情報処理推進機構(IPA)、「入退管理システムにおける情報セキュリティ対策要件チェックリスト」を公開した。政府統一基準の要件に従い、入退管理システムの調達者が情報セキュリティー上の要件や対策を確認するために作成された。
要件の策定では、既存の入退管理システムに関わる警備会社やベンダーなどの協力のもと、情報セキュリティーに関する機能の実態調査を行い、(1)保護すべきデータや想定される脅威の分析、(2)脅威への対策の洗い出し、(3)委員会による対策の具体的な要件化――が行われた。委員会とは、「入退管理システムセキュリティ要件検討ワーキンググループ」のことで、政府機関や自治体の調達者、有識者、警備会社およびベンダーで構成されている。
ビルや工場の物理セキュリティーを担う入退管理システムは、複数の扉やゲートに設置された機器がネットワーク経由で統合管理されており、勤怠管理などの社内システムと接続されるケースもある。そのため、「政府統一基準」では情報セキュリティー対策が必要とされるIoT機器を含む特定用途機器が指定されている。
チェックリストで要件を示している機器など
対象とするネットワーク構成の一例
同チェックリストは、設計構築・運用・保守・廃棄といったフェーズごとに構成され、それぞれ仕様書へ記述すべき要件と組織における対策・運用方法が明記されている。そのため、政府組織に限らず自治体や民間組織でも調達仕様の策定時や日常の運用における情報セキュリティーの向上に役立てることができる。
