令和４年度中小企業サイバー
セキュリティ対策継続支援事業

物理セキュリティでは、建物への侵入や各機器を守るために必要な対策を検討し実行します。

Point①　フロア区分を定める

オフィス内では、社員が活動する場や外部の人が出入りする場とセキュリティルールを区分する必要性があります。

企業における部屋・スペースの例

部屋名	区分	主な用途
サーバルーム	機密 エリア	サーバや電子機器など社内インフラを構成する機器を設置する。入退室などを厳重に管理する必要がある。
社内会議室	執務 エリア	主に社内で会議を行う。従業員のみが入退室できるエリア。
執務スペース	執務 エリア	主に従業員が業務・執務を行う。従業員のみが入退室できるエリア。
リフレッシュスペース	執務 エリア	主に従業員がリフレッシュをする。自動販売機の補充などにより外部の者が入室することも想定する必要がある。
応接室	受付 エリア	主に外部の人と打ち合わせなどを行うスペース。外部の人が入室する前提で部屋を管理し、入退室を管理する。
エントランス	受付 エリア	基本的には誰でも入退室が可能なエリア。受付を行うなど、来客情報などを管理する必要がある。

各エリアを明確にし、入退室の記録を取ることが重要です。例えば、従業員にはICカードを貸与し、執務スペースへの出入りにはICカードによる記録を取るといった方法があります。また、ICカードを持たない来客者は、入退室記録簿などに記名をしてもらうことで管理をすることができます。来客者の行動範囲を明確化するため、立ち合いなどのルールを定めておくことが重要です。

Point②　機器自体の安定稼働を守る

物理セキュリティでは、機器自体に対してセキュリティ対策を行います。盗難などの対策だけでなく、電源などについても意識する必要があります。

Point③　資産の廃棄に注意

入退室管理システムにおいて、その役目を終えてシステムを構成していた機器を廃棄する際にも、情報セキュリティの観点で考慮しなければならない事項があります。

紙ベースの資産では、シュレッダーなど読み取りができない形で廃棄します。

外部記憶媒体では、データの削除や物理的な破壊で破棄を行います。

サーバなどストレージでは、データの削除を行い、破棄を行います。

Point④　物理セキュリティ対策を保護する

監視カメラなども物理セキュリティに該当します。最近の監視カメラはインターネット接続されているため、物理セキュリティを高めるための監視カメラを、技術的対策等で保護するといった処置が求められます。

監視カメラを導入すると、人の出入りや作業などが記録されるため検知能力が高まります。また、抑止の効果が働くため、セキュリティの向上が期待できます。
しかし、ネットワークを利用する端末が増えることになり、認証やアクセス制御を適切に行わないと監視カメラがウイルスに感染する事態が発生します。ウイルス感染により、DDoS攻撃に加担するようなBotとなり、加害者の一端となってしまう可能性があります。

Point⑤　物理セキュリティと論理セキュリティを組み合わせる

技術的対策、組織的・人的・物理的対策と説明をしてきました。物理セキュリティに対して、組織・人・技術を論理セキュリティと表現する場合があります。また、４つの対策を各々実施するのではなく、組み合わせて実施することでより強固なセキュリティ対策となります。Point④のように物理セキュリティへ取り組んだことにより資産が増え、増えた資産に対してセキュリティ対策が求められるというケースもあります。リスクアセスメントを実施し、リスクへの対応を行っていくことが求められます。

フロアレイアウトと論理セキュリティの組み合わせ

フロアレイアウト		論理セキュリティ
サーバルーム	機密 エリア	許可された人だけが入退室可能。また、入退室を友連れで行わないようにルールを定め、記録を取得。
社内会議室 執務スペース リフレッシュスペース	執務 エリア	従業員が所有するICカードで出入りが可能。共連れでの入退室も可能であり、執務エリアでは社員証の着用がルール化されている。
応接室 エントランス	受付 エリア	来客者が入れるように施錠等はせず、受付としてインターホンや呼び出し用の電話を置いておく。監視カメラを設置し入退室が記録できるようにする。