カジノサイト
アクセス制御で訪問者を適切に管理
最も基本的なレベルでは、アクセス制御システムは、そこにいる許可のある人には効率的にアクセスを許可し、許可のない人にはアクセスを拒否するものと考えられています。さまざまなタイプの訪問者に対応するシステムを開発する場合、物理的セキュリティのこの基本的な側面の複雑さは大幅に増加します。
そのため、カジノサイト が 2023 年末にアクセス制御システムを調査する詳細な調査プロジェクトに着手した際、組織が訪問者管理にどのようにアプローチするかが主な検討事項でした。最終報告書、アクセス制御の要点: 洞察、ベンチマーク、ベスト プラクティス40252_40469
1 つ注意してください。カジノサイト は、研究の目的で、アクセス制御システムを、アクセスを制限するために導入されたテクノロジーと、その取り組みをサポートするポリシーと手順の両方として定義しました。
訪問者への対応の複雑さ
セキュリティ専門家にとって訪問者管理が悩みの種であるという事実は、現在のアクセス制御システムについて何を変更するかを参加者に尋ねる自由回答形式の質問によって研究で浮き彫りになった。 「アクセス」、「コントロール」、「改善」という言葉を除くと、「訪問者」という言葉が回答で 3 番目に多く使用された言葉でした。多くの人は、訪問者を管理するために使用する紙と鉛筆のプロセスを嫌い、より洗練されたソリューションを望んでいました。より制限的な政策を望む人もいた。現在のアプローチに代わる、より迅速でリソースの消費量が少ない代替手段を求めている人もいました。
訪問者の管理が大きな混乱を引き起こすのは驚くべきことではありません。広く使われている「訪問者」という用語は広範囲をカバーしており、1 時間の会議のために施設を訪れる見込み顧客、解決に 3 時間または 3 日かかる可能性のある問題の診断に来る HVAC 請負業者、1 か月間施設へのアクセスが必要な会計監査人、従業員を訪問する家族、短期派遣労働者、検査官など、さまざまなシナリオが含まれます。リストは数え切れないほどあります。個々の訪問者には、アクセスが必要なレベルと期間が異なります。
CPP のフレイジャー R. トンプソン IV は、世界最大の製紙会社であるインターナショナル ペーパーの副最高セキュリティ責任者です。創業 125 年の同社は、10 か国の 250 の施設に 39,000 人の従業員を擁しています。
「これらすべてを標準化するという困難は想像できるでしょう」と彼は言います。 「私たちがどのように取り組んでいるかというと、ゆっくりと、しかし確実に内部の物理的セキュリティ評価を実施しています。サイトを訪問して、その運営がどのように機能しているか、訪問者のアクセス管理が現在どのように行われているかを理解します。私たちのサイトの多くは、紙のログという皆さんが予想することを行っていますが、ほとんどのサイトはまだそれを行っています…私たちが行っていることは、より効率的なものにするために、より電子的な標準に移行し実装しようとしているということです。」
訪問者を適切に管理することは、セキュリティの問題だけではありません。それはほとんどの場所にとってビジネス上の必須事項です。調査対象者の 3 分の 2 は、法令または規制により特定のアクセス制御基準を満たすことが義務付けられており、それらのアクセス制御基準のほとんどには訪問者の考慮が含まれていると回答しました。
「私たちにとって最大の課題の 1 つは、私たちのサイトにアクセスするすべての人が安全であるだけでなく、自分自身も安全であることを確認することです。」とトンプソン氏は付け加えました。
訪問者管理ポリシーのベンチマーク
組織にとって訪問者管理は複雑ですが、いくつかのベスト プラクティスはシンプルであるという点で優れています。
長年セキュリティの専門家でありコンサルタントである PSP の Don McInnes が、1 つの単純なアイデアについて説明しています。 「[識別バッジ] の水平方向または垂直方向の配置を変更します」と彼は説明します。 「従業員が横型のカードを持っている場合は、訪問者に縦方向のカードを渡します。これは簡単に区別できるので、カードをよく見るように従業員を訓練する必要はありません。大規模なスポーツ イベントでは、イベント スタッフ、ベンダー、請負業者、ケータリング業者に対してそのようなポリシーが使用される場合があります。これにより、横型であるため誰でも一目で今年のバッジであることがわかり、翌年にはバッジを裏返すことができます。これと同じくらい単純なことは、訪問者管理の効果的な部分になり得ます。」
調査研究では、一般的な訪問者ポリシーと慣行のリストが提供され、参加者に自分の組織がそれらを使用しているかどうかを尋ねました。それらのほぼすべてが、ほぼ半数の組織で導入されていました。リストの中で最も制限的な項目である「すべての訪問者は事前に把握され、セキュリティによる事前検査を受けなければならない」は最も普及率が低く、参加者の 37% が組織内で実施していると回答しました。最も普及していた 2 つのポリシーは、どちらも参加者の 3 分の 2 以上が受け入れたもので、訪問者は有効な身分証明書を提示する必要があることと、訪問者はサイト内で訪問者バッジを着用し、目に見えるように表示する必要があることでした。
マキニスの例と カジノサイト 研究で提示された政策は、多くの異なる分野に広く適用できます。ほとんどではないにしても、多くの組織は、サイトの特性に基づいてポリシーや慣行を調整します。たとえば、安全性を最優先事項として、トンプソン氏は、インターナショナル ペーパーのすべての製造現場では、高視認性のベストを着用する必要があったと述べています。また、一部の現場ではさらに一歩進んで、訪問者用に異なる色のベストを着用しているため、従業員はその人を注意深く監視し、護衛されていることを確認し、安全を確保できるようになりました。
CPP のロス ジョンソンは、Bridgehead Consulting の社長であり、重要なインフラストラクチャ組織と連携して物理的なセキュリティの実践を改善してきた豊富な経験を持っています。ユーティリティ分野では、安全性が最も重要な関心事であると彼は言います。
「訪問者の問題は、彼らが何も知らないことです」と彼は言います。 「彼らは高圧変電所がどれほど危険であるかを知りません。彼らは、電気が到達して近づきすぎると命を落としてしまう場所が歩いて行ける場所があることを知りません。その環境でのアクセス制御の目標は、訪問者を生かし続けることです。」
ポリシーには、危険なエリアにアクセスする前に安全に関する説明が含まれています。彼らが常に付き添われ、常に監視下に置かれるようにする。また、トンプソン氏の製紙工場での経験と同様に、訪問者に異なる色の帽子をかぶらせることで、従業員が現場の誰がその環境に慣れていないのかを確認し、安全を確保できるよう努めることができます。
訪問者管理とテクノロジー実践のベンチマーク
訪問者管理のバグは、手動システムを使用して訪問者 (または訪問者の資格情報) を追跡することです。それが実際の紙とペンのシステムであっても、スプレッドシート トラッカー (実際にはデジタル システムを装った単なる紙とペンのシステムである) であっても、組織の 40% はこの方法のみを使用しており、International Paper のトンプソンのように、別の 20% は一部のサイトでは手動システムを使用し、他のサイトでは完全なデジタル ソリューションを使用しています。
「訪問者管理システムがあればいいのですが」と、アルバータ州カルガリーに本拠を置き、高層オフィスビルを管理するブルックフィールド・プロパティーズのセキュリティ・生命安全担当ディレクター、パーネル・リー氏は言う。 「問題は、私たちの建物が各建物に多数の顧客を抱えて開いていることです。私たちは顧客を訪問する人々にはそれを使用しません。それは実行可能な状況ではありません。しかし、訪問者管理システムがあれば、請負業者との作業は確かに容易になります。私たちは回避策システム、つまり紙のプロセスを持っています。手動による記録を確実に排除したいので、いくつかのベンダーと話し合いましたが、これまでのところ、私たちのニーズを満たす価値のあるソリューションを見つけていません。」
訪問者管理に手動システムを使用しているか、まったくシステムを使用していない人の 41% は、訪問者管理システムの追加はアップグレード計画の明示的な一部であると回答しました。 30% はシステムのコストが法外であると回答し、半数以上はそのようなシステムを正当化するのに十分な訪問者のトラフィックがないか、リスク評価で訪問者管理システムが優先事項として認識されていなかったと回答しました。
iLobby Facility and Visitor Management の最高収益責任者である Jeff Gladwish 氏は、訪問者管理システムの主張をするために意思決定者にアプローチするよう見込み顧客にどのようにアドバイスするかと尋ねられたとき、リスク管理プロセスの一環として、インシデントが発生する前に主張する方がよいと述べました。 (開示: カジノサイト がプロジェクトの完全な管理を保持していましたが、iLobby が研究を後援しました。)
もう一つ指摘すべき点は、フォートノックス不平等症候群です。 「当社の顧客の 1 人は、『従業員のためにこの非常に優れたアクセス制御システムに投資した』と言いました」とグラッドウィッシュ氏は説明します。 「『フォートノックスのようなものです。私たちはそこに誰がいるのか、誰が入ってくるのか、誰が外出するのかを知っています。そして、これらは私たちがすでに知っており、ほとんどの場合すでに信頼している人々、つまり当社の従業員です。そして、より危険なグループである訪問者は、毎日来ない人、私たちが知らない人、または同様に知らない人たちであり、場合によっては、より緩いセキュリティで施設に彼らを入場させます。」
トンプソン氏は、堅牢な訪問者管理システムを備えた自社の店舗は、効率性と訪問者管理プロトコルへの準拠の点で他の店舗よりも何光年も先を行っていると指摘しています。 「電子システムを使用して、事前登録プロセス中にできることはすべて前もってロードする」ことが重要だと彼は言います。 「これらの[機密保持契約(NDA)]を前倒しすることができ、必要なトレーニングを前倒しすることができます。訪問者は、現れる前にNDAに署名し、安全プロトコルを遵守することに同意し、あなたが受けているトレーニングを視聴し、[個人用保護具]を認識しています。登録プロセスがスピードアップされるだけなので、訪問者は現場に到着したときに、入場して仕事をし、外に出るまでのカスタマーエクスペリエンスがはるかに向上します。」
アクセス制御をより効果的にする訪問者管理関連の要素
調査では、全体的にアクセス制御システムが非常に効果的であることが示されました。複数拠点を持つ大規模な組織であっても、セキュリティ専門家が報告したインシデントはほとんどありません。そこで、有効性を測定するために、調査では、セキュリティ専門家にシステムの有効性に対する信頼度を 5 段階で評価する質問を行いました。この評価でも、アクセス制御システムは良好なパフォーマンスを示しました。たとえば、「当社のアクセス制御システムは、訪問者、請負業者、派遣スタッフの管理に必要な要件をすべて満たしていると確信しています」という声明を評価するよう求めたところ、評価はかなり肯定的で、60% が同意または強く同意しました。
同様に、調査参加者はこの声明を「私たちのアクセス制御システムは組織を保護する上で非常に効果的であると確信しています。」と評価しました。結果の分布も同様で、61% が同意または強く同意しました。
しかし、回答者が調査内の非常に効果的な質問にどのように答えたかを他の質問と比較することで、カジノサイト はセキュリティ専門家が自社のアクセス コントロール システムに対して抱く信頼を向上させる特徴を把握することができました。
訪問者管理については、回答者の 41% が訪問者管理ソリューションをアクセス制御テクノロジーと統合していると回答しました。統合を行った企業の 70% は、アクセス制御システムが全体的に非常に効果的であることに同意または強く同意しました。そのような統合がなかった企業のうち、同意した割合は 54 パーセントに減少しました。
同様に、組織が一時的な認証情報を追跡するために使用したさまざまな方法を観察すると、紙とペンで記録を保持するシステムではなく、より高度な手段を備えたセキュリティ専門家が自分たちのシステムに自信を持っていることがわかりました。
別の質問は、組織が施設内の人々の出入りを追跡できるかどうかを尋ねたもので、48% が施設内のすべての人々にその機能があると回答し、14% がスタッフのみにその機能を備えており、39% はまったく出入りを追跡できる機能がないと答えました。これは、有効性の尺度に関する最も強い相関関係の 1 つであることがわかりました。全員を追跡できた回答者のうち、73% がアクセス制御システムが非常に効果的であることに同意または強く同意したのに対し、出入り追跡機能を持たなかった回答者は 45% のみでした。
テクノロジー ソリューションのおかげでセキュリティ専門家の自信はさらに高まりましたが、このプロジェクトに携わったすべての実務者、コンサルタント、ベンダーは、人的側面がアクセス制御システムにとって最も重要な要素であり、これには訪問者管理コンポーネントも含まれることを強調しました。
「プロセスが非効率であれば、人々がそれを回避する方法を見つける可能性が高まるだけです」とグラッドウィッシュ氏は言う。 「アクセス制御システムは必要な最低限の基準を満たしているかもしれませんが、効率的でコスト効率も高くなければなりません。」
したがって、調査の参加者が実施したアクセス制御ポリシーまたは手順のトップが、従業員オリエンテーションの一環としてアクセス制御ポリシーを強調していたのも不思議ではありません (75%)。
「従業員がシステムの背後にある安全性とセキュリティの理由を理解し、それを支持する場合にのみ、システムは成功します」とマキニス氏は言います。 「抵抗があると、ポリシーや手順に注意を払わない人が現れ、システムが失敗することになります。システムやセキュリティ意識に関するトレーニングは非常に重要です。」
研究の方法論
カジノサイト は、スポンサー iLobby の代表者とともに、少数のメンバー グループを支援して、アクセス制御システムを研究するための調査手段を開発しました。この調査は 2023 年 9 月に主に カジノサイト メンバーを対象に実施されましたが、ソーシャル チャネルを通じて一般に宣伝も行われました。
合計 1,022 人の参加者が少なくともいくつかの質問に回答し、735 人の参加者が最後の質問に答えてアンケートを完了しました。すべての回答が表に含まれています。ほとんどの質問と分析では、誤差の範囲は 95% 信頼区間で ±4% です。調査の方法論と人口統計の詳細については、レポートを参照してください。
Scott Briscoe は、カジノサイト International のコンテンツ開発ディレクターです。彼は研究のプロジェクトリーダーを務め、結果として得られたレポートの主著者でもありました。
