IPA、入退管理システムにおける情報セキュリティ対策要件チェックリストを公開

　独立行政法人情報処理推進機構（IPA）は20日、「政府機関等の情報セキュリティ対策のための統一基準（以下、政府統一基準）」の要件に従い、入退管理システムの調達者が情報セキュリティ上の要件や対策を確認するための「入退管理システムにおける情報セキュリティ対策要件チェックリスト」を公開した。

　ビルや工場の物理セキュリティを担う入退管理システムは、複数の扉やゲートに設置された機器がネットワーク経由で統合管理されており、勤怠管理などの社内システムと接続されるケースもあるため、「政府統一基準」において情報セキュリティ対策が必要とされるIoT機器を含む特定用途機器に指定されている。

　こうした状況を受け、IPAでは、より安全な国民サービスを提供するための政府調達推進の一環として、「入退管理システム」の機能と運用におけるセキュリティ上の対策を確認できるチェックリストを公開した。これは、2017年12月に公開した「ネットワークカメラシステムにおける情報セキュリティ対策要件チェックリスト」に続くものとなる。

対象とするネットワーク構成の例

　チェックリストでは、IDとログを保持して認証装置から送られたIDを照合して電気錠に命令を送る制御装置や、カードや指紋情報からIDを読み取り制御装置に送る認証装置、制御装置からの信号に応じで動作する電気錠、管理機能をIPネットワーク上に提供し、IDとログを管理保持する管理サーバー、管理サーバーや制御装置にアクセスするクライアント端末の管理者PCなどの機器について、要件を示している。

　要件の策定にあたっては、既存の入退管理システムに関わる警備会社やベンダーなどの協力のもと、情報セキュリティに関する機能の実態調査を行い、1）保護すべきデータや想定される脅威の分析、2）脅威への対策の洗い出し、3）政府機関や自治体の調達者、有識者、警備会社およびベンダーで構成された、入退管理システムセキュリティ要件検討WGによる対策の具体的な要件化を行った。

　チェックリストは、設計構築・運用・保守・廃棄といったフェーズごとに構成され、それぞれ仕様書へ記述すべき要件と組織における対策・運用方法が明記されており、政府組織に限らず自治体や民間組織においても調達仕様の策定時や日常の運用における情報セキュリティ向上に役立てられる。

　たとえば、「不正アクセスの検知」という要件に対し、「システムを構成する機器との通信断を管理者が検知できること」といった仕様書に適した形式での記述とともに、「機器の回線切断およびケース開けを管理者が検知できる設定とする」といった対策などを示している。