入退管理システムにおける情報セキュリティ対策要件チェックリストを公開 調達仕様書に記述すべき要件が明記されており、民間組織でも活用可能

IPA(独立行政法人情報処理推進機構)は、「政府機関等の情報セキュリティ対策のための統一基準(以下、政府統一基準)」の要件に従い、入退管理システムの調達者が情報セキュリティ上の要件や対策を確認するための「入退管理システムにおける情報セキュリティ対策要件チェックリスト」を公開した。
家電や自動車、事務機器をはじめとした様々な機器がインターネットに接続するモノのインターネット(IoT)が普及するなか、IoT機器にも適切なセキュリティ対策を講じることが重要となっている。ビルや工場の物理セキュリティを担う入退管理システムは、複数の扉やゲートに設置された機器がネットワーク経由で統合管理されている。また、勤怠管理などの社内システムと接続されるケースもある。そのため、「政府統一基準」において情報セキュリティ対策が必要とされるIoT機器を含む特定用途機器に指定されている。
そこで、IPAはより安全な国民サービスを提供するための政府調達推進の一環として、「入退管理システム」の機能と運用におけるセキュリティ上の対策を確認できるチェックリストを公開した。これは、2017年12月に公開した「ネットワークカメラシステムにおける情報セキュリティ対策要件チェックリスト」に続くもの。
要件の策定にあたっては、既存の入退管理システムに関わる警備会社やベンダー等の協力のもと、情報セキュリティに関する機能の実態調査を行い、(1)保護すべきデータや想定される脅威の分析、(2)脅威への対策の洗い出し、(3)委員会による対策の具体的な要件化を行った。
チェックリストは、設計構築・運用・保守・廃棄といったフェーズ毎に構成され、それぞれ仕様書へ記述すべき要件と組織における対策・運用方法が明記されているため、政府組織に限らず自治体や民間組織においても調達仕様の策定時や日常の運用における情報セキュリティ向上に役立てることができる。例えば「不正アクセスの検知」という要件に対し、「システムを構成する機器との通信断を管理者が検知できること」といった仕様書に適した形式での記述とともに、「機器の回線切断およびケース開けを管理者が検知できる設定とする」といった対策などを示している。
なお、チェックリストは、製品のセキュリティ機能の向上や、攻撃手法の変化に伴い更新する予定。調達時には以下のURLからダウンロードし、最新のチェックリストの利用を。

IPA セキュリティセンター
セキュリティ技術評価部 TEL 03-5978-7538
https://www.ipa.go.jp/security/jisec/choutatsu/ecs/index.html