投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2023.8.24
〇昔、大企業の事務所に出没した泥棒の話
20年以上前、何かの研修で、講師の方から「昔、大企業の事務所に出没した泥棒」の話を伺ったことがあります。
昭和の時代、一般的な企業のオフィスは、現在のようにセキュリティチェックが厳しくなかったので、部外者も内部に立ち入るのが容易でした。
大企業になると、社員同士が顔見知りとばかりは限りませんので、そこに付け込んで泥棒がやってくるのだそうです。
スーツを着こなすなど身なりは立派で、場慣れしている様子で落ち着いた物腰。その場にいる誰も知らないけれど、どこかの部署の管理職だろうか、という感じの人物が、いつの間にかオフィスにいて、若い社員などに親しげに声をかけたりもするそうです。
でも、実はその人物こそ泥棒で、隙あらば金品や貴重品などを盗んで立ち去る、という被害も起こったそうです。
前振りが長くなりましたが、今回はオフィスの「物理的セキュリティ境界」に関するお話です。
〇物理的セキュリティ境界
ISMS(情報セキュリティマネジメントシステム)のガイドライン・ISO/IEC27002:2013の11.1.1項「物理的セキュリティ境界」では、
「取扱いに慎重を要する又は重要な情報及び情報処理施設のある領域を保護するために,物理的セキュリティ境界を定め,かつ,用いることが望ましい。」
と、物理的な”セキュリティ境界”を定め、運用することを推奨しています。
小売店や飲食店では、店内にお客様をはじめ不特定多数の人が来訪しますが、一方、ここから先は関係者以外立ち入りできない、というエリアを定め、運用していることと思います。
一般的なオフィスも、外来者が立ち入ることのできる領域と、関係者のみが立ち入ることのできる領域、特別に許可された関係者のみが立ち入ることのできる領域、といった区別を定め、運用することが情報セキュリティ上からも重要です。
IPAが提供するチェックリスト「5分でできる!情報セキュリティ自社診断」の解説資料中より、関連する解説をご紹介しましょう。
〇見知らぬ人には声をかける
関係者以外の社内への立ち入りを制限しなければ、侵入されてしまい情報を盗み取られる危険性があります。
特にサーバーや書庫・金庫など、重要な情報の保管場所の近くには無断で立ち入りができないようにしましょう。
事務所で見知らぬ人を見かけたら、「どちらにお取次ぎいたしましょうか?」「ご用件は承っておりますでしょうか?」というように声をかけると良いでしょう。
失礼のないように対応する必要がありますが、悪意をもった人には牽制になります。
(IPA「5分でできる!情報セキュリティ自社診断 解説編」より)
もし、オフィスの物理的セキュリティ境界が整っていない懸念があるなら、まずそちらの改善に取り組む必要がありますが、
上記の「声掛け」は、情報セキュリティに加えて冒頭の泥棒対策としても有効ですので、ご記憶いただくと便利かと思います。
(Primary-f/向実庵 代表)
<ご案内>
Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。
詳しくはこちらよりお入りください。
コメント