情報セキュリティから「物理セキュリティ」をチェックしてみると……：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

同じセキュリティでも「情報セキュリティ」と「物理セキュリティ」では性質の違うものと思うかもしれない。今回は工場での事例から「情報セキュリティ」の観点でみた「物理セキュリティ」の失敗例を取り上げてみたい。

[萩原栄幸，ITmedia]

　昨年に筆者がコンサルタントを実施した工場での出来事を紹介したい。筆者は社長に頼まれて、工場と隣接している本社ビルのネットワークの脆弱性を検証した。システム管理部と面談し、彼らが最も心配しているという無線LANを中心にセキュリティ専門会社と作業を行った。その後、社長がこう話された。

「門塀の状況や正門の調査、監視カメラの設置などに死角がないか、ガードマンの巡回体制や出入り業者の状況なども含めてぜひ調べてほしい」

　筆者は情報セキュリティの立場で調査したため、「そこはセキュリティという点では関係していますが、正直にいえば私の専門ではありません。しかし、セキュリティですから調べることはできます」とお伝えした。先方も「知らない業者に頼むよりは……」と筆者に依頼され、さらなる作業が始まった。

　情報セキュリティの専門家がこうした「物理セキュリティ」のチェックをしてみると、教訓になると思われる様々な点に気がつく。今回はこの会社で行った調査から3つほど取り上げてみたい。

これでは意味がない！

　この会社の本社ビルは2年前に全面改装され、一見新築と見間違えるほどにきれいだった。この全面改装を機に、ドア認証システムを4000万円ほどかけて導入していた。全ての階と重要エリアの仕切りに社員証のIDカードをかざして入室するシステムである。さらには、入室可能な社員が制限され、最重要エリアへの入室は指紋認証も行う。物理セキュリティとしては、とても有効に機能する“はず”であった。

　しかし、実態を調査した結果は「×」だった。なんと6割以上のエリアでドアが常時開放され、IDカードで入室するというシステムが動いていなかったのである。

　その原因はすぐに判明した。実はドア認証の管轄はシステム管理部であり、ビルの空調システムの管轄は総務部であった。クールビズではないが、役員から本社ビルの設定温度を2度上げるように指示があり、総務部はそのままその意見を受け入れたという。その結果、密室となった本社の執務室はあっという間に蒸し風呂状態となり、次々とドアを開放してしまったようだ。

　だが、これではまったくの金のムダ使いである。ドアを開放した瞬間にセキュリティが限りなくゼロになってしまったという意識をぜひ持ってもらいたいと思わずにはいられない。

　この根本的原因は、役員の要求を無批判に受け入れ、システム管理部を含めたほかの組織に横展開しなかった総務部にもあるだろう。このケースのように、組織として常に変化を感じ取り、それが企業のどの部分に影響を与えるのかという創造力も不足していた。改善すべき項目も多々散見されたのである。