物理セキュリティのリスクをどう特定し、包括的に対策すればよいですか？

情報セキュリティに関して弊社は滅法強いのですが、物理セキュリティに関するサービス展開はまだまだ準備が足りていない状況なため、より詳しい情報は後述するガイドラインなどを参考にしていただければ幸いです。ここでは、ごく一般的な物理セキュリティに関する情報に留めたいと思います。

物理セキュリティは情報セキュリティと比較すると「目に見える」セキュリティと言えるのではないでしょうか。例えばノートパソコンを盗難から守るためにワイヤーロックする、オフィスに無関係の人を入れさせないように鍵付きゲートを設置するなどが頭に浮かびます。
現代社会において、企業や組織は円滑かつ安全に活動ができるよう何らかの物理セキュリティを取り入れていることが多いです。しかし、そのセキュリティ施策が断片的な場合が多いということも否めません。セキュリティ施策にはどこまでをどれくらい実施すればよいかが分からない場合があり、取り急ぎ思いついた事やできる事から手を付けていくケースが多いのではないでしょうか。そうなると、雨後の筍のごとくやることが次から次へと出てきて、モグラ叩きの様相になりがちで、なおかつ対策が中途半端で終わってしまうことになることもしばしばあります。そうなると、折角取り掛かった施策が効かず、無駄な出費につながってしまいます。

例えばISMS（情報セキュリティマネジメントシステム）のような包括的なセキュリティ規格に対応すると言った明確な方針がある場合は、ISMS取得を専門としたベンダに相談することが賢明です。自社スタッフのみでゼロから取り組み、審査を受けて取得することは可能ではありますが、専門的な内容が多岐に渡るため、非常に骨の折れる作業と工数がかかります。本業ではなく不得意とする物事に対して無理にリソースを注ぐよりも、その道のプロに適切なコストを用いて介入してもらい、短い時間で実現したい物事を達成させた方が自組織の本来注力すべき領域にリソースを注ぐことができるようになります。

手始めに物理セキュリティに関するガイドラインに目を通し、自組織が取り組むべき領域がどこなのかを把握したうえで、実際の策定に進むのがよいのではないでしょうか。
また「物理」とは言え、高度にデジタル化された現代社会においては「情報」との連携は不可避であることにも留意いただきたい点です。例えば入退出の監視カメラを例に取ると、以前はカメラで撮影した映像は物理的な映像ケーブルを通じて録画機に接続され、ビデオテープに録画されていました。現在では、映像データは有線または無線LANを経由してサーバに送られ、データとして記録されます。従来は録画機やビデオテープに対する物理的なアクセスが無い限り、映像を手に入れることはできず、対策範囲が狭かったと言えます。しかし、現在ではネットワーク（場合によっては公衆のインターネット）を経由してサーバに不正アクセスを行って映像データを手に入れることが可能な場合があります。従って、サーバ、および記録されている映像データをデジタル的に保護する対策が必要になり、入退出という「物理」とデータという「情報」の両方を融合した形で対策をする必要があるのです。

ご自身が所属する組織が検討しているセキュリティ対策が「物理」なのであれば、下記のガイドラインが役に立つかもしれませんので確認いただけますようお願いします。

▶ 経済産業省　ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン
　 https://www.meti.go.jp/policy/netsecurity/wg1/building_guideline.html

▶ 情報処理推進機構　「中小企業における組織的な情報セキュリティ対策ガイドライン」
　 https://www.ipa.go.jp/archive/security/guide/security-guidline.html

本資料自体は2011年のものですが、物理セキュリティに関するセクションは現在でも有効な情報です。

物理、情報の両方のセキュリティに関するガイドラインは下記を参照ください。

▶ 「中小企業の情報セキュリティ対策ガイドライン」
　 https://www.ipa.go.jp/security/guide/sme/about.html