするのであれば、ロック可能とするPCにはあらかじめUSBカードリーダーを接続しておき、使用者の入退室用IDカードを登録しておけば、在室時でもIDカードがなければPCが操作できない、より高い情報セキュリティを実現することが可能です。
入退室情報とPCのログイン権限を連携させることが可能な商品は、アクティブディレクトリ等を利用した商品が存在します。既存の入退室管理システムがある企業の方は、メーカーと相談してみてはどうでしょうか。
あと、セキュリティを高めるだけではなく、緊急時にワンタイムパスワードを用いて、一時的なPCロック解除を行なえる準備をしておきましょう。ワンタイムパスワードを保管してある箇所を、防犯カメラで撮影しておけば、本当に必要な人が速やかにパスワードを手に入れることができて、証拠が残るので悪意のある人は近寄れないという、理にかなった環境が構築できます。
外部犯行防止は侵入を断念させるひと工夫
オフィスに空き巣が入り、金目の物だけではなく重要な情報が詰まったPCも盗まれてしまったケースがあります。金目の物より、PC内の機密情報・個人情報を引き出し、裏ルートで売却したほうが、よほど金になるのではないでしょうか。外部犯行(空き巣)に対する物理的な対策を考えていきましょう。
PC本体の盗難防止対策として、ノートパソコンは所定のラックや引き出しに施錠保管を行い、デスクトップは収納が難しいため、市販の盗難防止ケーブルを使用するケース(PCの南京錠マークのある小さな細長い穴に、専用の金具を差し込み固定するもの)が一般的です。
ところで、デスクトップPCから、あらゆる情報が保存されているハードディスクを取り出すのに、100円ショップで売っているドライバーセット一つで、5分~10分少々で簡単にできてしまうことはご存じでしょうか。機種によってはドライバーすら必要ありません。
市販されている盗難防止ケーブルの役割は、実はパソコンの固定だけではなく、正しく取り付けると、本体ケースが開けなくなるロックができます。以前、100台以上の盗難防止ケーブル固定状況をチェックしたことがありますが、正しく固定されていないものがいくつかありました。違う穴にむりやり押し込んであったり、中にはノートPCの排気ファンの隙間(!)に取り付けたものもありました。
また、一度修理に出してケーブルを取り外したPCや、レイアウト変更等で移設を行ったPCに対して、ケーブル再固定が行われていないケースもあるので、隙の無い防犯対策を行うためにも、自らの目による確認と、固定状況をデジカメ等で撮影して報告させるなどして、定期的に固定状況のチェックを行いましょう。
空き巣の侵入手口で多いのは窓などのガラス破りによるものです(警視庁・平成21年上半期の傾向より)。なぜかというと、普通のガラス窓は防犯性能が無く簡単に破壊できるので、窓の錠(クレセント錠)付近に手が入る程度にガラスを割り、窓の鍵を開錠して容易に侵入できるからです。
扉の鍵をこじ開けて中に入るケースも多いようです。窓・扉以外の侵入としては、窓そのものを破壊して入る手口があります。割れたガラスが危険で侵入が大変かと思われますが、割れた部分を毛布等で覆ったり、厚手の服を着て体を守れば、小さい穴でも大きな怪我をせずに侵入が可能です。
そこで侵入そのものを断念させるための手段を用意しておきます。手口は前述したとおり、窓・扉を「開いて」入ってくるのが大半です。戸締りを確実に行なうのは当然ですが、一工夫を加えて簡単にこじ開けられないようにしましょう。
一番効果的なのはガラスを「防犯ガラス」に入れ替えるのですが、既存の窓を入れ替えるには枚数が多く費用が高くつきますので、簡単にはできません。そこで、容易に窓を開かせない様にして、犯行を遅らせる手段として、「補助錠」の設置があります。
窓のレール部分に取り付けるタイプが多くあり、強力両面テープで取り付けられるため、ドリルでねじ穴などを開ける必要なく、手間が掛かりません。空き巣犯はクレセント錠を開錠しても窓が開かず、これ以上の作業は時間が掛かると判断し、犯行を断念させることが期待できます。
また、クレセント錠付近に貼り付けるだけで、ガラスの強度が増すフィルムも多く商品が出ています。物理的破壊に関しては大きな効果が期待できますが、熱に対して弱いものや、ガラスにひびを入れた後、鋭利なもので破れたりするものがあるので、商品の選別には十分注意しましょう。
また、扉に対する工夫も重要です。代表的な対策は、丈夫なドアに交換する、ピッキング(鍵穴に工具を差込、壊さないで開錠する手口)やサムターン回し(ドアスコープや扉の上部・側面の隙間から、針金などを挿入して、サムターンをまわして開ける手口)が対策済みの防犯性能の高い錠に交換する、補助錠の設置です。
ドアの交換は費用が大きく、そもそも鍵が破られれば丈夫なドアの意味を成しませんので、まずは防犯性能の高い錠に交換し、いつもと変わらない操作でセキュリティを向上させるのが、使う側としては便利ではないでしょうか。
補助錠を設置すると破る錠が2つになるため、犯人は1つの錠の時より2倍侵入に時間が掛かるので避けたがる傾向があります。そのため、防犯効果が期待できます。
そして、やはりおすすめしたいのが、機械警備の導入です。無人の会社で万が一侵入があった場合、誰かが一刻も早く駆けつけないと、被害の拡大防止がまったくできない可能性があります。警備会社による24時間オンライン監視の機械警備を導入することで、侵入があった場合は警備員が現地に急行して、被害の拡大防止を図ることが可能です。また、ベルやブザー等の威嚇効果のある機器を設置することで、侵入時に犯人をひるませ、大きな音で犯人が最も嫌がる一つの、「周囲に異常事態を知らせる」ことができますので、犯行を断念させることを期待できます。
情報セキュリティ対策のみでは、万全なセキュリティの実現は難しいし、コストもかかります。一つの手段に大きく費用を割くのではなく、物理を含めた複数の手段を組み合わせることで、インシデントの発生確率を限りなく小さくしていき、万全に近いセキュリティを目指すとよいでしょう。
次回からは、情報セキュリティをメインテーマとしていきます、ご期待ください。
