オフィスセキュリティ強化のための実践的アプローチ

企業が有する有形・無形の資産を守り、従業員が安心して働けるようにするためには、オフィスセキュリティの強化が欠かせません。社会の高度情報化が進み、情報漏洩等の被害が深刻化する中、オフィスセキュリティの重要性はますます高まっています。

オフィスセキュリティには大きく分けて「空間セキュリティ」と「情報セキュリティ」の2つがあり、セキュリティ強化のアプローチとして「物理的対策」「技術的対策」「人的対策」の3つがあります。

この記事では、なぜオフィスセキュリティが重視されるのか、オフィスセキュリティの必要性とリスクを解説しつつ、具体的なセキュリティ対策の方法やポイントもご紹介します。

オフィスセキュリティの必要性とそのリスク

オフィスには、現金、小切手、電子機器といった金銭的価値の高いものだけでなく、そこで働く従業員や顧客情報、知的財産など、膨大な有形・無形の資産があります。企業が有するこれらの資産を守り、従業員が安全に働けるようにするための対策全般を「オフィスセキュリティ」と呼びます。

そして、オフィスセキュリティには大きく分けて「空間セキュリティ」と「情報セキュリティ」の2つがあります。具体的なセキュリティ対策についてお話しする前に、まずは、オフィスセキュリティの必要性と、オフィスセキュリティが十分でなかった場合のリスクを確認しておきましょう。

情報漏洩と社員の安全保護

企業は顧客情報や社員の個人情報など、膨大な情報資産を抱えています。「情報セキュリティ」が不十分で情報漏洩が起きた場合、第三者が個人情報を不正に使用し、顧客や関係者に金銭的被害を与えてしまう可能性があります。なりすましや不正利用による被害が生じた場合、情報漏洩を起こした企業は損害賠償を迫られるだけでなく、場合によっては刑事罰の対象となることもあります。

仮に金銭的被害がなかったとしても、社会的信用の低下は免れません。また、今後同様の情報漏洩が起こらないようにするためのシステム改修も必要になってくるでしょう。

一方、「空間セキュリティ」が不十分で、オフィスへの不法侵入が発生した場合は、従業員に危害が及ぶ恐れもあり、従業員や来訪者の安全確保のためにもオフィスセキュリティの強化が大切です。

オフィスセキュリティ対策のポイント

ひと口に「オフィスセキュリティ」といってもその中身はさまざまです。ここからは、具体的なセキュリティ対策の方法やポイントをみていきましょう。

具体的なセキュリティ対策

オフィスにおけるセキュリティ対策を検討する際は、「外部からの侵入を防ぐ」「内部からの持ち出しや漏洩を防ぐ」という2つの視点が必要です。また、「侵入」と一言でいっても、オフィスへの不法侵入もあれば、データへの不正アクセスもあるため、アナログとデジタルの両面での対策が欠かせません。

オフィスのセキュリティ対策には、「物理的対策」「技術的対策」「人的対策」の3つがあります。オフィスのセキュリティリスクは多岐にわたるため、オフィスの状況に合わせて複数の対策を組み合わせることが大切です。

・物理的対策

入退室管理システムの導入、監視カメラの設置、貴重品や重要書類を施錠できる収納庫に保管する、PCに盗難防止ワイヤーを設置する、機密情報や個人情報等が記載された書類はシュレッダーにかけてから破棄する、作業中のPCの画面が部外者に見えないようパーテーションを設置する、PC画面に覗き見防止シートを貼るなど

・技術的対策

セキュリティソフトを導入する、個人情報や機密情報を扱うデータベースやシステムにアクセス制限を設ける、システムを最新版にアップデートする、VPNを利用するなど

・人的対策

情報セキュリティに関する従業員教育を行う、情報管理マニュアルや運用ルールを整備するなど

入退室管理や防犯カメラは、不法行為を抑制する効果だけでなく、万が一不法行為が起こった際に、状況を把握しやすくする効果もあります。

情報資産の把握と管理

企業は顧客情報、社員情報、技術ノウハウといったさまざまな情報資産を有しています。企業運営の要ともいえる情報資産を守るためには、セキュリティ対象となる情報資産を把握し、適切に管理することが大切です。

企業の情報資産の例として、次のようなものがあります。オフィスセキュリティ強化の第一歩として、まずは自社が保有する情報資産を洗い出し、それらを一元管理するための情報資産目録を作成しましょう。

  • 顧客情報
  • 取引先情報
  • 技術ノウハウ
  • 製品の設計図や仕様書
  • 財務情報
  • 従業員情報
  • 契約書
  • システムのログイン情報やプログラムソースコードやOS、ネットワーク機器の情報
  • サーバ、USBなど情報を記録する装置や機器
  • ブランドや企業イメージ

自社の情報資産を把握したら、それぞれの情報資産の特性や現在の管理状況を踏まえて、課題やリスクを洗い出します。リスク対策が不十分な情報資産については、具体的な対応策を検討していきます。

例えば、機密情報や個人情報には限られた社員しかアクセスできないよう、アクセス権限を付与するなどです。すでにアクセス権限制を導入している場合でも、リスクを鑑みて現状の運用が適切かどうか、改めて検討してみるといいでしょう。その際、重要書類は鍵のかかる保管庫に保管するなど、アナログな情報資産についても管理方法を見直すようにしてください。

セキュリティシステムと運用ルール

オフィスセキュリティの強化においては、システムやツールの導入も有効です。オフィスのセキュリティを高めるシステムやツールとして、監視カメラや入退室管理システム、鍵管理システムなどがあります。入退室管理システムや鍵管理システムを導入すれば、いつ、誰が入退室したのか、いつ、誰がどの鍵を使用したのかが記録されるため、万が一情報漏洩等があったときも状況を把握しやすくなります。

ただし、単にシステムやツールを導入すればいいというわけではなく、導入にあたっては、運用ルールを定めて従業員に周知徹底することが欠かせません。従業員による情報漏洩の多くは紛失や置き忘れ、誤送信などが原因であり、悪意がなくても起こりうるため、実効性のある運用ルールを徹底して、内部からの情報漏洩を防ぐ体制を作ることが大切です。

特に近年はテレワークの普及に伴い、従業員がオフィス外で執務をする機会が増えている企業も多いため、実態に合わせて管理方法や運用ルールをアップデートするようにしましょう。

オフィスのゾーニング

オフィスのセキュリティ対策として、「物理的対策」「技術的対策」「人的対策」の3つがあることはすでに述べました。物理的対策を行ううえで大事になってくるのが、オフィスのゾーニングです。オフィスには、エントランスなど誰でも自由に入れるスペースもあれば、サーバルームのように、権限を持った従業員しか入れないスペースもあり、空間の性質によって求められるセキュリティレベルも異なります。

ゾーニングを考えずにシステムやツールを導入してしまうと、オフィスの使い勝手が悪くなったり、業務効率が悪くなってしまったりすることもあるため、オフィス空間を4つのゾーンに分けて、それぞれに合ったセキュリティ対策を検討していくといいでしょう。

  1. パブリックゾーン(エントランスやエレベーターホールなど来社した人全員が立ち入れるスペース)
  2. 共有ゾーン(ロビーや会議室など、従業員だけでなく、許可を得た来訪者も利用する空間)
  3. ワークゾーン(執務スペースなど、おもに従業員が利用する空間)
  4. 機密ゾーン(サーバルーム、重要書類保管庫、金庫など、従業員の中でも権限のある人が必要時のみ立ち入るゾーン)

オフィス空間を4つのゾーンに分けたら、エントランスや受付エリアなどに監視カメラを設置したうえで、パブリックゾーンと共有ゾーンのあいだには受付を設けて不審者が入れないようにする、ワークゾーンには入退出管理システムを導入する、機密ゾーンには入退室管理システムと鍵管理システムを導入するなど、セキュリティレベルに応じた対策を行います。

また、セキュリティレベルの高いゾーンは、パブリックゾーンや共有ゾーンから離れたところに配置するなど、従業員や来訪者の導線を意識してレイアウトの設計や見直しを行うことも大切です。

法的規制とコンプライアンス

不正アクセス等による情報漏洩の増加を背景に、情報漏洩を禁じる法律が制定されました。情報漏洩の防止は企業に課された義務であり、それを怠った場合は刑事罰の対象となる可能性もあることから、オフィスセキュリティはコンプライアンスの観点からも重要です。

情報漏洩に関わる法律

情報漏洩を禁止する法律として、個人情報保護法や不正アクセス禁止法があります。

・個人情報保護法(個人情報の保護に関する法律)

個人情報を取り扱う事業者に「個人情報の有効活用」と「個人情報の保護」を求める法律

・不正アクセス禁止法(不正アクセス行為の禁止等に関する法律)

他人のIDやパスワードの不正取得や、IDやパスワードの入力を不正に要求する行為、不正アクセスを助長する行為などを禁止する法律

これらの法律を遵守するためにも、企業は、従業員による情報漏洩と不正アクセスによる情報漏洩を防ぐための対策を行い、内部要因と外部要因の両方に対応していかなければなりません。

まとめ - セキュリティ対策の実施と継続的な改善

オフィスセキュリティの強化は、企業の資産と従業員の安全を守り、円滑な事業運営を続けていくために欠かせない取り組みです。

技術の進歩とともにセキュリティリスクも変化・多様化していくため、セキュリティ対策は「一度実施をしたら終わり」ではありません。個人情報漏洩などの問題が生じる前に、定期的にセキュリティ対策を見直し、継続的な改善に取り組むことが大切なのです。