1. HOME
  2. ブログ
  3. 事業継続に重要な物理的セキュリティ対策のポイント サイバーセキュリティ対策実践講座 第3回

事業継続に重要な物理的セキュリティ対策のポイント サイバーセキュリティ対策実践講座 第3回

この1年間のISMS審査員としての活動を振り返ってみると、最も多く「改善の機会」(要求事項は満たしているが、マネジメントシステムの有効性のさらなる向上につながる事項)として、受審組織に提示していたのは意外にも「物理的管理策」で、ネットワーク機器やケーブル配線の管理状態に関するものでした。

少し厳しい言い方かも知れませんが、事業を継続していくために、ネットワーク通信が必要不可欠になっているにも関わらず、一度機器を設置したら後は何もせず当たり前に使えることが前提となっていました。ある日、急にネットワークが使えなくなる(営業活動の停止)リスクが想定されていないケースがほとんどでした。今年1月にも配線器具による火災増加などのニュースが報道されていましたが、適切に物理的対策を施しておくことは、震災などの災害発生時にも被害拡大を防ぐものとなります。今回は、実際に審査で確認した状態に対して、どのように物理的対策しておくべきなのか、該当するISMS情報セキュリティ管理策の紹介と、その対策ポイントを解説します。

参考:テレワーク普及が背景? 配線器具の火災事故が増加、5年で2倍に(2024年1月25日)

物理的、及び環境的脅威からの保護

自然災害及びその他の意図的又は意図的でない、インフラストラクチャに対する物理的脅威などの物理的及び環境的脅威に対する保護を設計し、実装しなければならない。

審査で確認した状況

内部規定に従い、区画制限された場所でネットワーク機器などをメタルラックに設置していましたが、ラックのキャスター(タイヤ)が固定されておらず、軽量なことから、人の接触や地震による転倒リスクが想定される状態でした。また、空調がなく、管理者の交代も続いていたことから、ネットワーク機器や無停電装置(UPS)の本体には長年の埃や塵ゴミが堆積していました。ラック周囲には不要物や段ボールなどの可燃物が多く置かれており、機器故障や火災発生にも発展する可能性が想定される状態でした。

日常対応ポイント(例)

耐震や排熱機能が備わったネットワーク機器収納用の専用ラックを設置することが望ましいですが、高額なこともあり強く推奨はできません。設置場所の環境にもよりますが、現在のラックに対して100円ショップでも購入できる耐震パッドやキャスターストッパーを付けたり、つっぱり棒で天井から支えるなど、身近に取り組めることから見直しを始めましょう。また、機器本体に対して月1回は掃除し、特に発熱して高温化する機器の近くには可燃物は置かないことが重要です。

余談として、直近でデータセンターをいくつか視察したところ、国内外におけるデータセンターの火災に対する対策のひとつとして、ラック内に可燃物(印刷物など)を置くこと、持ち込み自体を禁止するなど、厳しく制限されている施設がありました。事業者側が点検で発見した場合、他の顧客からの通報があった場合に警告し、撤去が確認できず悪質と判断された場合は、契約解除に発展することもあるようでした。サーバやネットワークを設置する区画やラックに対しても同様です。また飲料水(ウォーターサーバーなど)や喫煙場所を近くに設置することも、同じく危険ですので避けることが望まれます。

ケーブル配線のセキュリティ

電源ケーブル、データ伝送ケーブル又は情報サービスを支援するケーブルの配線は、傍受、妨害又は損傷から保護しなければならない。

審査で確認した状況

内部規定に従い、LANケーブルはラック背面や床上で丁寧に収束して整線されていましたが、一部電源ケーブルはコンセントから「半差し」になっており、埃が付着している状態でした。別の場所でも電源タップと電源ケーブルが宙づりで接続されており、トラッキング火災やケーブルが抜けてしまうことによる電源断(通信停止など)のリスクが想定される状態でした。またフロア内には、用途不明の多数の電源タップがコンセントに差さっていることも確認しました。

日常対応ポイント(例)

コンセントの位置に関わらず、差し込みされている電源ケーブルは時間が経つと緩みが生じ、抜けやすくなります。また、ケーブル収束バンドなどでキツく束ねていると、発熱した熱を放熱できず、配線被覆が溶けてショート(短絡)したり、断線による火災発生に発展する事故が電力会社や消防からも多く報告されています。専門業者に対応してもらうこともひとつの手段ですが、100円ショップでも購入できるプラグ安全カバーを装着する、月1回の点検と掃除をする、電源タップをラック内や机上で正しく固定して設置する、ケーブル類は円を描くように緩く収束する、ケーブルと機器が直接接触(挟み込み)しないように整線する、など身近で取り組めることから見直しを始めましょう。

電源タップが単独でコンセントに差されている場合は、盗聴リスクも考慮して撤去を行い、特に重要な区画(役員室や研究エリア、開発環境など)に対しては定期的に点検しておくことが重要です。

今回ご紹介した日常対応ポイントを可能なことから取り組み、または検討を始めていただくことで、リスクの発生を防止できれば幸いです。

関連記事

サイバーセキュリティの課題をテーマ別に紹介中!!