プレス発表　入退管理システムにおける情報セキュリティ対策要件チェックリストを公開

2019年5月20日
独立行政法人情報処理推進機構

IPA（独立行政法人情報処理推進機構、理事長：富田達夫）は、「政府機関等の情報セキュリティ対策のための統一基準（以下、政府統一基準）」の要件に従い、入退管理システムの調達者が情報セキュリティ上の要件や対策を確認するための「入退管理システムにおける情報セキュリティ対策要件チェックリスト」を公開しました。

家電や自動車、事務機器をはじめとした様々な機器がインターネットに接続するモノのインターネット（IoT）が普及するなか、IoT機器にも適切なセキュリティ対策を講じることが重要となっています。ビルや工場の物理セキュリティを担う入退管理システムは、複数の扉やゲートに設置された機器がネットワーク経由で統合管理されています。また、勤怠管理などの社内システムと接続されるケースもあります。そのため、「政府統一基準」において情報セキュリティ対策が必要とされるIoT機器を含む特定用途機器に指定されています。

そこで、IPAはより安全な国民サービスを提供するための政府調達推進の一環として、「入退管理システム」の機能と運用におけるセキュリティ上の対策を確認できるチェックリストを公開しました。これは、2017年12月に公開した「ネットワークカメラシステムにおける情報セキュリティ対策要件チェックリスト」に続くものです。

本チェックリストで要件を示している機器等は以下の通りです。

■制御装置

IDとログを保持し、認証装置から送られたIDを照合して電気錠に命令を送る機器
■認証装置

カードや指紋情報からIDを読み取り、制御装置に送る機器
■電気錠

制御装置からの信号に応じで動作する装置
■管理サーバ

管理機能をIPネットワーク上に提供し、IDとログを管理保持する機器
■鍵管理盤

IDを照合して物理鍵等の管理を行う。管理区域外に置かれる機器
■管理者PC

管理サーバや制御装置にアクセスするクライアント端末

図1：対象とする機器等

要件の策定にあたっては、既存の入退管理システムに関わる警備会社やベンダー等の協力のもと、情報セキュリティに関する機能の実態調査を行い、

保護すべきデータや想定される脅威の分析
脅威への対策の洗い出し、
委員会^(脚注)による対策の具体的な要件化を行いました。

図2：対象とするネットワーク構成の一例

本チェックリストは、設計構築・運用・保守・廃棄といったフェーズ毎に構成され、それぞれ仕様書へ記述すべき要件と組織における対策・運用方法が明記されているため、政府組織に限らず自治体や民間組織においても調達仕様の策定時や日常の運用における情報セキュリティ向上に役立てることができます。例えば「不正アクセスの検知」という要件に対し、「システムを構成する機器との通信断を管理者が検知できること」といった仕様書に適した形式での記述とともに、「機器の回線切断およびケース開けを管理者が検知できる設定とする」といった対策などを示しています。（別紙1：要件表記の一例）

なお、本チェックリストは、製品のセキュリティ機能の向上や、攻撃手法の変化に伴い更新する予定です。調達時には以下のページからダウンロードし、最新のチェックリストを利用してください。

入退管理システム　チェックリスト

IPAでは、今後もIT製品の安全な政府調達のための情報提供を行っていきます。