顔認識器電波認証書
TEL03-6454-0888
資料ダウンロード お問い合わせ
入退室管理
アクセスコントロール
顔認証
指紋認証
カード認証
二重認証
製品情報
施工事例
コラム
会社案内
お知らせ
ホーム
入退室管理
アクセスコントロール
顔認証
指紋認証
カード認証
二重認証
製品情報
施工事例
コラム
会社案内
お知らせ
資料ダウンロード
お問い合わせ

コラム

COLUMN
  • ホーム
  • コラム
  • ISMSで求められるアクセスコントロールシステムを確立する指紋認証

ISMSで求められるアクセスコントロールシステムを確立する指紋認証

企業にとって情報漏洩などのセキュリティリスクは社会的信用を失墜させ、多大な損失につながる恐れがあります。アクセスコントロールシステムを導入することにより、企業のセキュリティを強化することができますが、一方で情報を適切に管理することも重要になります。この2つをバランスよく確保、維持することを目的としたISMSは、企業にとって対外的に信頼性をアピールできるという役割を担っています。
 
◎アクセスコントロールシステムの仕組み
アクセスコントロールとは、特定の情報にアクセスできるユーザーを制限する仕組み全般を指します。アクセスコントロールには、論理的アクセスコントロールと物理的アクセスコントロールがあります。論理的アクセスコントロールとは、情報やシステムへのアクセスを制限することで、スマートフォンのロック解除やパスワードを用いたPCへのサインインなどがあげられます。一方の物理的アクセスコントロールとは、カード認証やパスワード認証、生体認証などの認証システムを実装したドアやゲートなどを指し、入退室管理もそのひとつです。アクセスコントロールは「認証」「認可」「監査」の3つの基本的な機能によってセキュリティ対策を強化することができます。アクセスコントロールにおける認証とは、ログインや入退室の際にアクセス権がある人物かどうかを判断し、許可または拒否をする機能のことです。アクセスコントロールの認証にはカード認証やID・パスワード認証、電子証明書、生体認証などの方法があり、よりセキュリティを強化したい場合は、これらを組み合わせた二要素認証を用います。アクセスコントロールにおける認証にはパスワードなどの「知識情報」、IDカードや鍵などの「所有情報」、顔や指紋などの「生体情報」の3要素があり、二要素認証を用いる場合はこれらの要素のうち2つ組み合わせることで、セキュリティレベルが格段に高まります。アクセスコントロールの認証によってアクセスを許可されると、次に認可機能によってユーザーがどこまで操作可能かを判断します。入退室管理においては、セキュリティレベルに応じてゾーニングを行い、誰がどこまで入室可能かを判断します。たとえば、従業員や来客など多くの人が出入りするオフィスのエントランスには、セキュリティ対策をしつつ同時にスピーディーな入退室が必要になるため効率化も重要になります。一方で機密情報などを取り扱っているようなエリアはセキュリティレベルを高く設定し、特定の人物しか入室できないようにアクセスコントロールを行うといったように、エリアごとのセキュリティレベルに応じて入退室を認可することはセキュリティ対策において非常に重要です。アクセスコントロールの監査とは認証、認可された履歴を記録・管理する機能のことでログといいます。ログによって認証履歴を分析することで不審な操作や不正なアクセスを検知し、被害を最小限におさえることができます。アクセスコントロールのログによって正しく認証、認可がされているかを検証し、今後のセキュリティ対策に役立てることもできます。アクセスコントロールには任意アクセス制御・強制アクセス制御・役割ベースアクセス制御の3つの制御方式があります。任意アクセス制御は、ファイルなどを作成した人物が自由にアクセス権や業務の権限を設定する方式で、自由度が高く一般的な業務において利便性に優れていますが、セキュリティ性は低くなるので重要度が高い場所には向きません。強制アクセス制御は、管理者のみがアクセスコントロールの権限を持つ方式で、管理者以外がアクセスしたい場合は管理者に設定の変更を依頼しなければならないため、利便性は低くなりますがセキュリティ性は高く、機密情報などを扱う場合に適しています。役割ベースアクセス制御は部署ごとや役職ごとなどグループ分けされた役割ごとに権限を付与する方式で、利便性やセキュリティ性は任意アクセス制御と強制アクセス制御の中間に位置します。設定を変更する際グループごとに一括して変更できるので、1人ひとり変更するより手間が省けるというメリットがあります。このようにアクセスコントロールは、外部からの不正侵入や内部不正による情報漏えいなどの脅威から、企業や組織を守るさまざまな仕組みが備わっています。
◎組織の情報セキュリティを管理するISMS
ISMSとは「情報セキュリティマネジメントシステム」の略で、企業や組織における情報セキュリティを管理する仕組みであり、リスクアセスメントを実施するにあたり非常に重要になってきます。厳密にいうとISMSは仕組みであり、ISMSを有効的に構築・運用するための国際規格がISO27001ですが、ISMSをISO27001の通称としてほぼ同じ意味で使われることが多いです。ISMSと同じ情報セキュリティに関する規格にPマークがありますが、ISMS(ISO27001)は国際規格で企業の情報資産全般に対する保護を目的としているのに対して、Pマークは国内規格であり個人情報の保護のみを目的としているなどの違いがあります。また認証の範囲にも違いがあり、Pマークは企業ごとの取得であるのに対し、ISMSは事業・事業所・部門単位で取得できます。個人情報の保護だけを目的とし、国内のみで事業を展開している企業はPマークを取得するケースが多く、国外でも事業を行っているまたはその予定がある企業で、個人情報のみならず企業の情報資産全般に対して柔軟に仕組みを構築したいという場合はISMSを取得することが多いです。ISMSが求める情報セキュリティにおいて重要視されている3つの要素が機密性・完全性・可用性であり、これらをバランスよく確保し、維持することが重要になります。ISMSが求める情報セキュリティの機密性とは、認可されている人物にだけアクセス権を付与するもので、アクセスコントロールにおいては機密情報などが保管されているエリアへの入退室を制限するといったことを指します。権限のない人物が不正に情報にアクセスしたり不正入室するのを防ぎ、企業の情報資産を守ります。ISMSが求める情報セキュリティの完全性とは、情報が正確かつ最新であるということで、認可されていない人物による情報の改ざんを防ぐ対策などがあります。このISMSの完全性が損なわれると、たとえば金融情報の改ざんや顧客情報が最新ではないなど、企業にとって大きな損失につながりかねません。情報セキュリティというと機密性をイメージすることが多いかもしれませんが、それだけではISMSが求める情報セキュリティとはいえません。ISMSでは、セキュリティ性を確保しながらも、可用性を保つことも重要視しています。ISMSの可用性とは、認可された人物がアクセスしたい時にアクセスできる状態です。たとえば、システムを二重化しておくことで災害などが起きてもすぐにシステムの稼働を継続できる状態にしておくといったことを指します。この可用性が保たれていないと業務効率や生産性が低下し、企業にとっては損失になりかねません。ISMSの特徴として、継続的改善というものがあります。ISMSの継続的改善とはPDCAサイクルを実施し、品質向上や業務効率化を図る仕組みのことです。PDCAサイクルは、計画・実行・評価・改善を繰り返し、マネジメントの品質を高めるというフレームワークのことです。ISMSは1度構築して終わりではなく、PDCAサイクルを回すことで失敗から改善策を模索し、継続的にセキュリティ対策を改善していくことが求められます。このようにセキュリティ性の高さだけでなく、可用性や継続性も重要したISMSを構築することで、企業にはさまざまなメリットをもたらします。情報セキュリティを管理するISMSを構築することで、情報漏洩などのリスクを低減し、企業のセキュリティ体制を強化することができます。国際規格であるISMS認証の取得は、顧客や取引先に対して情報セキュリティに関する信頼性をアピールすることができます。実際に取引の条件としてISMS認証取得を提示される場合もあり、他社との差別化により取引を拡大できるというメリットがあります。ISMSでは企業内においても従業員の定期的なセキュリティ教育が求められているため、社内のセキュリティ意識を向上させることができます。ISMSを構築することは、企業にとって対外的にも社内的にもメリットがあります。またISMSを導入することは情報漏えいやサイバー攻撃に対抗するために、高額な投資をすることなく効率的に必要なセキュリティ対策を行うことができるため、コストパフォーマンスに優れているといえます。
◎ISMSにおけるアクセスコントロールの役割
アクセスコントロールにより情報セキュリティの3要素を高め、ISMSを構築することができます。アクセスコントロールにより機密情報にアクセスしたり機密情報を保管しているエリアに立ち入る権限を制限することで、ISMSにおける機密性を確保します。不正入室による情報漏洩は、企業の損失のみならず法律に触れる場合もあり社会的信頼を著しく失墜させることにもなり得るため、アクセスコントロールにおける認証の強化が重要になります。指紋認証などの生体認証や多要素認証を用いることで、アクセスコントロールの認証機能を強化できます。アクセスコントロールのログ機能により不正アクセスやデータ改ざんの変更履歴を検証することで、ISMSの完全性が確保されます。アクセスコントロールのログを管理することでいつ、誰が、どこで入退室が行われたかを分析し、未然に情報漏洩やサイバー攻撃などを防ぐ役割があります。情報漏洩の原因の多くは内部原因によるものであり、そのなかには内部犯行や管理ミス、誤操作などが含まれます。アクセスコントロールでアクセス権を制限し過剰な権限を付与しないということは内部不正を防止し、操作ミスなどのヒューマンエラーも防ぎます。万が一、不正が起きた場合でも、アクセスコントロールのログを解析することで原因を特定し、早期解決が可能です。アクセスコントロールのログを解析することは、ISMSが求める継続的改善にも役立ちます。目標を設定しアクセスコントロールのログにより入退室の状況を解析してそれを検証し、セキュリティ対策を改善するというISMSにおけるPDCAサイクルを実施することにより、経営効率の向上やより強固なセキュリティ性を実現できます。アクセスコントロールで情報を管理することで業務効率化を図り、ISMSにおける可用性を確保することが可能です。入退室管理においては、これまで人が行なっていた入退室の管理をアクセスコントロールシステムにより自動化することで利便性が向上し、人的ミスも防ぐことができます。このようにアクセスコントロールシステムを導入することで、ISMSが求める情報セキュリティを確保することができるのです。
◎アクセスコントロールに用いる指紋認証
アクセスコントロールに用いられる生体認証は、安全性と利便性を兼ね備えた認証システムです。生体認証のひとつである指紋認証はいち早く実用化され、現在も広く普及しているため導入にあたり心理的ハードルが低く、多くの企業でアクセスコントロールと組み合わせて導入されている認証システムです。指紋認証はあらかじめ登録しておいた個々の指紋と認証リーダーで読み取った指紋とを照合し、認証されれば解錠される仕組みになっています。指紋の形状は一般的に弓状紋、蹄状紋、渦状紋の3種類に分類され、指紋認証に利用されています。弓状紋は弓のような形になっており、日本人では約10%しかいません。蹄状紋は馬の蹄の形に似ている紋様で、日本人の約40%がこの形状をしています。渦状紋は渦巻き状になっており、日本人の約50%を占めています。中にはこれらの形状のうち2つを併せ持つ人もいます。アクセスコントロールに用いられる指紋認証の認証方式には主に静電容量方式・光学方式・超音波方式があります。静電容量方式は指紋の凹凸に反応する電位を読み取り認証する方式でスマートフォンに多く搭載されていますが、汗や乾燥による影響で認証されない場合があるのが難点です。光学方式は光の反射で指紋の凹凸を認識する方式で、低コストで導入でき静電容量方式よりも認証速度が速いメリットがありますが、同じ光の反射具合を再現した画像により不正に認証されることがあるというデメリットもあります。超音波方式は超音波の反射具合で認証する方式で、最も新しい認証方式のためまだ普及率は高くなくコストはかかりますが、汗などの影響を受けにくく、認証精度が高いのが特徴です。アクセスコントロールに用いられる指紋認証の認証方式にはそれぞれの特徴やメリット、デメリットがあるので、自社に最適な認証方式を選ぶことが重要です。アクセスコントロールに指紋認証を用いるメリットとしては、カード認証やパスワード認証に比べて紛失や盗難のリスクがないという点です。カード認証は紛失や盗難、持ち出し忘れなどのリスクがあり、パスワード認証は認証時に盗み見されたりパスワードを忘れてしまったりといったリスクが起こり得ますが、指紋認証はそういったなりすましを防止し、不正アクセスによる情報漏洩を防ぐことができます。また指紋は終生変わることはなく万人不同であるため、1度登録しておくと怪我をして指紋の一部が欠けてしまわない限り再度登録不要なため、長期的に低コストで運用しやすいというメリットがあります。万が一怪我をしてしまっても、あらかじめ複数の指の指紋を登録しておけば対応できます。指紋認証を用いたアクセスコントロールシステムは勤怠管理と連携させることで業務効率化を図り、不正打刻を防げます。アクセスコントロールと指紋認証を組み合わせることによってセキュリティを強化し、ISMSにおける機密性を確保できます。
◎セキュリティを強化できる指紋認証リーダーKJ-3400F
世界最速の指紋認証リーダーのひとつであるKJ TECH japanのKJ-3400Fは、0.1秒という認証速度によりスムーズな入退室が可能です。360°どの向きに指を置いても認証可能で、スタートボタンを押すことなく自動で指紋を読み取る自動および指紋認識機能もアクセスコントロールの利便性を向上させることができます。1.8インチカラーの高解像度液晶ディスプレイは、スリムなボディで場所を取りません。指紋認証リーダーKJ-3400Fの認証方式は500DPI光学センサーで、光の反射により指紋の凹凸を精密に読み取ります。最大5,000件の指紋データを登録でき、2本の指を登録することができるので、万が一怪我をした場合も安心です。イベントログは200,000件保存可能で、アクセスコントロールと組み合わせることで情報漏洩を未然に防ぐことができます。指紋認証リーダーKJ-3400Fの防水防塵レベルはIP65等級で、あらゆる方向からの噴流水でも機器に有害な影響をあたえず、完全に塵埃を侵入させないレベルなため、屋外設置に最適です。日付や時間を指定してアクセスコントロールを設定することもできるので、実用的かつセキュリティ強化にも役立ちます。カード認証にも対応しているので、セキュリティレベルが高いエリアには指紋認証とカード認証を用いた2要素認証により、不正入室のリスクを低減できます。このように指紋認証リーダーKJ-3400Fのあらゆる機能によってセキュリティが強化されます。
 
◎指紋認証リーダーKJ-3400Fを用いたアクセスコントロールの導入事例
セキュリティ強化のためアクセスコントロールシステムを導入する企業や施設が増えています。アクセスコントロールシステムに指紋認証を用いることでより強固なセキュリティを実現でき、利便性も向上します。
 
⚪︎病院の医薬品管理室に指紋認証リーダーKJ-3400Fを用いたアクセスコントロールシステムを導入
病院の薬品を保管しているエリアには、劇薬や麻薬、向精神薬などの厳重な保管が義務付けられている薬品が多くあります。このようなエリアのセキュリティ対策が万全でなければ、危険な薬品の持ち出しなどのリスクが生じます。指紋認証を用いたアクセスコントロールシステムを導入することによって、医薬品管理室に出入りできる人物を制限することができ、このようなリスクを回避できます。万が一不正な持ち出しが発生した場合でもアクセスコントロールのログによって人物を特定し、早期解決につながります。
 
⚪︎フィットネスクラブに指紋認証リーダーKJ-3400Fを用いたアクセスコントロールシステムを導入
フィットネスクラブでは不審者の侵入や盗難、盗撮などのセキュリティリスクがあります。出入り口に指紋認証リーダーKJ-3400Fを用いたアクセスコントロールシステムを導入し、不審者の侵入を防止することができました。また会員ではない人物による不正入室も防ぐことができ、企業の損失を回避することができました。万が一不正入室があった場合でもアクセスコントロールのログにより、不審者を特定することができます。またプライバシー保護の観点から監視カメラが設置できない更衣室の出入り口にもアクセスコントロールシステムを導入し、盗難・盗撮を防止することができました。フィットネスクラブにアクセスコントロールシステムを導入することで会員の利用状況を把握し、運営の簡素化や業務効率の向上にも役立てることができます。
 
◎まとめ
企業のセキュリティ強化に欠かせないISMSは、アクセスコントロールシステムによって構築することができます。アクセスコントロールによってISMS認証を取得すれば企業の信頼性も高まり、取引を拡大することも可能になります。更に指紋認証を組み合わせることで、より一層ISMSのセキュリティ対策を強化することができます。指紋認証を用いたアクセスコントロールシステムをご検討の際は、KJ TECH japanまでお問い合わせください。

コラム一覧
KJTECH製品情報
導入実績
資料ダウンロード
KJTECH製品のお問い合わせ