掟破りのお金をかけない共連れ防止の運用導入法
まず最初に(超重要)
これはネタです。あまりに統制の効かない現場に怒り心頭になったので思いついた末端の妄想です。
この内容を真に受けて実行してとんでもない目にあったとしても、筆者は責任を取りようが無いので前もってご了承お願いします。
共連れとは
一人のID認証で解錠した扉を複数の者が通過してしまうことを共連れといいます。入退室の記録が正確に取れないため、運用上の教育、または物理的に防止する必要があります。
類似した例を挙げるとキセル乗車みたいなものです。誰かが定期券でピッと認証して自動改札機の扉が空いた時、ピッタリくっ付いて入場したり出場したりするアレです。大抵はセンサーに引っかかるなり、駅員に見咎められて御用になる訳ですが、時には逃走を図る筋金入りもいますよね。
最近は珍しくない入退室管理システム
今時は多くの会社、或いはマンションのような集合住宅などでもIDカードの読み取り機が扉傍に備え付けられていて認証しないと扉が開錠されない仕組みが導入されています。ただ、この扉の仕組みは改札に設置されているものよりチャチな入退室管理システムが殆どです。ピッやって開錠されたら後は普通の扉、普通の自動ドアと同じです。
改札より緩い遥かに仕組みで危険が一杯
でも、改札ほどシビアに錠が締まりません。特に自動ドア型が物凄い勢いで開閉したりしたら、危険極まりない。挟まってしまったら命の危機すらありえます。結果として余裕を以て共連れされてしまう状況が生まれがちです。折角安くないお金を使って導入した仕組みもそのままだと、本来の目的を達成出来ません。
共連れによる物理侵入というのは実は割と頻発
こういう緩めの入退室システムを導入している場合、それだけで安心しているとソーシャルエンジニアリングの餌食です。
ソーシャルエンジニアリングの例として、ごみ箱あさり、ショルダハッキング、電話でのなりすましなどがよく挙げられますが、共連れによる物理侵入というのは実は割と頻発しています。そんな馬鹿な?!と普通は思いますよね。泥棒が堂々と社員や住民のふりをして入ってくる訳ですから大胆不敵です。見つかったら大変なことになるから、そうそうやらないと思いがちです。
ソーシャルエンジニアリングとは、ネットワークに侵入するために必要となるパスワードなどの重要な情報を、情報通信技術を使用せずに盗み出す方法です。その多くは人間の心理的な隙や行動のミスにつけ込むものです。
しかし、逆に考えてみましょう。
- 皆が絶対やらないだろうと思い込んでいる盲点はつけこみやすい
- 上手くいったら、他の婉曲的な方法よりコアな情報が入手出来て凄く美味しい
- 緩い会社の場合、何度侵入してもバレないから定期的に最新の情報を入手できる
犯罪では無いですが、本来マンション住人しか入れないエリアに宗教勧誘の人やセールの人が入ってきたりしているの別に珍しくないでしょう。あれと変わりません。その会社の社風に合わせた身なりをしていれば、外見で判別することは困難です。
共連れ対策としてよくあるのは
よくある対応としては、以下のようなものがあります。それぞれ弱点があります。
アンチパスバック
要は入室記録と退室記録を一致させないと出られない仕組みです。比較的導入コストは安価です。
入室する際のID認証の記録がないと退室時の認証を許可しない仕組みをアンチパスバックといいます。主に共連れを防止するために設定します。アンチパスバックを設定する場合は、入室側のリーダーと退室側のリーダーが必ず必要となります。
ただ、行きも帰りも誰か正当な認証がされた時に共連れすれば余裕で通過出来ちゃいます。
物理的なセキュアゲートの導入
物理的に同時に複数人入れない扉を設置する方法です。要は駅の改札に準じるものを思い浮かべてもらえばOKです。駅の改札と違って、強引に入り込んだ場合明らかに不審者です。先行して入場した人やその他の社員に誰何されますから以降の侵入は非常に困難になります。
ただし、導入コストは結構洒落にならないです。また、物理的に設置空間を広めに確保する必要があるものが多いです。特に出入り口が複数あるような雑居ビルなどへの導入は難しいです。
入退室システム+カメラ通知システム
入退室システムで認証が行われた時に、同時にカメラで認証を行った対象者のみが入室することを許可するシステムです。共連れを検知した際、サイレンを鳴らしたり警備システムに連動させることが出来ます。
セキュアゲート程高くはありませんが、結構いいお値段がします。警備と繋がる運用の場合、警備者がすぐに駆け付けられる体制を整える必要があり運用コストが跳ね上がる可能性があります。また、警報にした場合センシングの調整が難しく、誤動作すると五月蠅いですし、甘くすると共連れされてしまいます。
扉脇に警備員を常駐させる
それ入退室システム無くても良くありません?まあ二重管理によって強化する考えもありますが、やはり運用コストが高くなります。
そんな仕組みを入れなくても
要は以下の要件が守られれば良いのです。
- 認証された一人以外は入らない
- もし、共連れしようとする人がいたら先行者が誰何する
それは現実的でしょうか?
「何だ。簡単じゃん。」と思ったあなた。あなたが凄くレベルが高いセキュリティ教育を受けた社員ばかりの会社に勤めているならおっしゃる通り。超簡単です。でも、結構これが非現実的になってしまう会社が多いと思います。
非現実的だと断ずる理由
以下のプロセスで社員自身が運用を破壊します。
- 安い認証システムは一旦認証をして扉を閉じたら次に認証して開錠まで時間がかかる
- 「急いで次の仕事をしなければいけない!1分1秒でも惜しい!!」「室内や家にIDカードを忘れてしまっただけ」
- 自分は社員だし、他の社員と顔見知りだから共連れしても良いだろう
- 共連れなんか知ったことか!
- 先行者も同じ程度の認識だから共連れを誰何しない
社員自身がしっかりしたセキュリティ意識があり、共連れは業務継続より優先すべきであるという認識を持っているならそんなことは起きません。でも、本来率先して守るべき幹部社員が率先して共連れしそうですね。もし、そんなことをしたら示しがつかないから、皆それに倣ってせっかくのシステムが台無しです。
掟破りのお金をかけない共連れ防止の運用導入法とは
そこでようやく本題です。簡単な方法がありますよ。
そもそも何で会社は共連れ禁止に必死になるのか?
大抵の会社がISMS認証やプライバシーマークを受けようとしたりして共連れ禁止を推進します。これは、顧客要求に端を発する場合が多いです。
「おたくの会社に仕事頼みたいけど、セキュリティ大丈夫?不安なところに発注するのは勘弁な」と言われたから必死になって要件を整えようとするのです。「セキュリティなんかどうでもいいよ。うぜぇ客だな」というのが本音でも、商売のためですからそこは「はい!喜んで!!導入致します!」と尻尾をブンブン振るのが企業というものです。
超薄っぺらいですが、それで利益が出るなら仕方ないですよね。
これを逆手に取ります
外圧によって導入するのであれば、運用にも外圧を使えば良いのです。
それなりにコネクションは必要ですが、導入を要求した顧客に共連れの危険性を強調して伝え、単なる認証取得だけでなく監査に参加してもらう流れに誘導します。本当にセキュリティの確実性を要求してくる顧客であれば、無碍には断る可能性は低いでしょう。
更にその監査の際共連れにより顧客が離れるリスクを自社の幹部への教育を徹底し、わざと共連れの現場を見せます。出来れば共連れの発生状況を一定期間記録した計測数値の明確な資料があると尚効果的です。
可能であれば顧客から直接自社の幹部に「本当に共連れは無いでしょうね」と言わせるような流れを作れると理想的です。
内弁慶で外には滅法弱い日本企業の経営者は、「共連れをしたらクビ!」くらいの勢いで運用を強制してくれるでしょう。もしかすると行き過ぎで業務が本当に回らなくなる可能性もあるので、そこは別途調整が必要です。
まあ、ネタですけど
これに悩んでるセキュリティ管理者って意外と多いんじゃないですか?バレたら自分のクビが飛んだり、会社に居づらくなるかもしれませんが、後先考えずやっちまいたくなりませんか?まあネタで妄想なんで、もっとマシな方法があるのかもしれませんけどね。