オフィスセキュリティの考え方

一口にオフィスセキュリティといっても、一体、どのようなリスクに対して、何を、どのように守るのか……。
まず初めに、これまで漠然と捉えられていた、このリスクと守るべき資産をしっかりと把握しておく必要があるでしょう。

オフィスに起こり得るリスク

まず、オフィスに起こり得るリスクをセキュリティの視点で理解するため、人的リスク、物的リスク、情報リスクの三点から考えてみたいと思います。

人的リスクとは、経営者を含む従業員の体にかかわる危険ということ。オフィス内の事故や災害による人的被害を別にすれば、ここで真っ先に挙げられるのは、オフィス内に不法に侵入してくる“招かれざる客” による社員への危害・暴行のリスクです。一昔前までは、社外の人間が自由に出入りできるオフィスというのは、珍しくありませんでした。隣の席の同僚が、自席で自分の全く知らない人と打ち合わせをしている。そんな風景も見受けられたものです。ただ、これでは、人的リスクに対して無防備であることはいうまでもありません。

昨今、オフィスへの入室は、非接触カードリーダーといった最新のセキュリティシステムによってガードされることが一般化してきており、中には生体認証を取り入れる企業も出てきました。しかし、これを過信することが、かえってオフィスにおける人的リスクを増加させてしまう面もあるのです。不法侵入者に一度オフィスに入られてしまうと、正社員に加え契約社員、アルバイトまたパートナー企業からの一定期間の常駐者などさまざま就業者が存在している現在のオフィスでは、その特定はこれまでより困難なものになります。

またネット社会に象徴されるように、メールやＷＥＢがビジネスツールの中心で他の社員の顔を知る必要がない業種では、侵入者はまさしく自由です。このような状態では経営者や従業員を守れているとはいい難いでしょう。立哨がいながら、気付いたら残業時間中にすぐそばまで部外者が入り込んでいた、トイレ等に侵入されたという事例も起こっています。

これらに対抗するために、建物のエントランスにフラッパーゲート（入退室管理システム）を設置したり、オフィスへの入室だけでなく退出も管理するということが行われているわけですが、アポイントの確認も満足にせずゲートを通してしまい、全く設置の意味をなさないようなところも見受けられます。

次に物的リスクですが、たとえば施設に対しては、内部からも外部からも被害を受ける可能性があります。内部的には建物やオフィスの破壊、ネットワーク等の破断、金品・貴重品・美術品の盗難など、外部的には建物外周部やインフラ導入部の破壊、社有車へのいたずらなどが挙げられます。内部被害については前出の不法侵入者によるものと、従業員以外でオフィスに入る作業関係者の突発的な犯行、残念ながら会社に対して悪意を持つ従業員などによるものがあります。外部被害は計画的な犯行だけでなく、予知不能な通りすがりによるものもあるでしょう。一九七〇年代のオフィスビルや九〇年代にいくつか発生した爆破テロ等では、物的被害以上に大きな人的被害をもたらしました。

情報リスクは、漏洩（盗難）とデータそのものの破壊が挙げられ、ご存知の通り企業価値そのものにもダイレクトに影響を及ぼします。ＮＰＯ日本ネットワークセキュリティ協会が発表した「情報セキュリティインシデントに関する調査報告書」によると二〇〇九年の業種別の個人情報漏洩件数は「金融業・保険業」がトップで、次いで「公務」、「教育、学習支援業」で全体の約七〇％でした。

二〇一〇年上半期のデータでも、この三業種で約六四％を占めています（図❶）。漏洩媒体・経路としては、紙ベースが圧倒的に多く、次いでＵＳＢ等可搬記憶媒体、電子メールという順になっています（図❷）。各企業でペーパーレス化、ペーパーストックレス化をはじめ、認証や監視のシステム、シンクライアント等の導入が進んでいるにもかかわらず、こうした実態となっているのはなぜでしょうか。

原因として挙げられているのは、「管理ミス」「誤操作」「紛失・置き忘れ」で八割以上に上ります。移転時の書類紛失や手違いでの流出、重要書類やデータ媒体、ＰＣを外部に置き忘れたことによる情報漏洩、郵便物の誤送やメールの誤送信等々。

また、統計データには反映されていませんが、オフィス外やエレベーター内での社員同士の立ち話から機密情報が漏れてしまうといったケースも考えられます。「盗難」や「不正な情報持ち出し」は、さほど高い割合ではありませんが、情報は人が扱う以上、どのような形態であれ悪意があれば可能であると認識しておく必要があります。

企業にとって守るべき経営資産とは

セキュリティを計画する上では、守るべき資産を特定する必要があります。当然のことですが、これが特定されていないと、適切なセキュリティレベルが維持されているかどうかの判断はできません。一般的には次のようなものが挙げられます。

• 人（経営者、従業員、来訪者）
• 情報（顧客情報、従業員情報、技術・経営・財務・営業等の企業情報）
• 施設（生産拠点、物流拠点、オフィス、インフラ、各種設置物）
• モノ（所有機器、金品・貴重品・美術品、社有車）
• 価値（企業価値・競争力、社会的信用）

これらに各社特有のものを加えたものが、自社の守るべき資産となります。サービス業等では、不特定多数の来客、テナントビルオーナー等は、入居されている各テナント等も加わるでしょう。人口に対して犯罪被害者数の割合が少ないといわれる日本ですが、具体的に守るべき資産を特定していくと、意外と危険にさらされているものがあることに気が付くと思います。しかも、これらは恒久的なものではなく時間とともに変化しますから、事あるごとに見直しをすべきだといえるでしょう。資産を特定できたら、できるだけリスクの発生確率と影響度を定量化して対応方針を決定します。

企業のオフィスセキュリティへの取り組み状況

オフィスセキュリティで一般的に想定されるのは「入退出管理」、「情報へのアクセス・取り扱い制限」、｢書類やＰＣの持ち出し制限」ですが、これらの施策はそれぞれ独立して行われていることが多いようです。その理由の一つが、とにかく物理的にオフィスや情報へのアクセスを制限すればＯＫという単純なアプローチにあります。

たとえば入退出管理では、「マシンルームの出入り口に生体認証システムを設置し、入室も退室も万全に管理している」として、システム担当者も施設担当者もこれで安心というところも少なくありません。しかし、もう少し俯瞰的に見てみると、マシンルーム付近へのアクセスが容易だったり、逆に人がめったに来ないような場所でありながら壁などは簡易な構造体で構成されていることがあります。

また、保守作業時などに外部パートナーが頻繁に出入りするという理由で、扉を開けっ放しにされているケースも見受けられます。ＰＣ等についても、金融機関のように持ち出しをさせないようバッグなどの私物は一切オフィス内に持ち込み禁止という職務に合わせた対応をしているところがある一方、持ち出し禁止にもかかわらずノート型ＰＣを盗難防止策もせず採用し、退社時にはデスク上に放置というあえて盗難を誘発するような運用をされているところもあります。これらは、個別の対応や物理的な面だけを考え、全体的な対応や運用面を考えていないオフィスでは多かれ少なかれ見られる例です。

弊社がかかわる多くの企業・団体の中でも、総合的に考えられた安全かつ投資効果の高いセキュリティ施策をとっているところは、まだまだ少ないと認識しています。

執筆

シービーアールイー株式会社
プロジェクトマネジメント部 ディレクター　田村 貴之