情報処理安全確保支援士(情報セキュリティスペシャリスト)試験に合格するためのサイトです。
過去問を多数引用しながら、基礎知識をしっかり学んでもらうように作ってあります。
また、情報処理安全確保支援士(情報セキュリティスペシャリスト)を楽しく学べるように工夫したいと思います。
カテゴリ:

12.物理的セキュリティ

物理的セキュリティ対策の例を紹介します。皆さんの会社で行われている内容を照らし合わせてもらうことで、理解が深まると思います。
監視カメラ
 オフィスへの入口に監視カメラを設置することで、不正な第三者への入室記録を取ります。データセンターなどの機密性の高いサーバやデータがある箇所では、入口だけでなく、部屋の各箇所に監視カメラが設置されます。
施錠管理
 施錠管理として、オフィスや部屋の施錠をします。加えて、機密文書やパソコンが保管されている書庫や机の引出しの施錠も必要です。
入退室管理
 多くの企業では、ICカードによる入退室管理が行われ、許可された人しか入室できません。また、ICカードの入退室記録はログとして保存され、盗難などの事件発生時の分析に役立ちます。
クリアデスク
 クリア(clear)とは、「消す」や「きれいにする」という意味です。クリアデスクとは、書類やノートPCを机の上に出したままにせず,整理整頓をすることです。必要なものだけを机に出したり、帰宅時には書庫に施錠保管することで、情報漏えいのリスクを減らすことができます。
過去問(H28春G午前問2)では、「情報セキュリティ対策のクリアデスクに該当するもの」として、「帰宅時,書類やノートPCを机の上に出したままにせず,施錠できる机の引出しなどに保管する」とあります。
クリアスクリーン
 クリアスクリーンとは、PCの画面(screen)が、スクリーンセーバなどにより自動でロックされる仕組みです。離席時においても、第三者によるPCの不正利用を防ぐことができます。
物理的セキュリティ対策_情報セキュリティスぺシャリスト試験
これらの内容に関して、過去問(H20SU午後Ⅰ問3)にて管理規程がまとめられているので紹介する。
1.システム構成
 入退室カード、入退室カード読取装置、指紋認証装置(ドア用)、指紋登録装置、入退室管理サーバ、電気錠、受付電話、UPSから構成される。
 指紋認証装置は、入退室カード読取装置と並べて、室外(入室用)と室内(退室用)に設置する。
2.指紋登録
 指紋登録装置を用いて、任意の2指紋を登録する。
3.登録された指紋データの削除
 異動や退職に連動して削除される
4.電気錠の開閉
 指紋が認証された場合に解錠し、ドアが閉まったら施錠する。解錠後にドアが開閉されなかった場合は、一定時間後に自動的に施錠される。
5.入退室管理サーバのログ
 入退室した個人を特定できるログを、所定期間保存する。
6.来訪者対応
 受付電話によって室内にいる社員が解錠する。対応者は、訪来者の入室から退室までの間付き添う。
7.監視カメラとの連携
 入退室画像を記録し、所定期間保存する。データセンタにおいては、室内の画像も記録し、所定期間保存する。
(H20SU午後Ⅰ問3「図2 Sシステムの概要」より引用)

先ほど紹介した物理セキュリティ対策は、セキュリティの3要素の中で、「機密性」や「完全性」を確保するものが中心でした。
ここでは、3要素の一つである「可用性」を確保するための物理的セキュリティ対策について、シラバスに掲載されているキーワードから紹介します。
UPS
 UPS(Uninterruptible Power System)は、無停電電源装置のことです。過去問(H26年春AP午前問57)では,UPSの説明として,「電源の瞬断時に電力を供給したり,停電時にシステムを終了させるのに必要な時間の電力を供給したりすることを目的とした装置」と述べられています。
情報セキュリティスペシャリスト試験を目指す女性SE


CVCFという言葉もありますよね。
違いなんですか?
以下に解説をしています。
http://sm.seeeko.com/archives/53643199.html

耐震耐火設備
 耐震耐火設備とは、言葉の通り、地震や火災に耐える設備です。データセンターでは、建物そのものが耐震耐火構造になっていることが多いでしょう。
二重化技術
 二重化技術には、ミラーリングを含むRAID(3.5章の「テクノロジ」の章で解説)や、負荷分散の技術などがあります。
遠隔バックアップ
 データの改ざんや破壊からの早期復旧に、バックアップは役立ちます。しかし、自然災害などによるデータの破壊の場合には、バックアップデータごと破壊される可能性があります。そこで、遠隔地バックアップが有効な対策になります。情報セキュリティスペシャリスト試験を目指す女性SE 
 

これらの内容は、RASやRASISにという考え方に通じます。
※RASはReliability(信頼性),Availability(可用性),Serviceability(保守性)の三つの頭文字を取ったもの。RASISは,これにIntegrity(完全性)とSecurity(機密性)を加えたもの。

ロンドンオリンピックでは、たくさんの攻撃を受け、セキュリティ対策が重要課題だった大会でした。オリンピックとしては初めてSOCが組織されたと聞きました。
以下に詳細があります。
http://www.ipa.go.jp/files/000039004.pdf

この中で、「2012年ロンドン大会は、特に安全性が高くセキュリティが強化された大会であったとされていますが、大きな挑戦でもありました。(中略)この治安活動には、5万人を超える人員が動員されました。警察からは約1万5千人、軍隊からは1万8千人が参加し、5億ポンドを優に超える予算が投入されたのです。」とあります。

当然、サイバー対策として技術的な人材も多数参加したことでしょう。でも、それよりも圧倒的に多いのが、ここにあるように警備員や警察官です。物理的セキュリティの大切さが分かります。

サイバー攻撃を恐れるならが、ITによる制御をやめればいいだけです。昔はITがなくてもオリンピックを開催しました。しかし、物理的セキュリティはやめることができない。絶対必要なものである。
そういう意味では、物理的セキュリティはもっとも原点というべきものなのかもしれない。

11d7b807

企業の入退室管理って結構がさつですよね?
超えらい人は「ごくろう」の一言で入室しています。



入退室管理として、入口で守衛がいるところが多い。基本的には、社員を示す社員証を提示する必要があるが、超えらい人は「ごくろう」の一言で入室している場合がある。その人の顔を守衛が覚えている場合もあるが、大人数がいるビルの場合、顔を覚えるのはほぼ不可能である。ハッカーはこのことを利用し、みだしなみを整えて堂々と入室することがあるようだ。

とはいえ、きちんとしている企業も多い。
企業では、セキュリティ区画を定め、セキュリティ区画ごとにルールを分けている。
そうすることで、効率的なセキュリティ対策が行える。
過去問では、以下のようなセキュリティ区画を設け、ルールを決める。
オフィスを次の3つの区画に分類して管理する。
 一般区画 社員以外の者であっても特別な制限無しに入室可能な区画
 業務区画 社員及び社員の許可を得た者だけが入室可能な区画
 アクセス制御区画 区画の管理責任者によって許可を得た者だけが入室可能で、入室者とその入室履歴を追跡できる区画

(中略)

 セキュリティ区画の管理規定    
区画名 管理規定
一般区画 社員は、常に社員証を着用する。
 業務区画(1)一般区画とは堅固な隔壁によって区切り、常に施錠する。
(2)社員は、常に社員証を着用する。
(3)社員以外の者が入室するためには、事前に入室の申請を行ったうえで、総務課長の承認を得る必要がある。
アクセス制御区画(1)一般区画とは隣接させない。 
(2)業務区画とは堅固な隔壁によって区切り、常に施錠する。
(3)入室の履歴を自動的に記録する
(4)社員は、常に社員証を着用する。         
(H15SU午後1問2より引用)

15863853このビルに不審者が侵入したとのこと。
さて、誰だ!

もしかすると、後ろに座っている先輩の後藤さんが、ハッカー?最近、やたら明るいから、彼女ができたんだとおもっていたけど、もしかするとハッカーから買収されてたんまりお金をもらったとか。

(掃除のおばさん)
すいません、掃除させてもらっています。
足元のゴミよろしいでしょうか?

もしかして、掃除のおばさんに変装?

(宅配会社)
荷物が届きました。ちょっと荷物が大きいので、お部屋まで運びましょうか?

あー、絶対この人がハッカーだわ
「いえ、玄関で大丈夫です。すぐに取りに行きます。」

(コピー機の修理)
すいませーん。先ほどお電話いただいたコピーの修理に参りました。
壊れているコピー機はどちらでしょうか?

もしかして、修理の人に変装?
みんな笑顔だからどの人が変装しているか分からない。

入退室管理をしっかりするのは当然だけど、外部の人を完全にシャットアウトはできない。そのあたりも含めて、きちんとした入退室管理を考えなくてはいけません。

X部長:ログに記録が残っていても,個人情報が漏えいしてからでは遅いのではないか。V社社員が単独でサーバ室に入室して特権権限を行使する場合には,例えば,媒体などによる個人情報の漏えいを防ぐための③物理的な管理策も必要になるね。早速,検討してもらえないだろうか。

設問4 本文中の下線③の物理的な管理策を,  30字以内で述べよ。 (H19秋SU午後2問2)
この問題の解答は「V社の社員の行動を監視カメラで監視する」。
監視カメラは入退室管理の大事な対策の一つ。
警察庁の「不正アクセス行為対策等実体調査(平成22年2月)」によると、以下のデータがある。
無題

耐タンパ性という言葉の意味を理解しよう。タンパ(tamper)とは、改ざんするという意味。
よって、改ざんに対する耐性のこと。
触った瞬間に爆発して自分自身を壊してしまうのも一つの耐タンパ性になる。
では、問題を解こう。
(G)記録を“確定"登録する際は,国際標準に準拠した保健医療福祉分野向けのPKI (以下,  HPKIという)において発行された作成責任者の電子証明書を利用したディジタル署名を付与すること。このディジタル署名には,鍵生成機能と署名機能付きのICカードを用いること。①ディジタル署名に用いる秘密鍵が, ICカードの外部に読み出されないこと。

設問1 電子カルテの保存について,(1),  (2)に答えよ。
(1)表1中の下線①について,秘密鍵がICカードの外部に読み出された場合に起こり得る,医療情報システムの安全管理に対する侵害行為は何か。25字以内で具体的に述べよ。
(2)表1中の下線①を実現するために,ICカードが備えるべき性質は何か。8字以内で述べよ。
(H23秋SC午後2問1)
正解は以下である。
設問1 (1) 作成責任者以外の者による電子カルテへの署名
 (2) 耐タンパ性

もう一問。
問15 ICカードの耐タンパ性を高める対策はどれか。
ア ICカードとICカードリーダとが非接触の状態で利用者を認証して、利用者の利便性を高めるようにする。
イ 故障に備えてあらかじめ作成した予備のICカードを保管し、故障時に直に予備カードに交換して利用者がICカードを使い続けられるようにする。
ウ 信号の読出し用プローブの取付けを検出するとICチップ内の保存情報を消去する回路を設けて、ICチップ内の情報を容易に解析できないようにする。
エ 退職者のICカードは業務システム側で利用を停止して、ほかの利用者が使用できないようにする。
(H23SC春午前2)
正解はウ

8412ebbb施設の入退室管理として、管理簿を書くところがありますよね。
あれって本当に意味があるでしょうか?入口が一つしかなく、守衛さんが一人一人の身分をチェックしている場合、入退室管理簿は意味があると思う。でもそうでない場合、悪意がある人は管理簿に記入せずに出入りすると思う。または、別の出入り口から出入りするのでは?


そうだね。機能しているところと、機能していないところがあることは事実。
入り口がそこしかなく、警備員などが全員の入退室を管理している場合には効果がある。管理簿だけおいてあって「入退室や持ち出しの際は記入してください。」というものであれば、意味はあまりない。入口で必ず守衛さんがチェックをし、外部の人であればそうと分かるようなバッチ、ICカード等をよく見える場所に身に付けてもらうほうがよい。外部の人用のICカードでは、オープンにしてよい特定の場所しか開かない設定を入れておくと便利である。
15863853
でも、うそを書いたら?





確かに。うそを書かれる場合もある。来客の場合、訪問先を記載してもらい、訪問者に連絡を取る。
「XX社のAさんが来られました」などと。社員が入り口まで訪問者を迎え、訪問者が一人で行動できないようにすれば、セキュリティは保たれる。このようにしていない会社も多いのが現実だろう。
それと、区域のレベルがあって、階段やフロアは自由に入られても、そこから先のオフィスに入られなければまあ良いだろうという考えであれば、それほど厳密にしなくてもいいだろう。H18年ころのSUの問題に、これらの問題があったので、後ほど紹介したい。

データセンターにおいて、免震DCと耐震DCの2つがある。免震>耐震という構造になっており、ユーザにとっては免震が望まれるが、現状は耐震がほとんどである。
そもそも、免震と耐震はどう違うのか。
c2f058cb
以前に「耐震偽装」という言葉を耳にしましたね。
どう違うのでしょうか。




免震
「地震を免れる」という意味であり、地震による影響を受けにくい。建築構造がしっかりしている。建物と地面の間にゴムなどを入れて地面のゆれを吸収するので、ゆれにくい。当然、コストは高い。

耐震
「地震に耐える」という意味であり、地震がきてもふんばれる。建築構造的には、地震があっても倒れないように柱を補強するなどを行っている。ただし、地震の影響を受けるので、建物内の什器が倒れるなどの危険がある。

山田真哉さんの本には「食い逃げされてもバイトは雇うな」とあるが、食い逃げ対策としてのセキュリティも必要かと思います。
食い逃げ対策の例として、食券があります。お金を払わない人には食事を提供しないので、これは一つの対策ですね。それ以外には、入り口に店員を常駐させることもそうである。レジは入口にあり、受付と退室を管理している場合が多い。また、入店の際に不審な人間かをチェックするのも大事かと思う。つまり、高級店でのノータイお断りである。

このページのトップヘ