特訓　PDCA式で学ぼう情報セキュリティ

午後対策
オフィスセキュリティ

午後対策　｜　戻る

特訓　PDCA式で学ぼう情報セキュリティ午後対策です。日頃の出来事を題材に実践的な能力を養います。何を調べても結構ですのでご自分の力でぜひ解いてみてください。リンク切れがありましたら、ご連絡いただけるとありがたいです。

問　題

日経ＢＰ社
オフィスセキュリティ
http://premium.nikkeibp.co.jp/security/goods/index_3o_01.shtml
を読んで下記問いに答えよ。

　(1) 入退室を管理するシステムとして、いま一番普及している方法
　　は何か。

　(2) (1)の手段を用いた場合、ネックとなることは何か。またその防
　　止策を答えよ。

　(3)感想・調べたこと

　

解　説

■(1) 入退室を管理するシステムとして、いま一番普及している方法
　　は何か。

>ＩＣカードキー

>ICカードキーによる入退室制限

>いま一番普及している方法はICカードキーによる入退室制限方法である。

　オフィスなどの入退室を管理するシステムとしてICカードキーは普及しています。

　入退室以外でもカードシステムによるサービスはいろいろありますので、
　用途、目的とリスクについて考えておきましょう。

　情報セキュリティアドミニストレータ試験平成15年度午後I問3において、
　カードシステムにおける顧客情報の管理に関して出題されています。

　　http://sstokkun.web.infoseek.co.jp/kakomon/ssh15I3.html

　◇ICカード　とは。。。

　　キャッシュカードやクレジットカードと同じ大きさのカードに、
　　演算処理や記録機能を行うために設計された半導体集積回路（IC）
　　チップを内蔵したものです。電子マネーやテレホンカードなどに
　　応用されています。

　　磁気カードに比べて100倍近いデータを記録でき、データの暗号化
　　も可能なため偽造にも強いです。

■(2) (1)の手段を用いた場合、ネックとなることは何か。またその防
　　止策を答えよ。

>ICカードを人に貸したり、盗まれたりすれば、本人以外の人も簡単に
>出入りすることができてしまう。
>防止策：本人しか持ち得ない指紋や、「虹彩」と呼ばれる目の毛細血
>　　　　管の模様で、本人を認証しようというシステム＝生体認証を
>　　　　導入する。

>ICカードを人に貸したり、盗まれたりすれば、本人以外の人も簡単に
>出入りすることができてしまうのがネックとなる。そのため防止策として、
>本人しか持ち得ない指紋や、「虹彩」と呼ばれる目の毛細血管の模様で、
>本人を認証しようという生体認証システムが登場してきた。

　ネックとなることは、ICカードの他人への貸与、盗難、紛失による
　不正利用ですね。

　ICカードによる認証というのは、本人の持ち物による認証です。
　（Something you have:SYH）
　物体ですから、他人への貸与、盗難、紛失に対して脆弱性を持って
　います。

　認証方法には、以下の3つがあります。

　１．本人の持ち物による認証
　　　Something you have : SYH

　２．本人だけ知っている情報による認証
　　　Somethin you know : SYK

　３．本人と識別できる特徴による認証
　　　Something you are : SYA

　生体認証（バイオメトリクス認証）は3番目のSYAに当たります。
　この3つを組み合わせることにより、より強固な認証を実現できます。

><ネック>
>・ICカードを人に貸したり、盗まれたりすれば、本人以外の人も
>　簡単に出入りすることができてしまう。
><防止策>
>・バイオメトリクスによる認証。
>　またはICカードとの複合。

　バイオメトリクス認証とICカードとの併用は、SYAとSYHの組み合わ
　せによるものです。

>→ICカードを人に貸したり、盗まれたりすれば、本人以外の人も簡単に
>　出入りすることができてしまう。
>　＜人的防止策＞
>　　ICカードを他人に貸さない。
>　＜設備的防止策＞
>　　指紋や虹彩など、生体認証で本人を認証するシステムを導入する。

　防止策として、人的（管理的）、技術的（論理的）、物理的及び環境的
　観点から、アプローチしていくというのはいいですね。

■(3)感想・調べたこと

>ＩＣカードについて（http://www.ebc20.com/melma/v021_1.html）
>「ICカードを利用したセキュリティには、認証とデータの暗号化があります。
>しかし、ICカードから読み出したデータは盗聴・盗難に対して無防備です。
>ICカードは、アプリケーションに対する安全性を確保するための枠組みを
>提供するものであり、ICカードだけでシステム全体のセキュリティが
>確保できるわけではないので注意が必要です。」
>という部分がミソだと思いました。

　ICカードについて調べていただきましてありがとうございます。
　まったくその通りですね。

　セキュリティにおいても「銀の弾丸」はありませんので、十分にリスク分析を
　行って対策をする必要があります。

>となっていますが、実際は「鍵による施錠」だと思います。ネックは
>一緒ですね。
>アクセス状況の管理を行うにはもう少し運用を考慮する必要があり、
>原始的ではありますが、一番普及しているシステム（やりかた）だと
>思います。
>また、アクセス状況の管理を行うものであれば、「パスワード認証方
>式の電子施錠」もかなり普及していると思います。
>ベンダーの言いなりならず、セキュリティ対策は柔軟に考えないと、
>過剰な対策になりかねないと感じました。

　鍵による施錠も考えられますね。セキュリティ区画のレベルに応じて
　どのようにアクセスを管理するかによって方式も変わってきます。

　重要なことはセキュリティ区画の境界がきちんと明確に設定されていることです。
　その境界があいまいになっていると情報資産の重要度に応じた管理が
　できなくなってしまいます。

　また、物理環境的対策には大きな経済的負担を強いられる施策も考えられますので、
　リスク分析を適切に行い、重要度、費用対効果を含めた検討が必要になります。

>私の取引先の会社でも、年に数件ノートパソコンの盗難が発生しており、
>BIOSパスワードの設定、Windowsパスワードの設定が徹底されているが、
>それ以前に入室管理をきっちりと行うことが大事って事ですね。
>その取引先はIDカード式の従業員カードで事務所への入室を管理しているが、
>誰かがドアを開けたときに、簡単に入室できてしまう。
>これではセキュリティが機能していないってことですよね。

　人的（管理的）、技術的（論理的）、物理的及び環境的観点から、
　情報セキュリティの管理を行わないと脆弱性が残ってしまいます。

　特に「人」の管理は大切ですので、どのように対策をとればよいか考えてみましょう。

>ネットワークに入る時にパスワードが必要なように、ＩＣカードは物質
>としてのパスワードみたいな物だと思う。パスワードの管理と同じように、
>ＩＣカードでも運用管理方法の作成が必要だと思います。
>私の勤め先の開発棟は指紋認証で入室制限をしているが、自分には
>その棟に近づく事がないが、一度その仕組みを自分の目で見てみたいです。

　ＩＣカード利用に関する運用管理方法などのガイドラインを作成し、
　情報セキュリティ教育を定期的に実施するという管理方法も考えられます。

>指紋の認証については精度に疑問を持っていたが、NECのＩＣカードの
>製品では登録されていない人の指紋が認証されてしまうのは50万回に
>1回程度と知って、十分実用に耐えうる精度となってきているために企
>業への導入が進んでいることを納得した。

　今後もバイオメトリクス認証は普及していくものと考えられています。
　しかし、メリットだけではありませんので、情報セキュリティアドミニストレータを
　目指すあなたはしっかり、デメリットも考えておきましょう。

>バイオメトリクスによる認証を行なってもピギーバックなどの問題も
>出てくる。私が作業を行っている場所もICカードを導入しているが入
>口が通常の1枚ドアなのでピギーバックが出来てしまう。
>建物内で余り重要な場所でなければ良い(建物の入り口でチェックが出
>来ている為)のだが、重要な場所では二重扉にして一度に1人しか入れ
>ないようにするなどの手段が必要であろう。
>
>バイオメトリクスの情報として以下のところを見つけました。
>http://www.sw.nec.co.jp/lecture/word/biometrix/
>http://premium.nikkeibp.co.jp/security/special/biometrix_00.shtml
>http://www.atmarkit.co.jp/fsecurity/special/46biomet/biometrics01.html

　バイオメトリクス認証について調べていただきましてありがとうございました。

　バイオメトリクス認証の種類やメリット、デメリットについて
　詳しく説明されていますので、参考にされるといいと思います。

Information

このページの一番上へ

注意事項

リンクはご自由に！

sstokkun@yahoo.co.jp　