2019/9/12

物理セキュリティ新時代 (1) 物理セキュリティにおける製造業としての哲学(前編)

  • このエントリーをはてなブックマークに追加

DNPでは、多くの企業・団体から、社員証ICカード、職員証ICカード等の製造・発行業務を請け負っています。また、ICカードから派生して、セキュリティゲートや監視カメラ、社員食堂のカード決済システム、自動販売機のキャッシュレスシステム、カード紛失時に即時発行を行う装置、社員証の一斉更新時に社員の顔写真を撮影する装置など、多種多様な製品をラインナップしています。
さらには、国際クレジットカードブランドによる厳しい工場監査を毎年継続的に受け続けてきた知見をベースに、お客様の工場や社屋のゾーニング、動線設計、ICカードの運用設計、リスクアセスメントといった、コンサルティング領域の業務も請け負っています。
本コラムでは、自社工場を守る側、お客様に最適な物理セキュリティをご提案する側の2つの立場から、DNPが考える物理セキュリティについて、前編と後編に分けて解説します。



大日本印刷株式会社
情報イノベーション事業部 C&Iセンター セキュリティソリューション本部
サービス企画開発部 BR&コンサルティンググループ
リーダー
佐藤 俊介

※所属・肩書などは、2019年8月取材時のものです

物理セキュリティにおける製造業としての哲学



ー 佐藤リーダーは、どのようなところからセキュリティに関わるようになったのですか。

DNPはクレジットカードの認定製造・発行工場を持っており、国際クレジットカードブランドが指定した監査会社によるセキュリティ監査を、毎年受けています。私は、10年以上これらの監査を担当しており、クレジットカードブランドが要求する厳しい国際基準に、工場と共に対応してきたことが、私がセキュリティに関わるようになったきっかけです。
クレジットカード業界には、PCI DSS(Payment Card Industry Data Security Standard)という、クレジットカード情報を安全に取り扱うことを目的としたセキュリティ基準がありますが、クレジットカード工場の監査は、このPCI DSSよりも厳しい、PCIカード製造という国際基準に則って実施されます。この基準はカード製造・発行に特化していて、製造したカードが不正に持ち出されたり盗まれたりしないよう、さらにはカードに記録するクレジットカード番号等の重要データが漏えいしないよう、様々な厳しい要求事項があります。
製造したカードはもちろんのこと、カードを作るために必要なホログラム等の材料や、印刷するための版など、クレジットカードの製造に関わる要素については、印刷に失敗した分も含めて厳重な管理が求められます。かつてのクレジットカードブランドの要求事項は、物理セキュリティが大半だったのですが、2008年頃から、いわゆるサイバーセキュリティ要求事項を規定に加えており、現在は、物理セキュリティと論理セキュリティの両方が求められています。



クレジットカードブランドの要求事項とは



― カードを製造・発行する工場の建物や敷地に対して、クレジットカードブランドはどのような体制や仕組みを要求しているのですか。

まずは、外部からの侵入を防ぐための、門や監視カメラに対する要求があります。かつては2メートル以上のフェンスを設置することが要求されていたのですが、今は具体的な防御策まで言及されていません。現在は、侵入されたとしても検知できることが求められています。


― 工場に出入りする人には、宅配業者の方や郵便局員の方もいらっしゃいますが、そういった方が乗ってくる車両について、ルールはあるのですか。

まずはゲート管理ですね。対象工場には車両ゲートが導入されており、正しく入門処理がされないと、車両が通行できないようにしています。また、車両や運転手を事前に登録し、登録が確認できない場合は入門できないようにしている工場もあります。


― 敷地内のセキュリティを守るためには、ゲートだけでなく、工場の外周も守る必要があると思うのですが、どのような対策を取っているのですか。

一般的には、フェンス、監視カメラ、センサを使っています。工場によって使うセンサは異なりますが、赤外線センサやワイヤーセンサ等で外周を囲い、侵入を検知したら警備員が駆け付けます。


― 工場の外周に対して、カードブランドの監査は聞き取り調査を行うだけなのですか。

外周を回り、実際にセンサを発報させる監査官もいますよ。監査は普段の状態を見るものなので、警備員が規程通りに駆け付けて来るところまで実際に確認されます。


― 門の次にある境界は警備室や入門ゲートですね。ここにはどういうことが要求されるのですか

従業員ゲートは一般的に“One by One”、すなわち1人ずつの入退場が求められています。実装の方法は多々あるのですが、よく使われるのはフラッパーゲートです。クレジットカードの製造を行っている工場では、警備室の横にOne by Oneのゲートがあり、警備室からゲートを通る人を目視できる状態にしています。場所の都合で警備室から直接ゲートを目視できない場合でも、監視カメラでゲートを常時監視し、異常時には、警備員がすぐ駆け付けられるようにしています。
建物に入った後も、高セキュリティエリアへの入室にはOne by Oneが要求されます。扉の脇に取り付けたカードリーダーで入退室制限を行う事が多いのですが、これらの扉では共連れを防止する為にアンチパスバック機能も実装しています。

  • アンチパスバック:入室の履歴がないと退室できず、退室の履歴がないと入室できない仕組み


― 入り口以外、例えば、建屋の構造に対する要求などはあるのでしょうか。

窓がある部屋は、製造したクレジットカード等を取り扱わないよう、ルール化されています。これは、例えばホログラムやクレジットカードを窓から投げ、窓の下で共犯者が待ち構えて持ち去る、といったことを防ぐための設計です。
ほかにも、カードの出庫に関しては、人が介在しない環境で受け渡しを行うため、特に厳重なルールの元で運用をしています。インターロックとも言われますが、工場内部の人は、積み荷エリアの内側の扉を開け、物を置き、積み荷エリアから出て内側の扉を閉めます。外から入ってきた人は、本人確認の後、外側の第1の扉を入り、外側の第1の扉を閉じて第2の扉を開け、積み荷エリアに入ります。積み荷エリアで荷物を取った後は、エリアから出て第2の扉を閉じ、第1の扉を開けて外に出るという仕組みです。それら一連の流れを監視カメラで撮ることまでが運用ルールとなっています。


― 製造したカードが、セキュアに出荷されることはわかったのですが、製造工程で使用する紙や、発行に失敗したカードについては、どのように扱われるのでしょうか。

まず紙についてなのですが、クレジットカード工場には紙で運用されている工程もたくさんあります。
1か所で完結する工程であれば、作業が完了した時点で、その場でシュレッダーにかけるようにしています。クレジットカードの製造では、“正しく廃棄される”ということが重要なので、監視カメラのついたシュレッダー専用の部屋に、二人一組で入場し、作業記録を付けて相互監視の下でシュレッダー処理を行います。1か所で完結しないような工程についても、使用が終わったらシュレッダーをかける、という点では同じです。
例えば、カード発行に使う作業リストは、個人情報が記載されているので、チェックし終わったカードと一緒に、次の工程に引き継ぎ、納品が完了してから、二名作業でシュレッダー処理をします。


― 処分方法についての要求事項があるのですか。

“セキュアに捨てる”という要求がありますね。
ハードディスクを捨てるときは、ドリルで穴を開けて、その状態を写真で証拠として残すようにしています。端末が故障した場合であっても、その中に入っているカード情報や個人情報が、電子的に残っている可能性もありますので、いくつのセキュアなデータの消し方の中で、よりセキュアと言われている、物理的に媒体を破壊する方法を使っています。


― 建物内のゾーニングや動線設計に関する要求事項には、どんなものがありますか。

クレジットカードブランドによって、高セキュリティエリアというものが決められています。
例えば、製造したカードを保管しておく倉庫や、カードにカード番号や個人情報を記録して使用できる状態にする発行エリア、発行用のデータを扱うサーバ室、セキュリティの根幹を担う警備室等には、最も高いセキュリティ対策が求められます。こうした高セキュリティエリアでは、二要素認証やOne by Oneゲートの実装などが求められています。
工場の関係者なら誰もが入れるエリア、社員だけが入れるエリア、特定の部署の人だけが入れるエリア、特定の作業者だけが入れる高セキュリティエリアというように、段階的にセキュリティのランクが上がるようにゾーニングしています。工場の製造エリアは特に顕著で、段階的にすることによって、高セキュリティの対象となる部材が、誰もが入れるエリアを通るといったことを防いでいます。


― 二要素認証やOne by Oneということですが、カード式や暗証番号式、生体認証など、認証方法についてカードブランドから具体的な要求はあるのですか。

方法よりも、入退する人を厳密に管理することが要求されています。
高セキュリティエリアに入る人は当然、許可された本人でなくてはなりません。その場合、どの認証方法が適切なのか、運用まで考えて実装方法を決めています。DNPの工場では基本的に、社員証やゲストカードと、IDゲートを用いて入退出を管理する方法が一般的です。高セキュリティエリアでは、これに生体認証を組み合わせ、二要素認証にしていますし、カードやホログラムを保管するエリア等は、二人の登録者カードをかざさないとIDゲートが開かないようになっています。

また、高セキュリティエリアや外周は、監視カメラで24時間365日、死角なくクリアに撮影することが求められます。カメラの種類については特に規定が無く、屋外でも街灯などで十分明るいのであれば、暗視カメラを入れる必要はありません。種類や台数ではなく、死角がないこと、人や動作が認識できることが要求事項です。


― フレームレートや解像度についてはどうですか。 ※ 動画の滑らかさを表す指標。単位時間あたりのコマ数

フレームレートは決められていて、一番厳しいところだと秒間4コマとなっています。監視カメラの台数が多いと、かなり録画容量を取ってしまうのですが、このくらいのフレームレートでないと、人や動作の判別が難しいのです。
また、過去3カ月間くらいの録画データは、すぐに再生できる状態にしておく必要があります。それ以前のデータについては、バックアップでもいいのですが、一年間以上保存しておかなければなりません。


― 逆に、カメラに写してはならないところはあるのですか。

大きく分けて2か所あります。1か所目はサーバ室です。サーバ室でメンテナンスをしているシステム管理者の手元が鮮明に見えてしまうと、そこで入力している管理者パスワードが映像からわかってしまう可能性があります。つまり悪意のある第三者が重要なサーバに不正に入られてしまうというリスクにつながるので、画面や手元が映らないように監視カメラの配置や画角等を工夫しています。
2か所目はカード発行エリアです。クレジットカードの番号をエンボスしているところや、発行に失敗したカードがカメラに写ってしまうと、同様にカード番号が流出する恐れがあります。こういったエリアは、ズーム機能を使ってはいけない規定となっています。

監視カメラの映像は一般的に警備員が監視していますが、その警備員すら信じないという考え方、「ゼロトラスト」の思想で運用されています。警備員は監視カメラ映像を閲覧することはできますが、録画機器の特権IDを持ってないので、警備員が不正を行ったとしても、それが映っている映像を消すことはできません。


― 規定を100%実現するには、多大なコストがかかってしまいそうなのですが、コストを抑えるため、代わりの策を講じた特徴的な事例はありますか。

例えばOne by Oneゲートで要求されているのは、一人ずつ入場させることであって、実装方法までは決められていませんので、フラッパーゲートを設置せずに、IDゲートと2枚扉を工夫して設置して実現しているところもあります。こうしたコストを抑えた方法をいくつも考えつくDNPの現場力は、カードブランドの監査員からも高く評価されています。




物理セキュリティにおける製造業としての哲学(後編)
https://www.dnp.co.jp/biz/theme/security/detail/1192861_1902.html

情報セキュリティコラム一覧
https://www.dnp.co.jp/biz/theme/security/

人気の記事