入退室管理策：情報セキュリティアドミニストレータ試験対策

>・守衛さんによるチェック
>・ICカード等による入退出チェック

>・オフィス受付で有人により、訪問者に対する身元確認(識別・認証)を行う。
>・セキュリティIDカードを利用しての識別・認証を行う。
>・指紋照合や眼球照合といったバイオメトリクス認証を利用する。

　管理方法ですので、物理的及び環境的対策、技術的（論理的）対策、
　運用管理的対策の観点から考えてみましょう。
　各１点ずつ補足しておきます。

　・物理的及び環境的対策
　　　外部入出者と内部入出者の出入口の分離
　・技術的（論理的）対策
　　　監視カメラの設置
　・運用管理的対策
　　　担当者が入室から退室まで付き添う

>私が仕事をしているところでは以下のような管理を行っています。
>●ビルの入り口
>　◆守衛さん(ガードマン)のチェック
>　　<入館時>
>　　　・身分証明書があれば、守衛さんの目確認で入館。
>　　　・身分証明書がなく、関連会社(社内含)であれば、自社(自分)の
>　　　　身分証明書を守衛さんが目確認でチェックし、入館時間、氏名、
>　　　　会社名、担当者名を記述して外注(社内)用バッチを貰って入館。
>　　　・身分証明書がなく、他社であれば、入館時間、氏名、会社名、
>　　　　担当者名を記述し、社外用バッチを貰い、担当者が迎えに
>　　　　行って同伴して入館。
>　　<退館時>
>　　　・身分証明書があれば、守衛さんの目確認で退館。
>　　　・身分証明書がない場合は退館時間を記述し、バッチを返して退館。
>　　　　社外の場合は担当者が出口まで同伴する。
>●各フロアの入り口
>　◆無線カードによる入退出チェック
>　　・各フロアの入り口は施錠されていて、無線(IC)カードにて開錠する。
>　　　※関係ないフロアは開錠できないシステムになっている。
>　　　　詳細は分からないが入退出のログは残されていると思います。
>　　・カードがない人や開錠できない場合は外に内線電話があり、
>　　　担当者を呼び出して開けてもらう。
>　　　※でも、ほとんどの人がピギーバックである。
>　　　　入館時にチェックが入っているのでほぼ大丈夫ではあるが
>　　　　SSではここら辺が問題になるであろう。
>●建物内
>　◆名札の着用

　ありがとうございます。ピギーバックを防止するにはどうすれば良いでしょうか？
　入退室管理としてアクセス者の種別を明確化することが重要となってきます。
　会社として関与する人は正社員だけでなく、アウトソーシング先、請負契約先、派遣社員、
　アルバイトなど全て含みます。

　それぞれどのようなアクセス権限を付与するか明確にしておき、許可された者だけに
　アクセスを許すことを確実にする必要があります。

>(1)で挙げた方法は、主に人を対象とする場合で、
>外部から危険物等を持ち込む際のリスクに備えた
>対応管理策としては、下記が考えられる。
>　・人による手荷物検査
>　・機器（X線検査、金属探知機等）を利用した検査　
>　・動物（犬、鳥等）を利用した嗅覚による検査

　なぜ普通のオフィスでは、このような入退室管理をしていないか考えてみましょう。
　（リスク分析におけるセーフガード選択の観点から）