第2回オフィスセキュリティEXPOレポート

オフィスの物理セキュリティは「統合」と「選択」の段階へ

高橋 睦美
＠IT編集部
2007/7/23

---

　IDの集中管理で運用負荷を軽減

　セキュリティレベルに応じたきめ細かな認証が可能となった一方で、より多くの機器を連動させ、幅広いシステムにスムーズに適用させることを支援するツールも見られた。

　SSFCのブースでは、日本ユニシスが開発した「ID管理ソリューション」が紹介されていた。そもそもSSFCは、1枚のICカードを複数の機器やシステムにまたがって活用し、セキュリティと利便性を両立させることを狙った仕様である。だが、マルチベンダの環境であるだけに、ユーザーの登録／変更や追加作業はシステムごとに別々に行わなければならず、管理者側の負担が大きかった。

　日本ユニシスのID管理ソリューションは、メールやグループウェア、業務アプリケーションなど、情報システムにまたがる一元的なID管理を実現するシステムだ。これが新たにSSFCに対応したことで、入退室管理システムやOA機器の個人認証についても統合的に管理し、各システムにその情報を迅速に配布するプロビジョニングを実現できる。既存の人事マスターからデータを取り込んで活用することも可能だ。

ID情報を一元的に管理し、SSFC対応の機器に一括して配布することで、運用管理の負荷を大きく軽減する

　「これにより、システムごとに個別にユーザー情報の変更作業を行う手間がなくなる。社員が退社した際にID情報を消去したり、人事異動に伴って適切な権限を付与したりするといった作業を迅速に行うことができる」とSSFCでは説明している。

　今後は、ログの一括管理をどのように実現していくかが課題だとみているという。ID管理同様、マルチベンダの仕組みであるだけに、各システムが出力するログの形式もまちまちだ。従って、いつ、誰が、何をしたのかという記録がそれぞれに残っていても、横断的に分析することが困難だった。これを何とか統合し、くし刺しにした形で検索、分析を行える仕組み作りに取り組んでいくという。

【関連記事】 第3回 ログと映像が連携する新しいオフィスセキュリティ（RFID＋IC） http://www.atmarkit.co.jp/frfid/rensai/ssfc/ssfc03/ssfc01.html

　監視カメラに机、プリンタ……オフィスの隅から隅まで統合を

　複数のシステムが出力するログの統合管理が可能になれば、何らかの事件、事故が発生したときの原因追究が容易になる。

　例えば、監視カメラの画像には通常、日付と時間程度の情報しか付与されていない。しかし、SSFCを介して収集した入退室管理システムの認証履歴を突き合わせたり、プリンタのログと連携させたりすれば、いつ、誰によってどんな操作が行われたのかを追跡していくことが可能になる。SSFCブース内でドッドウェル・ ビー・エム・エスが紹介していたが、仮に正規のICカードが盗難に遭い、悪用されたとしても、その履歴と画像を基に追跡が可能になる。

SSFCインタフェースを介して得たログを基に、監視カメラで蓄積した録画映像の検索、再生が可能だ

　一方シチズン時計では、ICカードではなく、無線LANタグを活用して情報システムとオフィスセキュリティの一元管理を目指す「サティフゲート」を紹介した。

　サティフゲートでは、専用の無線タグを組み込んだ名札を認証の鍵として利用する。名札が机から離れると（つまりユーザーが離席すると）自動的にPCをロックし、近づけばそれを解除し、PCにログインできるようにする仕組みだ。もちろんICカードを用いても同様の仕組みが実現できるが「ICカードの場合は、リーダへの着脱といった手間が掛かる。これに対しタグは使い勝手の面で優れている」と同社は述べている。アンテナをオフィスフロアに配置しておけば、従業員の位置情報を把握することも可能だ。

　この仕組みの適用範囲は、いまのところはPCの自動ロックのみだが、同社ではほかの機器や什器にも広げていく計画だ。参考展示ではあるが、無線タグを用いてロッカーや袖机の鍵の開け閉めを行ったり、プリントアウト時の認証に活用して本人以外が印刷物を手にしないようにしたりと、包括的なオフィスセキュリティを実現していく構想という。

1枚のタグで、入退室管理からPC、引き出しなどオフィス全体にまたがる自動的な認証を実現していく計画という

　オカムラなども同様に、入退室管理のゲートシステムやロッカーに、Webベースの受け付けシステムなどを連携させる仕組みを紹介していた。ちなみに同社の場合は、ICカードと指紋、虹彩など複数のバイオメトリクス認証を紹介しているが、「例えば、バイオメトリクス認証では認証作業に数秒かかることを考えると、多くの人が出入りするオフィスではICカードの方がメリットが高い。一方、より機密性の高い場所では、認証強度の高い方法が望ましいだろう」と説明。認証ひとつ取ってもいろいろな仕組みがあるが、用途を考慮し、その中から使いやすいものを選択することがポイントだという。

　各社の取り組みからは、利用者の用途に応じた「選択」と「統合」がキーワードとして浮かび上がってくる。複数のシステムを連動させ、使い勝手とセキュリティレベルの両立を図るには、自社にとって「何が重要なのか」「どう運用するのか」という基本を考え抜くことがポイントになりそうだ。

コラム：ネットワーク機器のポートは「裸の王様」 　物理セキュリティというと真っ先に連想されるのは、入退室管理や監視カメラだろうか。また最近では、プリンタから出力された紙の扱いなどにも注意が払われるようになってきた。 　ところが、意外な盲点となっているのがネットワーク機器やパッチコードのポートだと、R&Mマーケティング・ホールディングでは指摘する。「情報漏えい対策の一環として、セキュリティ対策ソフトウェアなどを導入している企業が多いが、実際には内部関係者がデータを持ち出しているケースが多い」（同社）。裸のポートにイーサネットをつなぎ、タップなどを挟み込んでしまえば、情報は筒抜けだ。 　同社によると、ネットワーク機器のポートを裸のままさらしておくことは、セキュリティ上のリスクとなるだけでなく、さまざまなトラブルのもとにもなっているという。 　「いまでは秋葉原などに行けば、数千円でハブを購入することができる。そうしたハブを管理者の許可を得ずに持ち込み、社員が勝手にネットワークを拡張すると、IPアドレスの重複やネットワークトラフィックの急増といった障害につながる。トラブルが起きて初めてネットワークをよくよく調べてみると、勝手に持ち込まれたハブが原因となっていることが多い」と同社は説明している。 　こうした『勝手』機器によって過電流などのトラブルが生じ、それがケーブルを伝わってサーバの障害につながるケースもあるという。不注意もさることながら、誰かが悪意を持ってネットワークケーブルに高電圧の印加などを行えば、ひとたまりもないと同社は指摘した。ネットワークの円滑な運営やシステムのアベイラビリティの確保といった観点からも、ポートの物理的な保護は実は必要な作業だという。 管理者の盲点となっているネットワーク機器のポートに、文字通り「鍵」を掛ける 　こうしたリスクに備えてR&Mマーケティング・ホールディングでは、利用されていないポートやRJ-45のパッチコードをふさいでしまう「セキュリティポートロック」や「セキュリティプラグキャップ」といったツールを提供している。また逆に、いったんサーバやクライアントPCに接続したイーサネットポートを、鍵がない限り外れないようにする「セキュリティパッチコード」も開発、提供している。単価は20個ロット時で800円程度からというが、「この価格を高いとみるか安いとみるかは、情報漏えいの対価をどのようにとらえるかによるだろう」と同社は説明している。

2/2

Index
オフィスの物理セキュリティは「統合」と「選択」の段階へ
	Page1 運用フェーズに入ったがゆえの課題が浮上 守るべき文書の「重要度」に応じたロックを
	Page2 IDの集中管理で運用負荷を軽減 監視カメラに机、プリンタ……オフィスの隅から隅まで統合を コラム：ネットワーク機器のポートは「裸の王様」

Security&Trust記事一覧

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）