入退管理システムにおける情報セキュリティ対策要件チェックリストを公開-IPA

IPA(独立行政法人情報処理推進機構)は、「政府機関等の情報セキュリティ対策のための統一基準(以下、政府統一基準)」の要件に従い、入退管理システムの調達者が情報セキュリティ上の要件や対策を確認するための「入退管理システムにおける情報セキュリティ対策要件チェックリスト」を策定・公開した。
これには調達仕様書に記述すべき要件が明記されており、民間組織でも活用が可能である。

家電や自動車、事務機器をはじめとした様々な機器がインターネットに接続するモノのインターネット(IoT)が普及するなか、IoT機器にも適切なセキュリティ対策を講じることが重要である。踏み台として利用されたり、不用意に社内ネットワークにつないでしまうことで思わぬセキュリティホールとなってしまうことも。

特にビルや工場の物理セキュリティを担う入退管理システムでは、複数の扉やゲートに設置された機器がネットワーク経由で統合管理されている。また、それらが勤怠管理などの社内システムと接続されるケースもある。そのような背景もあり、「政府統一基準」において情報セキュリティ対策が必要とされるIoT機器を含む特定用途機器に指定されている。

これに対しIPAは、より安全な国民サービスを提供するための政府調達推進の一環として、「入退管理システム」の機能と運用におけるセキュリティ上の対策を確認できるチェックリストを作成・公開した。これは、2017年12月に公開した「ネットワークカメラシステムにおける情報セキュリティ対策要件チェックリスト」に続くものとなる。

本チェックリストで要件を示している機器等は以下の通りである。

要件の策定にあたっては、既存の入退管理システムに関わる警備会社やベンダー等に協力を仰ぎ、情報セキュリティに関する機能の実態調査を行い、以下のような作業を行った上で、策定したという。

① 保護すべきデータや想定される脅威の分析
② 脅威への対策の洗い出し
③ 委員会(*1)による対策の具体的な要件化

本チェックリストには、設計構築・運用・保守・廃棄といったフェーズで構成され、それぞれ仕様書へ記述すべき要件や組織における対策・運用方法が明記されており、政府組織に限らず自治体や民間組織においても調達仕様の策定時や日常の運用における情報セキュリティ向上に活用することが可能だ。
例えば、「不正アクセスの検知」という要件に対し、「システムを構成する機器との通信断を管理者が検知できること」といった仕様書に適した形式での記述とともに、「機器の回線切断およびケース開けを管理者が検知できる設定とする」といった対策などを示している。(別紙1:要件表記の一例)

 

尚、本チェックリストは、製品のセキュリティ機能の向上や、攻撃手法の変化に伴い更新する予定であるという。
調達時には以下のURLから最新版をダウンロードし、常に新しいチェックリストを利用することが求められる。

 

入退管理システム チェックリスト
https://www.ipa.go.jp/security/jisec/choutatsu/ecs/index.html


プレスリリース全文:https://www.ipa.go.jp/files/000073711.pdf

関連記事

ピックアップ記事

  1. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  2. 平成31年、とうとう平成最後の年が幕を開けた。先日、安倍首相は三重県伊勢市での年頭記者会見で、「5月…
  3. 経済の新たな原動力として注目されるAPI。業務システムとしてクラウド(SaaS)を利用することが一般…
  4. 不朽の名作と名高いRPGの開発をはじめ、数々の有名IPのソーシャルゲーム開発を手がけてきたオルトプラ…
  5. PCNW(PC・ネットワークの管理・活用を考える会)が、東京会場における今期最初の勉強会「第一回クラ…
  1. 使える! 情シス三段用語辞典88「EPP(Endpoint Protection Platform)」

  2. 機械学習を用いた予測分析ソフトウェア「Prediction One」を無償提供-ソニー

  3. 【徹底比較】Webブラウザ最新事情・2019年版

  4. 【情シスTips】もう怖くない!サービスとして活用するWindows10(第4回)

  5. 入退管理システムにおける情報セキュリティ対策要件チェックリストを公開-IPA

  6. 【PCNW 大会 2019】いま求められる情シスのミッションとは!?

  7. いまさら聞けない【情シス基礎知識】httpsのなぜ?

  8. 情シス in 新潟#2 @Prototype Cafe

  9. いまさら聞けない【情シス基礎知識】Microsoft365とは?

  10. 【情シスTips】もう怖くない!サービスとして活用するWindows10(第3回)

プレスリリース

登録されているプレスリリースはございません。

関連サービス

情シス採用 人材紹介サービス

情シスの戦略・企画人材育成

情シス向け業務支援ツール

おすすめ記事

  1. オラクル(Oracle)による無償サポート終了で今やホットなキーワードである「Java」。自分のPC…
  2. Windowsに無料でついてくるセキュリティソフト「Windows Defender」。わざわざセキ…
  3. 欧州でのGDPR(一般データ保護規則)の施行や企業情報を狙ったサイバー犯罪の流行の中、情シスは顧客情…
  4. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
  5. 2000年にリリースされたWindows 2000 Server で初めて登場したActive Di…
  6. ついにスタートした「GDPR」。世界から注目を集めるEUの個人データ保護規制です。EUに所在する人の…
ページ上部へ戻る