コンテンツにスキップ

ゲイリー・ウォーターズ/コービスによるイラスト

カジノサイト アクセスは制御されています

CPP、ブリゲット・ヒメネス著
2015 年 8 月 1 日

印刷問題:2015 年 8 月

企業はアクセス制御機器に多大なリソースを費やしています。世界市場の推定規模は約 60 億ドルから約 220 億ドルの範囲であり、最近の カジノサイト 調査では、米国企業の 57% が 2016 年までにアクセス制御への支出を増やすことが示されています。

初期費用はほんの始まりにすぎません。セキュリティの専門家は、どのドアをいつロックする必要があるかを判断するのに時間がかかります。  彼らはリーダーをどこにインストールするかを決定し、訪問者を処理する方法を決定します。アクセス制御機器のレイアウトとメンテナンスに労力を費やしたにもかかわらず、時間の経過とともに、アクセス制御データベースの管理が誤ってしまう可能性があります。読者のグループ化とアクセス レベルに対する調整のリクエストが継続的に寄せられています。あるグループは、清掃員の時間制限を望むかもしれません。別のグループは 1 つのドアにアクセスする必要があるが、他のドアを制限したい場合があります。システム全体を考慮せずにこれらの対応が行われると、時間の経過とともに、アクセス制御レベルの複雑なもつれが生じます。次にわかることは、セキュリティがアクセスを制御しなくなっているということです。アクセス制御が組織のセキュリティを担当し、その結果、混乱が生じます。

ノースカロライナ州ウィンストンセーラムに本社を置く大手金融サービス機関である BB&T は、企業拠点におけるアクセス制御システムの適切かつ正確な管理を保証するプロトコルを導入しています。フォーチュン 500 企業であるこの企業は、12 州に 1,800 以上の金融センターを持っています。  さらに、アクセス制御システムを備えた約 120 の企業ビル (データ センター、オペレーション センター、コールセンター、本社および地域本社) があります。 

課題

過去 10 年間にわたる規制の進展により、アクセス制御データを厳重に管理することが必要になりました。 1996 年の医療保険の相互運用性と責任に関する法律と 1999 年のグラム・リーチ・ブライリー法では、それぞれ医療機関と金融機関に機密情報や個人情報を厳重に監視することが義務付けられています。 2002 年のサーベンス・オクスリー法により、企業内の内部統制の強化が義務付けられました。最近では、ペイメント カード業界のデータ セキュリティ標準により、企業はクレジット カードとデビット カードのデータを厳密に管理することが求められています。 

これらの規制や、特定の業界に影響を与える他の規制により、アクセス制御データの管理がより厳密に行われるようになりました。ほとんどの大規模組織、特に規制された業界の組織では、物理的なアクセス制御に関連する監査活動が増加しています。つまり、多くの場合、アクセスレポートを定期的に確認する必要があります。このため、企業のアクセス制御データベース内のデータがクリーンで正確であることが重要です。  

アクセス制御システムを適切に維持しないと、多くの課題が発生する可能性があります。メンテナンスが失われると、たとえば、解雇された従業員が施設に入ると、盗難が発生する可能性があります。システムの保守を怠ったために、人々が立ち入ってはいけない場所に侵入できてしまったら、アクセス制御システムは何の意味があるのでしょうか?アクセス制御データベースが何年も存在し、アクセス許可のビザンチンの網になってしまった場合、データを制御するにはどのような手順を実行すればよいでしょうか? 

アクセス制御データベース管理者は、データの正確性を維持する継続的なプロセスを必要とします。効果的なアクセス制御プログラムを管理するには、標準ベースのアプローチを採用する必要があります。標準には、システム内のユーザーの種類 (従業員、ベンダー、訪問者、一時的なカード ユーザー) の定義と、これらの各ユーザー カテゴリが管理およびレビューされる資格情報の確立が含まれます。ユーザー カテゴリを定義したら、スペースの定義と継続的なメンテナンス手順を確立する必要があります。 

データベース管理

BB&T は、ユーザーのネットワーク ログイン ID に基づいてカード所有者を 3 つのグループに分類しています。社内ネットワークのログイン ID を持つ従業員や請負業者がいます。企業ネットワークのログイン ID を持たないベンダー、テナント、その他。および一時的なユーザー。ネットワーク ID は IT セキュリティ データベースでも使用されるため、BB&T は雇用主と請負業者にネットワーク ログイン ID を使用します。これにより、セキュリティが IT アクセス記録と物理的アクセス記録を照合できるようになります。この照合では人事データが考慮されましたが、BB&T ネットワークのログイン ID を持つ多くのベンダー、臨時従業員、請負業者が人事システムに含まれていないと銀行は判断しました。ネットワーク ログイン ID が一致すると、組織のユーザーの大部分がカバーされます。レコードが一致しない場合、ユーザーのアクセスは終了します。   

照合プロセスに関与しないカードの場合、BB&T は各ベンダーとテナントのスポンサーとして機能できる従業員を特定します。同社はこれらのカードを四半期ごとにレビューし、その際にスポンサーは、ベンダーまたはテナントの従業員がまだサードパーティ企業で働いており、依然として BB&T カードを必要としているかどうかを確認します。

システム内のすべての一時カードは、カードを所有する個人に割り当てられます。一時カードは、訪問者、研修生、ベンダー、バッジを家に忘れた従業員が使用できます。カード所有者に関する情報は、アクセス制御データベース内に保管されます。すべての一時カードに関する四半期レポートは、一時カードが確実に管理される責任を負う 1 人の担当者に送信されます。  

スペース

BB&T は、自社環境内の物理空間の基準と定義を確立し、空間を重要、制限、および一般の 3 つのカテゴリに分類しています。空間のカテゴリーごとに基準が定められています。クリティカル カテゴリは、サーバー ルームや HVAC サイトなど、リスクの高い重要なインフラストラクチャ領域のために予約されています。制限スペースとは、会社が制限されていると判断した部門のオフィススペースです。すべての重要なスペースと制限されたスペースには、スペース所有者が割り当てられます。スペース所有者は、そのエリアへの人々のアクセスを承認または拒否する責任を負います。一般アクセスエリアは共用ドアと廊下です。

スペースのカテゴリごとに、アクセスの管理方法に関する基準が確立されています。たとえば、データ センターの標準では、管理人や不要不急の職員には付き添いなしではアクセスを許可しないと規定されている場合があります。標準では、そのスペースへのアクセスを誰が承認できるか、およびアクセス レポートをレビューする頻度も決まります。たとえば、重要なスペースと制限されたスペースのレポートは毎月または四半期ごとにレビューされます。

アクセス デバイスは、スペースのカテゴリとスペースにアクセスするユーザーに基づいてグループ化されます。これにより、アクセス要求プロセスが合理化され、要求者がどのようなアクセスを選択しているのかを理解しやすくなります。できるだけ多くのリーダーをグループ化すると、グループ化の数が最小限に抑えられ、アクセスを要求するユーザーの選択肢が少なくなります。また、アクセス レポートが正確であることの確認が容易になり、アクセスの承認プロセスとアクセス レポートのレビューが簡素化されます。建物の重要なスペースのすべての読み取り者がグループ化されている場合、重要なスペースに対して必要な承認は 1 つだけであり、レビューする必要があるレポートは 1 つだけです。  

ただし、場合によっては、グループ化を最小限に抑えることができない場合があります。たとえば、あるユーザー グループは IT エリアへの立ち入りを許可されますが、研究室内にあるサーバー ルームにはそのグループのサブセットのみがアクセスできます。この場合、グループは読者ではなくユーザーによって分類されます。

アクセス レベルとデバイス グループが重複しないようにすることも重要です。これにより、リクエストのプロセスとレポートのレビューが複雑になる可能性があり、スペースにアクセスできるユーザーの不完全なリストがアクセス レポートに反映される可能性があります。たとえば、リーダーが 3 台ある建物では、グループ 1 には表玄関と裏口のドアが含まれ、グループ 2 には通信室が含まれる可能性があります。これら 2 つのグループに加えて、3 人のリーダーすべてを含む包括的なグループ 3 が存在する場合、3 人の個別のリーダーはそれぞれ 2 つの異なるグループに属しているため、問題が発生する可能性があります。このシナリオでは、通信室の読者グループのレポートを作成するのではなく、誰が通信室にアクセスできるかを決定する要求が行われた場合、3 人全員の読者からなるグループの追加レポートを提供する必要があります。多くの組織では、この 2 番目のステップが欠落しているため、特定の領域にアクセスできるユーザーが不正確に表示されてしまいます。これは監査中に発見された場合、大きな問題になる可能性があります。

この問題を解決するもう 1 つの方法は、個々のドアについて読者レポートを実行することです。この例では、通信室のみについて読者レポートを実行します。ほとんどのアクセス制御システムでは、このタイプのレポートが可能です。ただし、多数の個別のカード リーダーを備えている企業では、より多くのレポートが必要になります。多くの場合、同じユーザーが複数のドアにアクセスする必要があるため、個別の読者レポートを実行するよりも、重複しないグループにそれらを結合する方が合理的です。原則として、BB&T は、重要または制限されているとみなされた読者が複数の読者グループに属することを許可しません。これにより、アクセス レポートが正確かつ完全であることが保証されます。  ただし、管理人や警備員など、建物全体にアクセスする必要があるユーザーは、建物全体への包括的なアクセスを要求するのではなく、建物の各エリアへのアクセスを要求する必要があります。これは、レポートの理由だけでなく、スペース所有者が自分のスペースにアクセスできるすべてのユーザーを承認する必要があり、スペース所有者に自分のスペースに誰が入っているかを知る責任があるため、有益です。レポートレビュープロセスの制御を設定して、スペース所有者が管理人やセキュリティ担当者のアクセス権を削除しないようにすることができます。一部のシステムではカードにフラグを立てることができ、アクセスを削除する前により高いレベルの精査が必要になります。それにもかかわらず、これはアクセス レベルを設定するためのよりクリーンな方法であり、スペース所有者が自分のスペースにアクセスできるすべてのユーザーのレポートを確認できるようになります。これは、ほとんどの監査人が求めていることです。   

掃除

時間の経過とともにアクセス制御システムが混乱した場合は、データベースのクリーンアップをお勧めします。まずは、過去 6 か月など、特定の期間に使用されていないカードをすべて非アクティブ化することから始めます。したがって、レビューするカードは少なくなります。その後、セキュリティは、現在の従業員の一致を提供する社内の別のデータベースとの共通データを見つけることができます。システム内のアクティブなカード所有者がまだ会社で働いているかどうかを判断するには、人事データまたは情報セキュリティ データが最適です。従業員以外、訪問者、テナント、請負業者用の残りのカードについては、セキュリティ担当者がカード ユーザーを社内のマネージャーまたは従業員に関連付けることができるかどうかを調査する必要があります。セキュリティ部門はこれらの内部パートナーと協力して、アクセス カードの継続的なレビューを実装できます。 

メンテナンス

人事データまたは情報セキュリティ データの定期的な照合を実行することで、カード上の情報と一致しないユーザーのカードが確実に無効化されます。ユーザーが試合に参加できなかった場合、そのユーザーは四半期ごとのレビューのためにスポンサーに割り当てられ、資格情報を終了する必要があるかどうかを判断する必要があります。ユーザーが依然として指定されたエリアにアクセスする必要があることを確認するために、すべての非一般スペースについてアクセス レポートをレビューする必要があります。このようなレビューは、四半期を超えずに定期的に行う必要があります。アクセス要求プロセスの重要な部分は、新しい標準をサポートし、レポートのレビューをサポートするために必要なすべての情報を確実に取得することです。たとえば、リクエストが訪問者に対するものである場合、セキュリティはリクエスト中にそのカードを所有する人の名前を取得する必要があります。   

自動化

BB&T は、2015 年末までにアクセス制御リクエストと監査レポート システムの自動化をアップグレードすることに取り組んでいます。新人研修の人事システムからアクセス制御システムに至るまで、アクセス制御データベース管理プロセス全体を自動化するソフトウェアを検討しています。これには、情報セキュリティ認証システムと完全に統合されるソフトウェア インターフェイスが含まれます。理想的なソフトウェアは、人間の介入なしに承認されたアクセスが自動的にプロビジョニングされるアクセス制御システムと完全に統合されるものです。

このような自動化を導入する場合、コストが大きな要因となります。一部の企業はプロセスの一部を自動化することを選択しています。承認者に電子メールを送信し、最終的にはアクセスをプロビジョニングするチームに要求を電子メールで送信したり、アクセス制御チームが要求を表示するためのダッシュボードを提供したりする単純な Web ポータル フォームを使用する場合もあります。多くの企業は、人事データや情報セキュリティ データを統合してアクセス制御システムを更新し、退職した従業員、ベンダー、請負業者のカードを自動的に無効化できるようにしています。レポートのレビューを自動化する方法を見つけた人もいます。これらの追加ソフトウェア ツールをアクセス コントロール ソフトウェアと組み合わせて提供しているアクセス コントロール メーカーはほとんどありません。一部の企業は、顧客をサードパーティのソリューションと連携したり、サードパーティのソリューションに誘導したりする一方、自動化の必要性を認識し始め、より堅牢なレポート機能などの要素を標準ソフトウェア パッケージに組み込んでいる企業もあります。  

これらの取り組みは気が遠くなるように思えるかもしれませんが、標準が設定され、データベースがクリーンアップされ、継続的なメンテナンスが開始され、ある程度の自動化が実装されれば、システムは制御下に置かれます。セキュリティの専門家は、機器や設置の先を見据え、保護をこれらだけに頼るのではなく、重要です。健全なメンテナンス プログラムにより、アクセス制御プロセスに疑問が生じた場合でも、セキュリティ部門は企業のプログラムが制御下にあることを確信できます。  

--

ブリゲット ヒメネス、CPP、BB&T の物理的セキュリティ マネージャーで、会社のセキュリティ コマンド センター、セキュリティ オペレーション、職場暴力防止プログラムを管理しています。

arrow_upward