業務改善ガイド
オフィスのセキュリティ対策を強化すべき理由とは? セキュリティ対策の具体例も解説
公開日時:2021.12.21 / 更新日時:2022.03.09
オフィスのセキュリティ対策を行わなければならない理由
オフィスのセキュリティ対策は具体的に何を守り、どのようなリスクを回避するために実施するのでしょうか。オフィスのセキュリティ対策の目的や、企業が対処すべきリスクの種類、セキュリティ対策が不十分だった場合に科される罰則などの観点から解説します。
情報資産を守る必要がある
オフィスセキュリティには「空間セキュリティ」と「情報セキュリティ」の2つがあり、両方とも自社の情報資産を守るために対策を実施する必要があります。オフィスには、訪問客の氏名や他社情報など外から入ってくる情報だけでなく、人によって中から外に持ち出される情報も多く存在します。自社の従業員や取引先、訪問業者、宅配業者などといったオフィスに訪れる人の動線から考える必要のあるセキュリティを「空間セキュリティ」と言います。
もう1つの「情報セキュリティ」はシステムへのアクセス制限などのセキュリティのことです。自社の機密情報や保有している顧客の個人情報などが外部に漏れたり、ウイルス感染による攻撃でデータが破損したりしないよう、必要な対策を実施します。
オフィスで発生する可能性のある3つのリスクへの対応のため
オフィスにはトラブルや災害、犯罪などによって発生しうるリスクがあり、セキュリティ対策を実施することでこれらのリスクが原因の被害を未然に防ぐことができます。このうち、代表的なリスクは以下の3つです。
人的リスク
従業員や経営者の「身体」に関するリスクを指す。従業員、経営者のケガや事故による後遺症などが想定される。
物的リスク
オフィス内にある「モノ」に関するリスクを指す。金銭的価値のあるモノの窃盗、重要機材や設備の破損といった被害が想定される。
情報リスク
情報漏えいやデータ流出に関するリスクを指す。部外者のパソコン画面の盗み見や、会議音声の盗聴、廃棄された書類の持ち帰りなどが想定される。
情報漏えいが起きた場合の罰則への対策のため
侵入者が行うパソコンの持ち去りや、自社システムからのデータ流出による情報漏えいは法によって罰せられる可能性もあります。個人情報や顧客情報を取り扱う企業は、罰則規定もある個人情報保護や不正アクセスに関する法律への対策を実施する必要があります。
企業の対策が必須な法律の1つ目は、2022年に施行される改正内容で情報漏えい時の報告義務などが追加された「個人情報保護法(個人情報の保護に関する法律)」です。個人情報保護法と改正内容についての詳細は【2022年施行】改正個人情報保護法のポイントと企業がすべき対応を解説をご覧ください。
2つ目は、2012に改正された「不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)」です。不正アクセス禁止法において罰則が科されているのは「不正アクセス行為」「不正アクセス行為を助長する行為」に加え「他人の識別符号を不正に取得・保管・入力要求する行為」3つで、具体的には以下の行為が該当します。
不正アクセス行為 (3年以下の懲役又は100万円以下の罰金) |
なりすまし行為 他人の識別符号(ID・パスワードなど)を無断で入力する行為 |
セキュリティ・ホール(安全対策上の不備)を攻撃する行為 攻撃用プログラムなどを用いて特殊なデータを入力した上で、アクセス制御機能を回避してコンピュータに侵入する行為 |
|
不正アクセス行為を助長する行為 (1年以下の懲役又は50万円以下の罰金) |
他人のID、パスワード等を無断で第三者に提供する行為 「□□のコンピュータは、ID○○、パスワード◎◎◎で利用可能になる」等、識別符号の情報を教える行為 |
他人の識別符号を不正に取得・保管・入力要求する行為 (1年以下の懲役又は50万円以下の罰金) |
他人の識別符号を不正に取得・保管・入力要求する行為 いわゆるフィッシング行為のこと。偽の電子メールを不特定多数に送信、受信者に偽のホームページにアクセスするよう仕向け、そのページ上でクレジットカード番号やID、パスワード等を入力させるなどして、不正に個人情報を入手する行為 |
オフィスのセキュリティ対策の具体例
オフィスのセキュリティ対策にまで十分手が回っていない企業が、最初の段階で実施すべき対策の具体例を解説します。
ゾーニング・レイアウトの見直し
オフィスのセキュリティ対策を実施する上でまず着手する必要がある「ゾーニング」と「レイアウトの見直し」について、それぞれの目的や内容を解説します。
・ゾーニング
自社のエリア(ゾーン)を必要なセキュリティごとに分けて、レベル別のセキュリティ対策を行うことです。各エリアに必要なセキュリティレベルの検討は、防犯システム導入や部屋の仕切りの工事を行う前に実施する必要があります。この手順を取らずにシステム導入や工事をしてしまうと、スムーズな入室ができなくなったり、セキュリティ対策が甘い箇所が出てきたりと、業務効率やセキュリティの低下につながる恐れがあります。
セキュリティレベルごとにゾーニングをする場合は、以下の例を参考にしてみましょう。
セキュリティレベルでゾーニングした例
セキュリティレベル0…ロビー、通用口、駐車場など誰でも入れるゾーン
セキュリティレベル1…応接室や会議室、トイレなど業者や来訪者も利用するゾーン
セキュリティレベル2…従業員が業務を行う部屋、レベル1よりセキュリティ対策が必要なゾーン
セキュリティレベル3…サーバー室や機密資料の保管庫、薬品や危険物の保管室、工場の製造現場など、従業員でも入室制限が必要。建物の中で最もセキュリティを高める必要があるエリア
プライバシー上入室制限が必要なゾーン…ロッカーや更衣室など、男女別の入室制限がいる
・レイアウトの見直し
オフィス内のレイアウト変更や見直しによって容易に部外者に社内情報が持ち出されないよう、セキュリティの不備を補うことも可能です。セキュリティの課題ごとに、以下の見直しを検討してみてください。
レイアウトの見直し例
①来訪者に執務室で扱う情報を見られないようにしたい
レイアウト例
②社内にうっかり部外者を侵入させないようにしたい
レイアウト例
③機密情報を取り扱う部屋に容易に侵入を許さないレイアウトにしたい
レイアウト例
入退室管理マニュアルを策定する
自社の従業員や来訪者のオフィスへの出入りについてのルールを定めた「入退室管理マニュアル」の策定も、セキュリティ対策の基本の1つです。入退室管理とは、オフィスや工場、倉庫などの建物の出入口や各エリアの人の出入りを管理することで行う防犯・セキュリティ対策のことを言います。自社の総務部門を中心に入退室管理に関するマニュアルを策定し、社内に周知したうえで、ルールに従った管理をルーティン化させましょう。
入退室管理マニュアルで定めるルールの例
- 従業員以外の来訪者は、通常応接エリアで対応し、執務エリアには入室させない
- 従業員以外の来訪者の入室が必要な場合は、前日までに入退室管理者に許可を取る
- 予約がない来訪が当日にあった場合は受付で判断せず入退室管理者の判断を仰ぐ
- 部屋の入退室記録(セキュリティシステムの入退室ログ)を管理する
- 入退室記録を定期的(半月~毎月 1 回)にチェックし、不審な記録が無いか確認する
- 不審な入退室記録が見つかった際の対応(不正入退室があったエリアの点検、鍵・入退室カード保持者への聞き取りなど)
- 不正入室が発覚した時の初動対応(アラートがあったときに入り口を閉鎖する、警備員に連絡するなど)
情報セキュリティのルールを策定する
企業は、年々増加するサイバー攻撃が原因の情報漏えいに備え、物理的なオフィスのセキュリティ対策と併用して情報セキュリティの対策も実施する必要があります。不審なメールの開封や、ウイルス感染したウェブサイトの閲覧から情報漏えいが起きるケースもあるため、基本的な情報セキュリティルールも入退室管理マニュアルと合わせて策定しておきましょう。
従業員向けの情報セキュリティのルールの例
- 受信した電子メールに添付されているファイルやリンクを安易にクリックしない
- 見知らぬ差出人のメールにはアクセスしない
- 業務と関係ないウェブサイトの閲覧を禁止する
- 会社のパソコンから業務と関係ないウェブサイトへの書き込みを禁止する
物理的環境への対策
入退室管理システムや防犯カメラ導入などの物理的なセキュリティ対策が「物理的環境への対策」に相当します。システムやカメラ導入の他にも、施錠・解錠の履歴管理を備えた収納システムを使うなどの「技術的対策」、社員教育、ルール策定など前の章で解説した「人的対策」などのセキュリティ対策があります。ここでは物理的環境への対策の具体例を紹介します。
入退室管理システムの導入
「物理的環境への対策」として代表的な対策の1つが入退室管理システムの導入です。入退室管理システムは、入退室記録をシステム上に記録したり、設定にもとづき自動で入退室制限を行ったりする機能があります。
入退室管理システムでできるセキュリティ対策
入退室管理システムの活用で、社外の侵入者だけでなく、内部の人間による情報漏えい防止対策も可能です。
具体的には、来訪者には一部エリアにしか入れない入退室用のカードを配布し、入退室ログを取り、情報の持ち出し防止対策をします。社内からの情報漏えいに対しては、従業員用の入退室カードで入室できる執務室を制限する、セキュリティレベルの高い部屋には一定の役職以上しか入れないように設定をするなどの対策を行います。
顔認証、指紋認証などの生体認証
入退室カードによって重要エリアの入室制限をする以外にも、顔認証や指紋認証などの生体認証を用いて、セキュリティレベルを上げる方法もあります。従業員が使うエリアであっても通常業務を行う執務室や一般の会議室、食堂などのエリアは入退室カードで入退室を行い、セキュリティレベルが高いエリアは、カードだけでは入室できない生体認証を採用するなどの方法です。
生体認証による入室制限を設けておけば、部外者にカードを盗まれたり、従業員同士でカードを使いまわしたり、という事態が起きても重要エリアには容易に侵入できなくなります。
パスワード管理
入退室カードの管理に加え、重要エリアへの入室では指定のパスワードを入力して入退室を管理する方法もあります。セキュリティレベルの高い特定のエリアやドアだけは、関係部署の従業員や幹部など一部の従業員にしか共有されていないパスワードを入力しなければ入室できない制限を付けます。基本的には、一般エリアに入室する入退室カードと併用してパスワード管理を行います。
エリア別の入室制限の方法として効果的ですが、パスワードを忘れてしまった場合の対応に都度連絡の手間がかかる面もあります。
入退室管理システムの中には、侵入者に脅された場合には、特定のパスワードを入力して「脅されて入室をしている」とシステムを介して伝え、警告発報ができる機能を備えているタイプもあります。
防犯カメラの導入
防犯のためにカメラを設置する必要がある場所は、受付付近やエントランスなど人の出入りが多い場所から、セキュリティレベルが高い場所まで多岐に渡ります。防犯カメラの導入はセキュリティ対策の面からは以下の効果が期待できます。
- 人の入退室を監視カメラで記録でき、犯罪が起きた後の特定に役立つ
- 防犯カメラが見える場所にあることで侵入の抑止効果がある
- AIカメラの場合、画像解析で通過人数を自動検出し、共連れがあった場合にアラートを出すことも可能
防犯カメラの導入は単独でもセキュリティ効果が見込めますが、入退室管理システムと組み合わせることでさらに効果アップが期待できます。特に、インターネットに接続できるネットワークカメラと入退室管理システムを連動させることで防犯対策の強化に役立ちます。
まとめ
オフィスのセキュリティ対策は、人的リスク、物的リスク、情報リスクなどの各種リスクに備え、企業の資産を守るために実施します。対策が不十分な企業は、まずはセキュリティレベルごとにオフィス内のエリアを分類し、ゾーニングやレイアウトの変更を検討しましょう。
物理的に社内外の人間から情報を持ち出されないようにするために実施する「物理的環境への対策」の代表格が入退室管理システムの導入です。入退室管理システムは、入室制限のためのパスワード設定や、生体認証の採用で特定エリアのセキュリティレベルをさらに高めることもできます。入退室管理システムを柱に、オフィスのセキュリティ強化を検討するなら、自社の課題やシーンにあったセキュリティ対策を提案するためのノウハウを持つアマノの入退室管理サービスがおすすめです。
関連記事:
オフィスのセキュリティ管理ならアマノにおまかせ!
-
業務改善ガイド 2021.08.31
-
業務改善ガイド 2021.08.31
-
業務改善ガイド 2021.01.27