「ISMS規格をわかりやすく解読する」シリーズの16回目は、「A.11 物理的及び環境的セキュリティ」について見ていきたいと思います。

※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。

A.11.1セキュリティを保つべき領域

守るべき情報が保存されているエリアは、物理的にも守る必要があります。

代表的なものがサーバールームです。他にも、機密性の高い情報を扱うエリアは、保護されるべきです。そのような、流出すると危ない情報を扱うエリアを、まずは「特定」します。そして、それらのエリアに対して、適切な入退室管理を行います。

入退室管理には、IDカードを用いたものから、入退室管理記録表のような紙媒体を使ったものまで、様々考えられます。一律にこの入退室管理をしなければいけない！という基準があるわけではなく、そのエリアに保存されている情報の重要度を考えながら、その重要度にあった入退室管理を行うことが大切です。

セキュリティエリアを脅かすのは、人間の不正侵入だけではありません。地震や台風などの自然災害はもちろん、火災などといった、いつ発生するかわからない災害に備えることも大切です。

大規模なセキュリティエリアの場合は、その建物の屋根や壁を頑丈にしたり、防火扉を設置したりといったことも考えられます。もっとも、中小規模の会社であれば、ここまで大それた対策をする必要はありません。

また、細かいですが、宅配便の荷物受け取りの場所なども明確にしておくべきでしょう。

基本的には、宅配業者との荷物の引き渡しは、会社の玄関や受付の前などで行うべきです。しかし、荷物が大きく、宅配業者に中まで運んでもらう必要に迫られる場合もあります。そのような場合に備えて、「必要な場合は、従業員が宅配業者さんの横に付きそって搬入してもらう」などの対策を明記しておくと良いでしょう。

A.11.2装置

会社の情報を扱う装置として、主にコンピュータやサーバなどが考えられます。この節では、これらの装置についての管理策が書かれています。

まず基本的なこととして、装置が壊れないようにしないといけません。そのために、不安定な場所や、付近に燃えやすいものがある場所に設置するのはあまり好ましくありません。また、停電や故障から装置を守るために、定期的に保守点検をしたり、可用性が求められる機器にはUPSを設置したりすることも重要です。

次に、装置からの情報流出を防ぐ管理策です。基本的なことですが、装置の無断での社外持ち出しはよくありません。持ち出す場合は、許可を取るようにします。また、社内の無線LANには、社内の必要な機器以外は接続しないようにします。さらに、機器の廃棄時には、データの完全な消去や破壊をするように定めておくことも、流出対策として大切です。

最後に、クリアデスク、クリアスクリーンの考え方も大切にすべきです。クリアデスクとは、取り外し可能な記憶媒体や書類などを机の上に出しっぱなしにしないということ、クリアスクリーンとは、PCを利用しない時は、ロックをかけたりスクリーンセーバーを起動したりすることで、スクリーンからの情報流出を防ぐ対策のことです。身近でかつ簡単にできる対策なので、常に心がけるようにするとよいでしょう。