|
午後対策 | 戻る
特
訓 PDCA式で学ぼう情報セキュリティ午後対策です。日頃の出来事を題材に実践的な能力を養います。何を調べても結構ですのでご自分の力でぜひ解いてみてください。リンク切れがありましたら、ご連絡いただけるとありがたいです。
|
 |
|
問 題 |
ISMS認証基準(Ver.2.0)について
http://www.isms.jipdec.or.jp/v2/v2.html
ISMS認証基準(Ver.2.0) 7.物理的及び環境的セキュリティでは、
7.(1)2 で物理的入退管理策が挙げられており、「許可された者だけにアクセスを許すことを
確実にするために、適切な入退管理策によってセキュリティの保たれた領域を保護すること」とある。
オフィスの入退室における管理策について下記について答えよ。
(1)オフィスの入口で行われている管理方法を挙げよ。
(2)感想・調べたこと
|
|
解 説 |
(1)オフィスの入口で行われている管理方法を挙げよ。
>・守衛さんによるチェック
>・ICカード等による入退出チェック
>・オフィス受付で有人により、訪問者に対する身元確認(識別・認証)を行う。
>・セキュリティIDカードを利用しての識別・認証を行う。
>・指紋照合や眼球照合といったバイオメトリクス認証を利用する。
管理方法ですので、物理的対策、技術的対策、運用管理的対策の観点から考えてみましょう。
各1点ずつ補足しておきます。
・物理的対策
外部入出者と内部入出者の出入口の分離
・技術的対策
監視カメラの設置
・運用管理的対策
担当者が入室から退室まで付き添う
(2)感想・調べたこと
>私が仕事をしているところでは以下のような管理を行っています。
> ●ビルの入り口
> ◆守衛さん(ガードマン)のチェック
> <入館時>
> ・身分証明書があれば、守衛さんの目確認で入館。
> ・身分証明書がなく、関連会社(社内含)であれば、自社(自分)の
> 身分証明書を守衛さんが目確認でチェックし、入館時間、氏名、
> 会社名、担当者名を記述して外注(社内)用バッチを貰って入館。
> ・身分証明書がなく、他社であれば、入館時間、氏名、会社名、
> 担当者名を記述し、社外用バッチを貰い、担当者が迎えに
> 行って同伴して入館。
> <退館時>
> ・身分証明書があれば、守衛さんの目確認で退館。
> ・身分証明書がない場合は退館時間を記述し、バッチを返して退館。
> 社外の場合は担当者が出口まで同伴する。
> ●各フロアの入り口
> ◆無線カードによる入退出チェック
> ・各フロアの入り口は施錠されていて、無線(IC)カードにて開錠する。
> ※関係ないフロアは開錠できないシステムになっている。
> 詳細は分からないが入退出のログは残されていると思います。
> ・カードがない人や開錠できない場合は外に内線電話があり、
> 担当者を呼び出して開けてもらう。
> ※でも、ほとんどの人がピギーバックである。
> 入館時にチェックが入っているのでほぼ大丈夫ではあるが
> SSではここら辺が問題になるであろう。
> ●建物内
> ◆名札の着用
ありがとうございます。ピギーバックを防止するにはどうすれば良いでしょうか?
入退室管理としてアクセス者の種別を明確化することが重要となってきます。
会社として関与する人は正社員だけでなく、アウトソーシング先、請負契約先、派遣社員、
アルバイトなど全て含みます。
それぞれどのようなアクセス権限を付与するか明確にしておき、許可された者だけに
アクセスを許すことを確実にする必要があります。
> (1)で挙げた方法は、主に人を対象とする場合で、
> 外部から危険物等を持ち込む際のリスクに備えた
> 対応管理策としては、下記が考えられる。
> ・人による手荷物検査
> ・機器(X線検査、金属探知機等)を利用した検査
> ・動物(犬、鳥等)を利用した嗅覚による検査
なぜ普通のオフィスでは、このような入退室管理をしていないか考えてみましょう。
(リスク分析におけるセーフガード選択の観点から)
|
|
注意事項
サイト内の内容は一部、もしくは全文の無断転載を禁止します。
また、サイト内の内容を参考にする場合は各自の良識と責任のもとでお願いします。
サイト内の内容を利用する上で生じたトラブルは、当方では一切の責任を負いません。
|
sstokkun@yahoo.co.jp
