物理セキュリティの盲点

　近年、サイバー攻撃への対策が注目される一方で、物理セキュリティが疎かになるケースが少なくない。オフィスやサーバールームへの不正侵入を許せば、内部システムへの直接アクセスや不審機器の設置、端末の窃取などによるネットワーク侵害が発生しかねない。

　例えば、フラッパーゲートや執務室ドアにおけるテールゲート（共連れ）を社員同士が気にもせず、IDカードが入ったネックストラップを首から下げていなくても誰も声をかけないような状況では執務室への侵入を見逃す恐れがある。また、防犯カメラを設置していてもリアルタイムとはいえ、映像をサンプルで確認している状況では監視の意味をなさず、死角を突いた侵入に気付けずに検知機能に重大な脆弱性を抱えてしまう。

　実際に、製造・研究拠点のアセスメントでは、警備員へのソーシャル・エンジニアリングにより容易に敷地内に侵入できたケースがある。その後、各建屋の執務エリアでは、ネックストラップの色を社員のカラーに合わせ、共連れにより容易に研究エリアに侵入でき、放置された端末を操作したり、そもそも窃取することさえ可能であった。また、パブリックゾーンには露出されたLANポートが存在し、いくつかの工夫を経て、そこからネットワーク侵害が図れる状況であり、IT部門が素直に自社の脆弱性を認めた。

　基本的に物理セキュリティとサイバーセキュリティは別部門が管轄していることが通常だ。総務部門が施設警備を担い、情報システム部門がサイバー対策を担うという具合であり、それ自体は効率・専門的に対応するという意味合いで異存はない。

　しかし今日、デジタルと物理の境界は曖昧になり、両者を別々に扱うことは実務的でない。物理的手口とサイバー攻撃を組み合わせた複合的な脅威が増加しており、双方の観点を融合した包括的なセキュリティ態勢が求められている。

　先のケースでも、不審機器の設置に気が付かない、気が付いたとしても情報システム部門に情報が連携されないなど対処面での課題が散見された。

サイバーセキュリティとの統合の必要性

　実際、物理面の出来事が直接サイバーインシデントを引き起こすケースも多発している。

　内部犯によるサーバールームへの不正立ち入りなど、オンライン監視だけでは検知困難な侵害が発生し得る。また、ネットワーク上のスキャンでは見つからない悪意あるデバイスの物理設置（いわゆるゴースト機器）なども現実の脅威であり、これには防犯カメラの監視による早期検知や社員の意識といった物理的対策と教育などとの連携が不可欠だ。

　フランス企業Safran社のケースでは、同社社員で、かつ中国江蘇省国家安全庁の協力者でもあった人物が、USB経由で自社システムにマルウェアを仕掛けるという物理的内部侵入が端緒となった。また、有名なスタックスネット事件では、インターネットから隔離された核施設ネットワークに対し、攻撃者が内部に人を送り込んでUSBドライブを持ち込むことでエアギャップを突破した。

　これらの事例は、物理とサイバーの両面を組み合わせた攻撃の脅威と、その防御に両面統合の視点が不可欠であることを示している。

物理とサイバーを統合する際の論点

　物理セキュリティとサイバーセキュリティを統合的に強化するにあたり、具体的に検討すべき論点やリスクシナリオにはどのようなものがあるだろうか。代表的なトピックを以下に挙げる。

ソーシャル・エンジニアリングによる侵入

　攻撃者が社員や業者になりすまして施設内に入り込む手口である。実際、受付担当者にヒアリングをすると、ソーシャル・エンジニアリングという言葉さえ知らなかったというケースが相当見られる。受付担当者から使用端末を一時的に預かったり、既存社員を装い、ゲストカードを発行させることもそう難しくないケースが多い。

　そもそも、なりすまさずとも、清掃業者が出入りする際に、社員証を忘れたから中に入れてくれと伝えると招き入れてくれることも少なくない。自社社員だけではなく、出入業者の教育も極めて重要な要素だ。

　こうした人的脆弱性を突く手口は、技術的な物理セキュリティを迂回するため、身分確認プロセスの厳格化や声掛けの励行など運用・教育面で厳しく対処していく必要がある。

露出したネットワークポートの悪用

　オフィスの壁面や会議室、工場内の制御盤などにあるLANソケットや通信ケーブルに直接デバイスを接続し、内部ネットワークに侵入されるリスクである。実際、BadUSBや不正機器を持ち込み、検知できるか、更に社内ネットワークに接続できるかといった観点は重要ポイントとなっている。

　そして、来訪者エリアや共用部に露出したポートは物理的に封鎖する、未使用ポートは無効化する、接続機器のMACアドレス制限やネットワーク監視を行う、といったITと施設管理双方の対策が求められる。

放置端末・記録媒体の窃取・悪用

　社員のノートPCをパブリックゾーンに無施錠のまま離席したりすることで、第三者による情報窃取の格好の機会となる。

　社員が社用端末を車内に放置して車上荒らしに遭えば、端末内の機密データや顧客情報がそのまま流出しかねない。この論点への対処には、デバイスの暗号化や遠隔削除などIT的対策に加え、機器持ち出しルールの徹底やクリアデスク/スクリーンポリシーの運用など基本的な人的・物理的な統制が必要だ。

破壊行為への脆弱性

　筆者が実際に確認した例では、変電設備やサーバルームは非常に堅牢なセキュリティ環境であったが、破壊行為のシナリオが防御側で描き切れておらず、粉塵の流し込みや天井部分の隙間からの侵入、派遣社員による内部不正などは一切想定されていなかった。

　特に、サーバルームは24時間体制で管理されていたが、その業務の多くを派遣社員で賄っており、派遣社員の身元の健全性までは一切考慮されておらず、更にサーバルーム内において単独で行動可能な環境であり、内部不正が容易に行える状況であった。

担当部門のサイロ化と責任の所在

　物理セキュリティとサイバーセキュリティが異なる部署で管理されている企業では、統合的対応において責任の不明確さや連携不足が論点となる。典型的には総務部門が施設の施錠や警備を管轄し、情報システム部門がネットワークや情報資産の保護を管轄しているが、前述のようなクロスドメインの脅威に機敏に対応することは難しい。

　統合セキュリティを実現するには、組織横断的なセキュリティ委員会や、物理・サイバー双方のインシデント対応プロトコルの整備、コミュニケーションスキーム設計などにより、日常的な情報共有と訓練が欠かせない。

　以上の論点はいずれも、物理とサイバーの境界をまたぐハイブリッドな脅威に対処するために必要であり、物理セキュリティとサイバーセキュリティ、社員への教育と運用面など多角的にセキュリティを見直し、統合的なリスク低減策を講じることが重要となる。

実務的な統合方針

　物理とサイバーのセキュリティを効果的に統合するためには、以下のような実践的取り組みが求められる。

リスクベースのアプローチ

　保護対象資産と脅威シナリオを洗い出し、優先付けを行った上で物理・サイバー両面のリスクを定量評価する。この際、脅威評価も忘れてはならない。やみくもに全てのシナリオが危険だとして想定するのではなく、自社の事業領域や性質、国際環境＝地政学リスクなども考慮した上で脅威主体が好む攻撃手法を想定する。

　このような統合リスク管理により、優先度の高い脅威を想定した上で防御資源を配分し、効率的なセキュリティ投資を行うべきである。

統合セキュリティアセスメント

　現行の物理およびサイバーセキュリティ対策状況を一体として評価し、相互の脆弱性を洗い出す。例えば、サーバールームへの入退室管理とネットワーク監視の連携状況を点検し、どちらか一方では検知困難な抜け穴を特定する。こうした包括的アセスメントにより、従来見落とされていたリスク要因が明らかになる。

　この際、必ずしもペネトレーションテスト方式を取る必要はなく、筆者は実査・インタビューによる手法でのリスク評価を基本とし、ハレーションリスクを徹底的に抑えている。

シナリオ分析と演習

　想定される複合攻撃シナリオを策定し、シナリオ自体のリスク評価を経た上で、部門横断で対応手順を検証する訓練を実施する。

　ソーシャル・エンジニアリングによる物理的侵入から露出したLANポート経由でネットワーク侵害・マルウェア感染に至る一連のシナリオを設定し、関係部門が協働して対処する演習を行う。このプロセスにより、統合対応の課題を事前に洗い出し改善することができる。

プロトコル整備

　物理・サイバー両領域に跨るセキュリティ手順や規定を整備する。不審者の施設侵入が発生した際にはIT部門と総務部門が即座に連携し、ネットワーク監視や被害拡大防止策を講じる、といったクロスドメインの対応プロトコルを事前に定めておく。明文化された手順により、有事の対応遅れや判断ミスを最小限に抑えることができる。

　また、警備員の管理範囲にドローンが組み込まれていないことが多い。敷地外でドローンを認知した段階で総務への速報、敷地内に進行を認めた段階で警察への通報を行うかなど対処方針を定めて置く必要がある。

　平素からの巡視ルートに屋上が組み込まれているものの、ドローンの可能性を想定した巡視になっていないことがほとんどであり、特に重要な研究拠点や製造拠点、自社のインフラ関連設備などでは考慮すべき要素になるだろう。この点では、先の保護対象資産の評価（重要性×インパクトなど複数の軸）により、緻密に設計されなければならない。

まとめ

　以上のように、物理セキュリティとサイバーセキュリティの統合は、企業のセキュリティ環境を強化する上で避けて通れない課題である。

　特に高度な技術や機密情報を扱う大企業や、インフラの性質を有する企業においては、統合的なセキュリティフレームワークの構築が急務である。例えば、サボタージュ（簡易的な破壊活動）では、経済性（インフラ性・影響性）×政治性×象徴性×重要性によって、標的となりうるかが評価される。

　統合セキュリティへの取り組みが遅れれば、事業停止といった重大な損失に直結しかねない。個別の対策のみでは対応しきれない複合脅威に備えるため、経営層の主導の下、組織横断的な体制整備と実効的な対処プロトコルの策定を推進すべきである。

　統合されたセキュリティ戦略を実践することで、物理・サイバー双方の脅威から企業資産を守り、経済安全保障の観点からも持続可能な事業運営を支える土台が築かれる。 関連ソリューション（物理×サイバーセキュリティ対応支援）

※弊協会のアドバイザリー事業を引き継ぐFortis Intelligence Advisory株式会社のサイトにリンクします。