企業に求められる「セキュリティ対策」をサイバーセキュリティ、フィジカルセキュリティの両側面で考える
ビジネスにおけるIT活用が進む中、企業のネットワーク環境はよりインターネットにアクセスしやすくなりました。それに伴い、IT資産や情報資産を保護できるセキュリティ対策が求められています。多くの企業は何らかの対策をすでに行っていますが、まだ対策が十分に進んでいないのが「フィジカルセキュリティ」です。本シリーズでは、フィジカルセキュリティに関する課題とそれらを解決するソリューションを2回に分けて解説します。前編では、多くの日本企業が直面するフィジカルセキュリティの課題について考えてみます。
目次[非表示]
急拡大するフィジカルセキュリティ市場、2026年にはグローバルで6兆円規模に
コロナ禍によって、非接触・非対面による接客サービスや混雑状況を知らせるサービスの利用が浸透しつつあります。システム運用管理者の多くがリモート勤務になったことで、遠隔地からシステムを監視できる体制を整えた企業も多いでしょう。省人化や業務効率の向上を目的として、防犯カメラのクラウドサービス、クラウドストレージサービス、AIによる画像解析ソリューションなどを駆使した「現場のDX」へ注目が集まっています。
国内の主要なベンダーおよびキャリアは、防犯カメラやストレージのクラウドサービスを展開しており、「どこでも、いつでも、監視・運用できる」サービスが続々と登場しています。
こうした流れのなかでも、データセンターや重要インフラ設備などでは、フィジカルセキュリティの重要性が高まっています。サイバー攻撃の標的にされやすい、こうした施設では、以前よりもさらに厳重なセキュリティ対策が求められるようになりました。サイバーセキュリティ対策だけでなく、物理的なフィジカルセキュリティも同時並行で対策を講じる必要性があります。
フィジカルセキュリティとは、物理的脅威による情報資産の流出や業務停止などを防ぐセキュリティ対策を指します。フィジカルセキュリティ市場は急拡大しており、2026年にはグローバルで6兆円を超えるほど大きくなると見込まれています。
フィジカルセキュリティは、これまでビルやオフィスへの訪問者の管理が重視されてきました。しかし、2021年頃からはフィジカルセキュリティソリューションをつなぐインターネット基盤のセキュリティ対策が不十分であることが懸念されており、具体的には次の3つが主な課題となっています。
1. サイバーセキュリティ対策の未実装
2. リモート管理
3. レガシーなインフラ設備
例えば、VMSベンダーが発表したレポートでは、大企業が導入しているフィジカルセキュリティシステムにおいて、サイバーセキュリティ対策が施されているものは4割に満たないことが明らかになりました。
自社の“管理外”をつくサイバーセキュリティ攻撃
フィジカルセキュリティシステムを導入するにあたって、サイバーセキュリティ対策を行わねばならないのは大企業だけではありません。サイバー攻撃者には、最もセキュリティ対策が脆弱な企業を攻撃するという特徴があります。そして、複数の企業がネットワークでつながった現代では、そうした脆弱性によるセキュリティリスクが自社内にあるとは限りません。自社の取引先、さらにその取引先まで含めたサプライチェーン全体を見通したときに、十分なサイバーセキュリティ対策を施していない組織がターゲットとされる傾向にあります。
例えば、近年世界中で猛威を振るう「Emotet」を筆頭に、十分なセキュリティ対策を施していない企業を足掛かりとしてサプライチェーン全体に攻撃する動きが活発化しています。実際に、ある中小企業がEmotetに感染してデバイスやメールアドレスなどがサイバー攻撃に利用され、取引先企業が次々とEmotetに感染したケースもあります。セキュリティインシデントは、もはや自社の対応のみで完結する問題ではなくなりました。
こうした「サプライチェーン攻撃」に関しては政府も注意喚起を行っています。例えば2022年3月に経済産業省、総務省、厚生労働省、国土交通省、内閣官房内閣サイバーセキュリティセンター(NISC)が発表した「サイバーセキュリティ対策の強化について(注意喚起)においても、「サプライチェーン全体を俯瞰し、セキュリティリスクをコントロールできるように適切な対策を施すこと」が重要だと発信しています。同資料では、クリティカルなシステムへのサイバー攻撃の足掛かりになり得るものとして国外拠点を挙げており、国内拠点と同様のセキュリティ対策を実施するよう呼び掛けています。
安心・安全に運用可能なフィジカルセキュリティシステムを構築する(Security of Security)
従来のフィジカルセキュリティシステムは、社内で利用されている、ITシステムとは切り離されて、専用のネットワーク、専用機という閉じられた環境で運用されていることが多かったと思われます。“閉じられた環境”に構築されており、いわゆる境界型防御でシステム内部は守られており安全であると考えられてきました。
しかし、昨今では“開かれた”ネットワーク環境で管理・運用しています。オープンネットワークにおけるフィジカルセキュリティ対策では、インターネットへアクセスするモバイルデバイスを含めた多種多様なエンドポイントを管理しなければなりません。その際は、以下を満たすことが求められます。
1. PC、カメラに潜む脆弱性の検知
2. エンドポイントへの不正アクセスブロック
3. デバイス管理の可視化
4. ランサムウェアの内部拡散の防止
複数の対策を適切に組み合わせなければ、フィジカルネットワークにおけるセキュリティ対策は不十分なものとなってしまいます。
では、具体的にはどのような方法を取れば良いのでしょうか。この続きとして後編では、フィジカルセキュリティシステムのトップブランド企業Genetecが展開する統合セキュリティプラットフォーム「Genetec Security Center」を取り上げ、効果的なフィジカルセキュリティシステムをどのように構築すべきなのか解説します。
関連記事