コラム
COLUMN
アクセスコントロールを用いたセキュリティ対策
企業では情報漏洩の被害が年々増加していることから、不正入室や不正なアクセス防止のために、アクセスコントロールなどのセキュリティ対策の強化が広まっています。アクセスコントロールは、情報システムのアクセスを制御することを指しますが、主に出入り口の入退室管理のことをアクセスコントロールと呼んでいます。入退室管理は、オフィスなどの出入り口の入室制限だけでなく、共連れ防止のアンチパスバック機能などを活用することで、高度なセキュリティ管理の構築が可能です。
◎入退室管理とアクセスコントロール
入退室管理とは、オフィスや施設などの部外者による不正を防ぐために、出入口の入室の許可や制御、管理することです。カードリーダーや指紋認証などの認証システムやパソコン、ソフトウェアなどの入退室管理に関連することを、入退室管理システムと呼びます。一方で、アクセスコントロールとは、情報などへのアクセスを制御することです。アクセスコントロールは、一般的にはネットワークにおいるアクセス制限と、出入口の入退室管理制限の、2つのセキュリティ分野で使われています。前者のアクセスコントロールは、システムやネットワークなどの情報データの読み取りを制御し、情報を操作する権限を管理するシステムのことです。後者のアクセスコントロールとは、建物や部屋に出入りする人を入退室管理で制御することをいい、企業では、アクセスコントロールと入退室管理システムは、おおむね入退室管理と同じ意味合うで使われることが多いです。入退室管理及び、アクセスコントロールの解錠方法には、暗証番号認証やICカード認証などが活用されていますが、近年ではセキュリティ向上と業務効率化のために、顔認証や指紋認証などの生体認証の導入が広まっています。企業では、アクセスコントロールシステムのセキュリティ対策として運用されていますが、ほかにも入退室の記録をもとに、従業員の労働時間を管理する勤怠管理に利用することが可能です。入退室管理システムには、さまざまな機器やシステムと連動することで、防犯、制御、監視、防炎をシステム化することで、利便性の向上と効率化が図れることから、オフィスや工場などの多種多様な業種で導入されています。
◎アクセスコントロールシステムの導入目的
企業などでは、従業員のほか、顧客、取引先、運送業者など複数の人が出入りすることから、不審者などの不正侵入防止のために、入退室のセキュリティ対策は必須となります。入退室管理システム導入の最大の目的は、外部や内部不正による不正侵入の防止です。入退室管理システムは、建物やブースなどの出入において、関係者には入退室の権限を与え、部外者が入室しないように入室制限をかけることが可能です。アクセスコントロールに、ICカード認証や顔認証、指紋認証などの認証システムや防犯カメラといったセキュリティ機器などを連動すると、さらに強固なセキュリティ環境が実現できます。入退室管理システムやアクセスコントロールシステムは、人物が扉の出入りする際に入退室データが記録されているため、仮に何らかのトラブルが発生した場合には、履歴から問題解決の糸口にもなります。アクセスコントロールシステムにおける入退室管理には、外部からの情報漏洩や内部による不正入室などの防止にも効果があります。不正入室した部外者がデータを流出してしまうと、企業にとって甚大な影響を及ぼすほか、信頼性を失うことも少なくありません。入退室管理システム及び、アクセスコントロールシステムは外部からだけでなく、従業員による社外秘情報の漏洩などの抑止効果にも役に立ちます。また、高度なセキュリティが求められる区間においては、役員や関係者のみに入室権限を与えることで、ハイレベルなセキュリティの確保が可能です。入退室管理システムの認証方法には、ICカード認証と顔認証など、異なる認証システムを組み合わせた二重認証を活用することで、出入口のセキュリティの強化が図れます。従業員の勤怠管理には、タイムカードやパソコンに使用する方法がありますが、打刻忘れや入力忘れなどがあり正確性が高いとはいえません。一方で、アクセスコントロールシステムでは、人の出入りする際の情報が正確に記録されているため、勤怠管理に精度の高い情報を送信することが可能です。アクセスコントロールシステムや入退室管理システムを勤怠管理システムと連携すると、従業員の労働時間や早退、休暇などの勤務形態を把握することができ、適切に勤怠管理を行うことが可能です。総務部の担当者が、月末に行っていた勤怠管理の集計をする負担が減り、業務の効率化を図ることができます。
◎アクセスコントロールシステムの機能
オフィスや施設などで活用されている入退室管理システムは、入退室の管理だけでなくさまざまな機能が搭載されています。入退室管理におけるアクセスコントロールの基本機能には「認証」「認可」「監査」の3つの機能から構成されています。「認証」とは、入退室の許可された人物が本人であることを判断する機能です。具体的には、ICカード認証や暗証番号認証、身体的特徴を利用した指紋認証、顔認証などの生体認証などの認証システムを用いて本人確認を行います。アクセスコントロールシステムの「許可」とは、入退室に許可する人物を特定し、アクセスを制御することです。入退室管理システムに管理者設定機能やアクセスレベル設定機能、タイムスケジュール設定機能などが搭載されています。管理者設定機能とは、管理者が入退室管理システムの設定などの操作ができる機能で、管理者や役員など特定の人に権限を与えることで、高度なセキュリティ性を保つことができます。アクセスレベル設定機能は、出入り口の入室者をアクセス制御する機能で、部屋ごとに入室できる人物を制限することが可能です。たとえば、機密情報や個人情報が保管されているエリアには、部屋に関係ある部署や役職のみに入室権限の設定をすることで、内部による不正入室の防止につながります。タイムスケジュール設定機能は、入退室管理システムの認証する時間帯によって設定できる機能です。夜間や人の出入りが少なくなるエリアには時間帯を設定することで、セキュリティ対策の強化になります。アクセスコントロールや入退室管理の「監査」とは記録されている履歴を適切に管理することです。アクセスコントロールには、いつ、だれが、どこに、入退室したのかをデータに残すことが可能です。入退室管理システムには、履歴管理機能が搭載されており、万が一トラブルが発生した場合には、履歴から日時や個人の検索をすることができ、原因追究や犯人の追跡にも役立ちます。入退室管理システムでは、ほかにも状態監視や警報監視の機能などが備わっています。状態監視機能は、入退室管理システムの扉の開閉状態を監視する機能です。たとえば、扉に何かが挟まって開いた状態が長く続くと、正常に機能できる状態ではないため、不正侵入のリスクがあります。状態監視機能は、扉の異常を検知すると入退室管理システムの画面上に知らせるため、セキュリティの向上に貢献できます。警報監視機能は、システム異常があった場合に知らせる機能です。アクセスコントロールの管理システムに不正ログインや、認証システムからの不正侵入、長時間のドア開放などが起きた場合には、管理画面上の警報で伝えます。入退室管理システムから離れた場所でも、状態監視機能や警報監視機能などを利用することができ、入退室管理の画面から異常に気付けるため、トラブルを早めに対応することが可能です。
◎アクセスコントロールにおける情報セキュリティ対策
入退室管理システムやアクセスコントロールシステムを導入する背景のひとつには、情報セキュリティが適切に保護されているかを証明する、Pマーク(プライベートマーク)やISMS(情報セキュリティマネジメントシステム)の取得があります。近年では、コンプライアンス違反やサイバー攻撃などの情報漏洩、紛失事故などの観点から、セキュリティ対策の関心が高まり、PマークやISMS の認証取得を目指す企業が増えています。Pマーク(プライベートマーク)とは日本産業規格のJIS Q 15001個人情報保護マネジメントシステムに準拠し、企業において個人情報を適切に取り扱っているかを評価する制度です。企業では、個人情報をインターネットでやり取りを行う上で、個人情報保護が重要になります。個人情報を適切に取り扱い、運用することが目的ですが、Pマークの取得は企業においては、個人情報の取り扱いや運用を適切に行っていることを、消費者のアピールにも活用することができます。Pマークの取得には来客記録や入退室記録が必要なため、入退室管理システム及び、アクセスコントロールシステムの、履歴管理機能を活用することで、Pマークの取得につながります。ISMS認証ISO27001(情報セキュリティマネジメントシステム)とは、企業における機密情報が厳格に管理されているかを評価する情報マネジメントシステムです。ISMS認証の入退室管理においても、適切な入退室管理を行い情報が漏れないようにしなければなりません。ISMS認証の取得には、情報セキュリティ対策のアクセスコントロールや物理的な入退室管理システムの導入も有効な手段となります。ISMS認証の情報セキュリティの定義には、機能性、可用性、完全性の3要素が求められます。情報セキュリティにおける機能性とは、入室に許可された人物のみが情報にアクセスできる状態で、不正なアクセスを防止し、必要な情報のみ使用できるようにアクセス制御することです。機密性の確保はビジネスにおいての効率化と信頼性を図ることができます。可用性とは、権限を与えられた人物であれば、必要なときに迅速に情報にアクセスすることができることを指します。アクセスコントロールの運用中に停電や、サーバーの不具合でネットワークにアクセスできない状態では、可用性が維持できる状態ではありません。情報セキュリティにおいて、入退室管理システムの可用性を維持することは非常に重要です。完全性とは、データが改ざんや破壊されていないことや、情報が正確な状態であることです。情報セキュリティの完全性を保つためには、入退室管理やアクセスコントロールの、定期的なバックアップやウイルスソフトの利用など、また常に最新の状態であることが必要です。
◎アクセスコントロールにおいてのセキュリティレベルの設定
アクセスコントロールを導入することによって、オフィスや工場などの出入り口のセキュリティの強化が見込めます。アクセスコントロールシステムのセキュリティ強化のひとつに、出入り口のセキュリティレベルの設定があげられます。オフィスでは、公共性が高い場所や機密性が高いエリアなど、各部屋においてセキュリティの重要性が異なるため、エリア分けしてセキュリティレベルを設定することが重要です。アクセスコントロールのセキュリティレベルにより、エリアを大きく3つに分けてセキュリティ対策を行うことで、各レベルに応じたセキュリティ管理を行うことができます。低度のセキュリティレベルとは、エントランスや出入り口、待合室、受付などの共用エリアが当てはまります。一般従業員のほか、来客者や取引業者、運送業者などの社外関係者などが多く利用するエリアでもあります。入室が認められた人物のみが入室できる、必要最低限のアクセスコントロールのセキュリティ対策が求められます。アクセスコントロールシステムにおけるオフィスの執務室や会議室などは、中度のセキュリティレベルに該当します。一般従業員が在籍している執務室や、取引先の打ち合わせなどで利用する会議室など、外部の来訪者は必要がある時以外は、入室することができないエリアです。入室許可を得た清掃業者や宅配業者などが、アクセスコントロールにICカードなどで入室する場合もあり、一定のセキュリティ対策が必要になるエリアといえます。高度のセキュリティレベルには、サーバー室、機密情報や個人情報が保管されたアクセスコントロールエリア、社外秘の情報を扱う研究室などが当てはまります。アクセスコントロールには、エリアに関わる従業員や役員のみに入室制限を設けるなど、強固なセキュリティ対策が求められます。たとえば、カード認証と生体認証で入室許可を行う二重認証など、最高レベルのアクセスコントロールのセキュリティ対策が必要なエリアです。アクセスコントロールエリアをセキュリティレベルごとに区分することで、細やかなセキュリティ管理と不正侵入を防止し、建物内の安全性を高めることができます。
◎アクセスコントロールを生体認証でセキュリティ強化
オフィスでは、アクセスコントロールシステムに生体認証を導入することで、高度なセキュリティ対策が見込めます。生体認証とは、人物の身体的特徴や行動的特徴を使って本人を特定する認証方法です。生体認証には、顔認証や指紋認証、静脈認証、虹彩認証などがアクセスコントロールシステムに利用されています。顔認証とは、AI(人工知能)を活用し、顔の目や鼻の位置、顔の輪郭、顔の大きさなどの特徴をデータ化して、本人の確認を行う認証システムです。アクセスコントロールシステムの顔認証は、カメラに顔を向けるだけで認証を行います。非接触で感染症対策ができることや、偽造が困難なことから、高度なセキュリティ対策が求められるシーンに活用されています。近年では、マスク着用していても認証することが可能な、高精度の顔認証リーダーも登場しています。指紋認証は、指紋センサー部分にあてた指紋の情報を読み取り、その指紋データを利用して照合、認証を行います。指紋は一生変わらないことから、年月が経っても長く認証できることがメリットです。また、顔そっくりな双子であっても指紋形状が異なるため、誤認することがありません。ただし、指紋は手指に傷や汚れなどがあると、正確な認証が難しいことがあります。静脈認証とは、手や指をセンサー部分にかざし、手のなかに通っている静脈パターンを赤外線センサーで読み取り認証を行う方法です。静脈認証は指に傷や汚れがある場合でも、指紋の奥の静脈パターンを透視して認証できることがメリットです。環境の影響や経年変化の影響を受けにくく、認証精度が高いことから、アクセスコントロールでの高度なセキュリティ管理を構築できます。虹彩認証は、黒目の内側と瞳孔の外側にある虹彩部分を利用して認証を行う認証方法です。人間の虹彩は満2歳位から、ほとんど変化することがないとされているため、1度登録すればアクセスコントロールシステムに再登録する必要がありません。虹彩の模様は大変複雑なため、複製が限りなく難しいことから、高いセキュリティ性を維持することができます。アクセスコントロールのセキュリティ性をより高めるために、アクセスコントロールシステムに生体認証などを活用した二重認証が効果的です。二重認証とは、カード認証と生体認証、暗証番号認証と生体認証など、異なる認証を組み合わせて行う認証方法です。認証をダブルで行うことで、より厳密な認証を行うことができ、セキュリティ性が高いアクセスコントロールを構築できます。
◎共連れ防止にアンチパスバックとグローバルアンチパスバック
アクセスコントロールシステムにおいて、不正侵入による共連れ防止には、アンチパスバック機能が有効です。共連れとは、入室許可された人に続いて入室許可がない人が、不正に入退室する行為です。アクセスコントロールの共連れには、不審者の不正侵入や、従業員が認証をうっかり忘れて入室する場合などがあります。入室する場合だけでなく正規認証で入室する際に、「すれ違い」で不正に退室する共連れも発生するケースがあります。アクセスコントロールシステムのアンチパスバックとは、入室の記録がない人は退室が許可されないセキュリティ機能です。扉の入室側と退室側に認証リーダーを取り付けることで、入退室記録をもとに、アクセスコントロールの不正な入退室をチェックする仕組みです。アクセスコントロールシステムで入室記録がない人が退室する場合、アンチパスバック機能で不正侵入を防止し、侵入者による情報漏洩のリスクを軽減できます。アクセスコントロールシステムのアンチパスバックは、仮に、不正で入室した人が退室しようとしても、退室を妨げることができ、侵入者を室内側で留める効果があります。アンチパスバックは、セキュリティ機能として、アクセスコントロールに搭載されているケースが多いため、利用しやすく共連れ対策を実現できます。アクセスコントロールシステムにおけるグローバルアンチパスバック機能は、アンチパスバックを複数の扉で運用する機能です。グローバルアンチパスバックは、入室した扉以外からでも退室することができることから、アクセスコントロールシステムの複数の扉から入退室が可能となります。アクセスコントロールシステムのアンチパスバックは、ひとつの扉が対象ですが、グローバルアンチパスバックは、特定のエリア内の複数の扉を含めて、共連れ対策が行えることが特徴です。アクセスコントロールシステムにおけるグローバルアンチパスバック機能を利用する場合、特定のエリアをグループ化した全ての扉に、入室側と退室側に認証リーダーを設置します。グローバルアンチパスバックのグループ内で入室した記録があれば、グループ内のほかの扉でも退室できます。オフィスで出入り口が多く存在する場合にも、アクセスコントロールで効率よく、セキュリティ管理ができる有用な機能です。
◎アクセスコントロールの共連れ防止に効果的な設備
アクセスコントロールシステムに、セキュリティゲートや防犯カメラ、インターロックゲートなどの、効果的なセキュリティシステムと連携することで、共連れ防止をより高めることができます。セキュリティゲートとは、セキュリティ対策が必要な場所の出入り口やエリアに設置する防犯性が高いゲートです。セキュリティゲートは、カード認証や生体認証などと連携することで厳正なひとり通行が実現できるため、アクセスコントロールの不正入室や共連れ防止において、非常に有効な機能といえます。セキュリティゲートはエリアの境界線を明示し、不正通行を阻止することが可能なため、オフィスのエントランスや、アミューズメント施設のアクセスコントロールなどに利用されています。通行制限するセキュリティゲートでは、従業員や利用者にとってもわかりやすく、使いやすいアクセスコントロールシステムといえます。防犯カメラは、出入り口の犯罪を未然に防ぐために使用するカメラです。アクセスコントロールシステムにおいての防犯カメラは、出入り口のわかりやすい場所に設置することで、防犯性を高めるほか、見られているという抑止効果にもつながり、犯罪を未然に防ぐことが期待できます。アクセスコントロールシステムに防犯カメラを連携すると、万が一、不正入室が発生した場合、犯行の瞬間を捉えることができ、該当者の特定にも役に立ちます。さらに、アクセスコントロールシステムと連動した、インターロックゲートも共連れ防止に有効な機能です。インターロックゲートとは、ひとりずつしか通れない構造になっている二重扉のことを指します。たとえば、アクセスコントロールにおいて2人が入室する場合、ひとりが1つ目の扉を入室し、2つ目の扉を通過したら、もうひとりが1つ目の扉に入室できる仕組みです。そのため、1つ目の扉と2つ目の扉には常にひとりしか入室することはできません。アクセスコントロールのインターロックゲートは、確実性が高いゲートで、厳重なセキュリティが求められる出入り口に活用することができます。
◎セキュリティ性が高い顔認証リーダーFE-500の仕組み
顔認証リーダーFE-500は、認証スピードが世界高水準の1秒以内の速度(50K1:Nモード)を誇ります。顔認証を最速で認証を行うため、アクセスコントロールシステムでスムーズに入室することができます。顔認証リーダーFE-500は、最大3メートルの離れた距離からでも認証ができ、5万人の顔のデータを登録することができる、アクセスコントロールシステム対応の顔認証リーダーです。FE-500は、顔認証やカード認証、暗証番号認証、QRコード認証などのさまざまな認証方法を使用することができ、二重認証も可能です。顔認証は、マルチフェイス認証を搭載しており、最大の5名まで同時認証することが可能で、オフィスや工場などの出入り口の混み合う時間帯に有効な機能です。また、アクセスコントロールシステム対応のFE-500の顔認証では、動作を確認するライブ検出機能を搭載しているため、偽造写真や動画による不正認証は、ほぼ不可能といえます。FE-500の顔認証には、マスク着用した状態であっても、フェイス+マスク検出機能で顔認証を行うことができます。アクセスコントロールシステムのFE-500のカード認証では、MIFAREカードと、オプションで Felicaカードも追加で利用することが可能です。アクセスコントロール対応のFE-500では、QRコード認証の発行ができることから、イベント会場やセミナー会場などに活用できます。FE-500のカメラには2MPデュアルカメラを搭載しており、本体サイズは192mm×92mm×30mmでシンプルなデザインのため、場所を選ばず、さまざまな場所に設置することができます。FE-500のモニターには、5インチIPSタッチスクリーンを搭載しており、顔データの登録や削除、各種設定、アップデートによるデータの更新などの操作を行うことが可能です。アクセスコントロールシステム対応のFE-500では、顔認証とカード認証を組み合わせたセキュリティ性が高い、二重認証も搭載しています。
◎世界最速認証の指紋認証リーダーKJ-3400Fの仕組み
KJ-3400Fは、世界最速の1秒以内の速度で快適に認証を行う、アクセスコントロールシステムに用いる指紋認証リーダーです。KJ-3400Fの本体は、48mm×138mm×38mmサイズのスリムな形状で、画面には1.8インチカラー液晶ディスプレイを採用しています。KJ-3400Fは、指紋認証、カード認証などの認証を行うことで、アクセスコントロールの扉を解錠することができます。指紋認証には、500DPI光学センサーを採用しており、指紋の登録には、5,000名が可能です。指紋認証リーダーKJ-3400Fでは、5,000個の指紋を0.1秒で読み取り個人を特定する世界最速の認証速度や、自動指紋認識および方向指紋認識を搭載しています。自動指紋認識とは、開始ボタンを押さなくても認証リーダーに指を置くだけで自動認証する機能です。方向指紋認識は、あらゆる方位に置かれても認識することができるため、アクセスコントロールシステムでの、円滑な入室が可能となります。KJ-3400Fのカード認証には、Dual、EM、Indala、HID Prox、Mifare、Iclass、IclassSE、Felica、 BLEの各種カードに対応しています。また、カード登録容量には、40,000枚の登録ができ、イベントログでは200,000件の記録を保存することが可能です。また、KJ-3400Fは、IP65等級の防水·防塵性能を搭載しているため、屋外の設置にもアクセスコントロールとして利用することが可能です。KJ-3400Fは、アクセスコントロールのセキュリティ機能の二重認証機能を搭載しており、カード認証と指紋認証の2つの異なる認証を行うことで、強固なセキュリティ管理を構築できます。KJ-3400Fƒのアクセスコントロールシステムにおいてのアクセス制御機能は、特定の日付やタイムゾーンの扉の開閉を制御し、アクセスコントロールシステムからの出入りを制御することが可能です。KJ-3400FのCPUには32bit CPUが搭載されており、外部インターフェースにおいては、ウィーガンド、USBメモリーカードを活用できます。
◎アクセスコントロールシステムの導入事例
セキュリティの観点から組織においての入退室管理システムの導入は一般的になり、オフィスはもちろん、病院や工場などの運用も広まっています。
○オフィスのサーバールームにアクセスコントロールシステムを導入
企業の重要な情報が保管されているサーバールームにおいての、アクセスコントロールシステムの導入目的は、不正なアクセスを防止することです。サーバールームの管理者やエンジニアなどの関係者のみに入室権限を与え、入退室管理を厳密に制限することが重要となります。セキュリティ性を高めるために、入室の際は、2名が一緒でなければ入室できない2名同時認証や、共連れ防止に有効なアンチパスバック機能などを導入することで、部外者の不法な入室による情報漏洩などのリスクを防止し抑止する効果もあります。
○食品工場の出入口に入退室管理システムを導入
食品を取り扱う工場において、入退室管理システムが求められるひとつに、感染症拡大リスクを防止する感染症対策です。食品工場では、手袋やマスクを着用していることが多いため、手などを直接触れなくても通行できる、顔認証に対応した入退室管理システムが適しています。入退室管理のICカード認証や暗証番号認証の場合、ICカードや認証リーダー触れることになるため、出入口で除菌する手間がかかりますが、顔認証はハンズフリーで入室することができ、衛生的な環境を整えることができます。
○病院の新生児室に入退室管理システムを導入
病院では、出産を控えた入院者が不安やストレスなく過ごせる環境作りのために、新生児室においての入退室管理システムの導入が進んでいます。新生児室に入退室管理システムのICカードリーダーを設置し、入院者が入室する際には、カードリーダーにICカードをかざして入室します。医療スタッフや家族、関係者にはICカードに権限を付与することで入室が可能になり、部外者が勝手に入室することはありません。入退室管理システムは、入室者の履歴が残るため、不審者の入室防止にもつながり、母子ともに安全に過ごせる環境を構築できます。
◎まとめ
企業や組織において、資産や情報を保全するためには出入り口のセキュリティ対策を講じることが重要です。入退室管理システムは、防犯面の機能性が豊富なことや、認証精度が高い生体認証の顔認証や指紋認証などの認証システムを活用することで、セキュリティ向上や業務効率化が期待できます。アクセスコントロールシステムや、入退室管理システムの導入を検討されている方は、KJ TECH japanまでお問い合わせください。
