物理的セキュリティのための10の重要な対策

写真: Leremy | shutterstock.com

一般的にCISOは健康や労働安全に関する全ての問題を担当することは少ないですが、ITと連携した物理的セキュリティシステムやIT資産への直接アクセスに関しては、重要かつ戦略的な役割を果たします。CISOにとって主な制約要因は、通常次の2点です。

• 予算

• 責任の不明確さ

この記事では、CISOが把握しておくべき物理的セキュリティのための10の重要な対策を紹介します。まずは、物理的セキュリティの定義と、なぜ企業にとって重要なのかを簡単に見ていきましょう。

なぜ物理的セキュリティが重要なのか

物理的セキュリティとは、定義上、人、財産、物理的資産を不正アクセス、盗難、その他の損害や損失につながる行為から守ることを指します。しかしこの分野は、サイバーセキュリティに比べて軽視されがちです。

CISOにとってこの分野が特に重要なのは、現代のほとんどの物理的セキュリティシステムやコントロールが何らかの形でITと結びついているためです。バッジやキー・カード、ビデオ監視などがその例です。不正な（物理的な）アクセスが発生すると、サイバー攻撃やデータ漏洩に発展する可能性もあります。そのため、セキュリティ担当者はこれらの資産へのアクセスを管理するための対策を講じるべきです。

だからといって、CISOが物理的セキュリティの全ての業務を担う必要はありません。小規模な企業ではCISOとCSOの役割を兼任することもありますが、大企業では現実的でない場合が多いと、サイバーリスク専門企業OptivのCISO、Max Shier氏は説明します。「規制要件がある場合や大企業では、サイバーセキュリティと物理的セキュリティを統合するのは意味がないこともあります。例えば、工場の警備や経営幹部のボディガードの手配などは、サイバーセキュリティチームの負担を急激に増大させる可能性があります。」

この選択肢が難しい場合、セキュリティサービス企業RadwareのCISO、Howard Taylor氏は次のようにアドバイスします。「その場合、CISOは物理的セキュリティチームとのコミュニケーションと連携が不可欠です。これらのチームは事業継続や災害復旧、物理的な施設の計画プロセスに関与すべきです。また、監視カメラの映像がプライバシー規則に違反しないなど、法的にも問題のない対策であることを確認する必要があります。」

物理的セキュリティ対策トップ10

組織構造に関係なく、CISOは物理的セキュリティ分野の全ての関係者と協力する必要があります。以下の10の対策は特に重視すべきポイントです。

1. IT設備とデータセンターの強化

データセンター、機密性の高いIT設備、複合オフィスのコンピュータールームは、CISOが物理的アクセス制御を確実にするために注目すべき明白な領域です。消費財企業Church & DwightのCISO、David Ortiz氏は次のように述べています。「セキュリティ担当者は、技術機器のある全ての部屋へのアクセスを必要な人だけに制限する必要があります。また、業者は必ず同伴者と一緒に入室させるべきです。理想的には、アクセスは記録され、毎日確認されるべきです。」

当然ながら、取るべき対策は施設やリスク状況によって調整・適用する必要があると、セキュリティ企業DarktraceのRed Team Operations担当シニアバイスプレジデント、Justin Fier氏は勧めています。「機密情報を保管する全ての施設は、そうでない施設よりも厳格なセキュリティコントロールが必要です。CISOはまず、どこにどんなデータやリソースが保管・利用されているかを把握し、不正侵入時のリスクを評価し、必要に応じて物理的セキュリティ対策を強化する必要があります。」

2. オフィスの日常的なリスクを認識する

犯罪者は企業ネットワークへのアクセスを得るために、日常的なオフィス環境も標的にします。Flexentialのサイバーセキュリティ担当バイスプレジデント、Will Bass氏は「どのネットワークポートもIT環境への潜在的な侵入口になり得ます」と警告します。CISOへのアドバイスは「全ての施設の物理的セキュリティアーキテクチャと基準を徹底的に理解してください。機密施設かどうかに関わらず、適切な多層防御策を講じ、不正な物理的アクセスを防ぐことが重要です。」

OptivのCISO、Shier氏は、リモートワークやハイブリッドワークが普及した今でも重要だと補足します。「オフィスの利用頻度が減っている場合でも、セキュリティ担当者はオフィスビルに適切な物理的セキュリティコントロールが備わっていることを保証しなければなりません。無線アクセスポイント、バッジによるアクセス制御、ビデオ監視は依然として重要で、見落としてはなりません。」

3. 物理空間での横移動を防ぐ

企業への物理的なアクセスを守る際、CISOは攻撃者が物理的な制限区域内を横断できるかどうかにも注意を払うべきです。セキュリティ企業Bishop Foxのシニアセキュリティコンサルタント、Alethe Denis氏は「攻撃者が一度制限区域に侵入すると、発覚する可能性は大幅に下がります。多くの人は、制限区域にいる人物は既にアクセス制御を通過したと考えてしまうからです」と説明します。

企業がネットワークセグメンテーションやゼロトラスト原則を使ってネットワークリソースを守るのと同様に、物理的セキュリティでも同じアプローチが必要だと専門家は指摘します。「理想的には、認証が必要な階段やエレベーター、警戒心のある従業員によって『テイルゲーティング』（他人の後ろに続いて入る行為）や企業への損害を防ぐべきです。」

4. コロケーションやクラウド環境の資産を守る

セキュリティ担当者の目は自社施設だけでなく、コロケーション施設やデータセンターにも向ける必要があるとShier氏は指摘します。「例えば他社とデータセンターを共有している場合は、サーバーラックごとにバッジリーダーを設置するなどの対策が有効です。また、データセンターにはカメラや警備員、その他のコントロールも不可欠です。」

システムの物理的な管理が完全に組織から切り離されている（パブリッククラウドやSaaSなど）場合でも、CISOはそれらのシステムがどのように物理的に管理されているかに注意を払う必要があると、Nuspireのサイバーセキュリティコンサルティング担当バイスプレジデント、Mike Pedrick氏は述べています。「このようなサービスを利用しても、CISOの責任がなくなるわけではありません。むしろ契約やサービスレベル合意、第三者による監査の重要性が増します。」

5. 物理的なサイバー接続を分析する

重要インフラ組織で働くCISOは、物理的な行動がサイバー環境にどう影響するかだけでなく、サイバー空間での活動が物理環境にどう影響するかも評価できなければなりません。

「産業環境へのサイバー攻撃は、物理的な安全に重大な脅威となり得ます」と、リモートアクセスプロバイダーCyoloの共同創設者Almog Apirion氏は述べています。今日のITとOTの融合を考えると、CISOは重要インフラ分野でなくても、物理空間とサイバー空間の全ての接点を把握すべきです。例えば、物理的な産業設備がリモートで操作・管理できる場合もCISOの守備範囲になるとApirion氏は指摘します。

6. IoT機器を考慮する

物理的セキュリティのもう一つの側面は、IoTデバイスに関連しています。FlexentialのBass氏は「IoT機器は建物の外壁に設置された監視カメラのように、誰でもアクセスできる場所にあることが多いです。こうしたデバイスへの物理的アクセスは潜在的な侵入口となります。これを防ぐには特別な保護策が必要で、課題となることもあります」と説明します。

RadwareのCISO、Taylor氏は、IoT機器がOTシステムのように物理空間で重要な機能を制御している場合があると指摘します。「IoTシステムは情報と行動の橋渡しをします。これが物理的攻撃の際に魅力的な標的となる理由です。」セキュリティ担当者は、こうしたデバイスに統合された監視機能を持たせ、ソフトウェアの不正操作やマルウェア感染を防ぐべきだと訴えます。「IoT機器が破壊された場合に備えた緊急対応計画も必要です」とも補足しています。

7. リモートデバイスを保護する

ネットワークの境界は時代とともに変化してきました。CISOは自社の状況に合った脅威モデルやコントロールを採用し、許容可能なリスクレベルを実現する必要があります。そのためには、セキュリティ関係者やサプライチェーンパートナーと協力し、ハードウェアの完全性を確保し、従業員にセキュリティのベストプラクティスを伝えることが重要です。

新しい働き方によって、分散した機器の問題はさらに深刻化していると、DarktraceのFier氏は説明します。「リモートワークやハイブリッドワークの普及により、CISOは物理的なIT資産の保護がますます困難になっています。従業員が様々な場所でデバイスを使うため、紛失・盗難・悪用のリスクが高まります。自宅勤務も例外ではなく、CISOは自宅のルーターのセキュリティにも気を配る必要があります。」

Fier氏によると、犯罪者はこうしたデバイスをますます標的にしています。対策として「攻撃者に狙われやすい経営幹部や管理者には、特別に保護されたハードウェアを用意することを検討してください」とアドバイスしています。

8. 統合型アクセスコントロールを導入する

施設管理チームは、物理的なアクセスコントロールや建物のセキュリティ全般の管理業務を担当しますが、セキュリティ担当者も関与すべきだとChurch & DwightのCISO、Ortiz氏は提案します。「CISOは物理的セキュリティチームと協力し、物理的アクセスコントロールのリスク状況を把握すべきです。例えば、受付での入館管理、バッジによるアクセス、ビデオ監視システムの有無などを知ることが含まれます。また、アクセスシステムは不審な活動がないか確認する必要があります。」

Ortiz氏は、CISOもアクセスコントロール対策の設計や論理的アクセス制御への統合に貢献すべきだと考えています。「物理的・論理的アクセスコントロールは連携して機能すべきです。特に、アクセス権の紛失や従業員の退職時には重要です」と述べています。

9. 監視システム（およびそのデータ）を保護する

ビデオ監視システムの監視はCISOの本来の担当領域ではありませんが、これらのシステムの設計や保護に関しては、セキュリティ担当者も関与すべきです。なぜなら、データ保護やコンプライアンスの専門家だからです。

「様々なプライバシー懸念や法的義務、その他ビデオ監視に伴う要素を考慮すると、CISOはこれらのシステムの管理において重要な役割を果たすべきです」とDarktraceのFier氏は述べ、「法務部門など関連チームと密接に連携し、適用される法律やプライバシー規則を遵守していることを確認する必要があります」と付け加えています。

さらに、最新のCCTVシステムはIT環境の一部でもあり、企業のサイバー攻撃対象領域を広げていると、Agility Cyberのセキュリティコンサルティングディレクター、Jonathan Sword氏は説明します。「オフィスビルの監視カメラが企業のメインネットワークに接続されていることはよくあります。そのため、ネットワーク上の他のユーザーや、侵入した攻撃者からもアクセス可能となるリスクがあります。」

10. 監視データを常に利用可能にする

最後に、CISOやインシデント対応チームは、監視システムの出力にいつでもアクセスできるようにしておくことが不可欠です。目的は、監視映像を使って物理空間での活動と論理システムでの行動を迅速かつ容易に結びつけることです。

Bishop Foxのセキュリティ専門家Denis氏は「攻撃が発生し、データが危険にさらされている場合、監視映像が攻撃の状況を把握する手がかりになるなら、ITセキュリティチームもこれらのデータにアクセスできるべきです」と説明しています。（fm）

ITセキュリティに関する他の興味深い記事をお探しですか？当社の無料ニュースレターでは、セキュリティ担当者や専門家が知っておくべき情報をすべて、あなたの受信箱にお届けします。