アクセスコントロールとは? 入退室管理のハウツー
「アクセスコントロール」は2つの文脈で語られます。1つは、オフィスや施設の出入りする人の入退室管理。もう1つは情報システムで、誰がどの情報まで閲覧ができるかです。どちらもセキュリティ分野で使われる言葉で、考え方は共通してますが、前者は物理的な入退室の制御、後者は情報システムの閲覧権限の制御を表しています。ここでは前者の入退室管理について、アクセスコントロールの考え方や実現方法を解説します。
この記事の目次
- 1.アクセスコントロールとは?
- 1-1.アクセスコントロールの目的
- 1-2.身近なアクセスコントロールの例
- 2.具体的な対策、入退室の権限設定はどうするの?
- 2-1.アクセスできる範囲を個人別に設定する(「誰が」を設定)
- 2-2.マスターキーを脱却し必要に応じた許可(「いつ」・「どこに」を設定)
- 3.【まとめ】運用のしやすいタイプのシステム導入を。
(掲載内容は2019年9月時点の情報です)
アクセスコントロールとは?
1-1.アクセスコントロールの目的
部外者が勝手に入室できないように制限する事でセキュリティの強化を図ります。例えば、企業であれば機密情報が流出しないよう、情報がある区画への入室を制限します。工場等であれば異物の混入や事故を防いだり、学校等であれば不審者から施設内の人間を守る目的があります。
また、人の出入りを記録する事で、何か問題があった時にトレースできるようにします。履歴を記録することで、何か問題が発生した際に原因(犯人)や影響範囲の特定が可能です。こうした管理体制がある事が不正入室の抑止に繋がり、万が一の何かが起きた時も、日時や期間・場所などから被害の範囲やリスクを把握することで、適切な対処が可能になります。
まとめるとアクセスコントロールの目的は、「不正入室の防止」、「問題が発生した時の原因把握」の2点です。またこれら物理セキュリティの管理は、ISMS( ISO27001 )やPマークでも求められている事柄でもあります。
・許可された人だけを入室させる。
・履歴を記録して問題解決に活用。
1-2.身近なアクセスコントロールの例
受付スタッフや守衛の方がいて、アポイントメントのある方のみ入室を許可。入室者とその日時を記録するのも1つのアクセスコントロールです。但しこれだと大抵の場合は、会社・施設の入り口一箇所のみのセキュリテイとなってしまうため、アクセスコントロールシステムと呼ばれるものを導入するのが通常です。許可証を首から下げるのもこうした物理セキュリティの運用の一貫です。
身近な所では、駅などのゲート(ICカードで料金を支払って入場)や、社員証をかざして電気錠を開けるオフィスなどが、アクセスコントロールシステムの導入例となります。
アクセスコントロールシステムには通常、カードキー、暗証番号、顔や指紋などの認証部分と、電気錠やフラッパーゲートなどで物理制限する部分、それらを管理・制御するソフトウェアの部分があり、それらの仕組みを総称してアクセスコントロールシステムや入退室管理システムと呼びます。
2.具体的な対策、入退室の権限設定はどうするの?
単にアクセスコントロールシステムを導入するだけでなく、適切な運用をすることが大切です。以下にポイントをご紹介します。
2-1.アクセスできる範囲を個人別に設定する(「誰が」を設定)
アクセスコントロールシステムを導入したら、必ず個人が識別できる管理方法をとりましょう。例えば、カードや番号を社員複数人で使い回すようなやり方はNGです。
個人単位で管理されている事で、履歴が「特定の」個人に紐付けて把握する事ができます。また、常時利用するスタッフの追加・削除などが発生した際も、個人単位の管理になっている事で柔軟な対応が可能になります。
IDの使い回しはNG!
2-2.マスターキーを脱却し必要に応じた許可(「いつ」・「どこに」を設定)
■「どこに」の設定
施設やオフィス内で、前述の個人がどこまで入っていいのか「入れる場所」「入れる必要のない場所」の線引きを決めましょう。例えば、エントランスや各員が働く執務スペースには出入りできる必要がありますが、サーバールームや他フロアにも自由に出入りを可能にするべきでしょうか。各スペースの性格によってセキュリティレベルの区分け、ゾーニングをする事が必要です。
風通しの良い職場を目指して、社員であればどこでも出入り自由とする場合もありますし、厳格に管理するところでは、例えばapple社のように 製品開発に関する情報は本当に限られたメンバーしか出入りが許していないケースもあります。
一般的にセキュリティに注意する事が多いのは、サーバールームや製品企画・役員室などの自社にとって機密情報が集まる場所、人事・総務や顧客からの預かり情報などの個人情報を関わる場所、現金や在庫等の資産が保存されるている場所、その他 業種業態によって安全管理に関わる場所では特に厳格なセキュリティを敷く場合が多いです。
■「いつ」の設定
上記のような細かい想定ができると、それぞれの人間が「いつ」入室できる必要があるかが想定できます。例えば一般社員が出入りできるのは、勤務時間帯にあたる平日の日中に限り、休日や深夜の出入りを制限することも出来ます。過剰な権限を与えないことで、施設管理者とそこで働く人の相互のリスクを低減する事ができます。
また、実際のオフィスや施設では、社員に限らずアルバイトや頻繁な出入りや常駐のある協力会社、顧客の来客、清掃や備品補充を行う出入り業者など様々な人が施設内・セキュリティエリア内を訪れることになります。それぞれの必要に応じた時に限った権限付与が理想となります。
3.【まとめ】運用のしやすいタイプのシステム導入を。
最後にアクセスコントロールシステムの選び方のおすすめです。
入退室管理の権限設定は上記となりますが、実際の運用の中では、日々来訪者がおり、社員であれば毎年必ず入社・退社が発生します。また、不正入室などの問題はいつ発生するかがわからないため、日常運用の中で早期に気がつける体制と、何かの際には入室権限の取り消し等の対策を円滑に行う必要があります。
以前からあるアクセスコントロールシステムの代表的な形は、自社内にサーバーを置き、制御する各ドアと物理的にケーブルで繋がった電気錠と認証リーダーを専用のソフトウェアで管理します。これらのシステムは、認証機器やセキュリティ設定の自由度が高い反面、導入費が1000万円以上と高額であったり、入退室履歴の抽出や権限設定を変更しようとした際に専門業者に依頼して反映まで2-3日かかる事も多かったりとデメリットも存在します。
一方、近年のセキュリティ管理のトレンドとして、クラウド型のアクセスコントロールシステムが登場しています。クラウド型のメリットとしては、施設管理者が自分ですぐに設定変更やデータの出力をしやすい事、導入時のソフトウェア購入、運用数年後にOSアップデート等によるライセンス購入などが不要となる事で、より導入しやすい価格設計となっているものが多いです。
また、上記のような厳格なセキュリティが不要かつ小規模なオフィス等では、手軽に入退室管理ができるスマートロックも登場しています。ぜひ、自社にあったシステムを活用してアクセスコントロールを実現してください。