作成開始日:2019/05/05
最新更新日:2019/05/11
今は「“セキュリティ”と言えばIT系のセキュリティを指す」みたいな印象があります。物理的なセキュリティについては十分な対策が実施されていると考えているようで、そんなに危機感は無いようです。しかし実際には警備がしっかりしているはずの会社や学校に不審者が侵入する事件が多発しているようです。不審者は隠れてこっそり侵入するケースもあるようですが、正面から堂々と突破?しているケースもあるようです。いずれのケースも侵入を防ぐことができたのでないかと感じています。
外資系多国籍IT企業で約10年間 security professional として日本国内の事業所の physical security を担当してきた経験から、もしかしたらだけど こんな風にしていれば・・・・と思い、思いつくままに以下に書いてみます。誰が見るものではないので時間が空いたときにぼちぼちと日記みたいに書き足していくつもりです。スタートは、令和元年(2019)5月5日です。
皆さんは、Physical (セキュリティ)というと、どのようなことを思い浮かべるでしょうか。
例えば、情報処理関連なら次の様な言葉が思いつくのではないでしょうか。
あるいは、警備関連のお仕事をなさっている方ならば、こんな言葉が思いつくのではないでしょうか。
ここで言う Physical Security (フィジカルセキュリティ・物理セキュリティ)は、後者についてのSecurityを含むものと考えてください。
日本でPhysical Scecurityと言うと、侵入者を防ぐために高い塀を設けたり、門には施設内に入る人の所属や名前、自動車などの車両番号を入館票に書いてもらい入館の許可、不許可を行うために警備担当者を置いたりしています。また、建物の周辺や門、建物の内部に監視カメラを設置して、敷地や建物の出入り口にはカードキーによりアクセスを管理するなどしています。
しかし、では「何故、何のために、このような設備が有るのか」と問われたら、なんと答えるでしょうか。
どれも、Scurity設備の効果についての回答としては正解ですが、「何のため」の問いにたいしての回答にはなっていません。
会社(組織)としての物理セキュリティ(Physical Security)方針を明確にする。
会社全体の施設を管理・監督する最高責任者が、この施設(事業所、オフィススペース、学校、など)は“何を”、“何から”守るのかの明確な方針を決め、それをその施設を利用する全ての人たちに周知することです。
堂々と「ウチは、ちゃんとした警備会社に任せているから問題ない」とおしゃるセキュリティ担当者がいらっしゃるウチは最悪とは言いませんが中悪です
ここが本当に1番大切なポイントです。ここをちゃんとしないと、そもそも何のためのPhysical Securityか分からないまま運用が始まってしまって、結局穴が開いたセキュリティ対策となり事故を誘発することになってしまいます。
方針を決めるさいの具体例
ズバリ、会社の場合も学校の場合もお店の場合もどこでも同じ。守るべきは、「会社が大事だと考える資産」です。具体例を挙げます。
こちらも、会社の場合も学校の場合もお店の場合もどこでも同じ。「会社が大事だと考える資産の損失」から守るのです。具体例を挙げます。
さあ、“何を”、“何から”守るのかが明確になったら、会社全体の施設を管理・監督する最高責任者は全社に向けて方針を表明することになります。方針は以下のようなものが適切だと思います。ここでは、細々としたことを書くべきではありません。
この4点で十分です。
“セキュリティ管理規定”(セキュリティ ポリシー)は、全社員が守るべき重要な社内ルールであることが必要です。社員が気分で守ったり守らなかったりしてはダメダメです。
「我が社(我が校)には悪い人間は居ないし来ないし、そもそも日本にテロがあるわけないでしょう」という楽観は、自分の乗った飛行機は絶対に落ちることはないという楽観と同じです。
それと、オフィスと工場、倉庫など様々な形態の業務場所があるから、それぞれの場所に必要なセキュリティを実施するば良いので統一的なポリシーなど意味が無いと思う方にも理解してもらえるように書いていきたいと思います。
物理セキュリティ部門を設ける。
よく、物理セキュリティについて総務部門が担当しているなど他の既存の部門が担当しているケースがありますが、もし確実に物理セキュリティを行うつもりがあるのであれば絶対に他部門から独立した物理セキュリティ部門を設けなければいけません。
なぜなら、物理セキュリティの実施は社員にとってとっても“面倒くさい”と思われることだからです。例えば総務部門は社員サービスを向上させる部門としての側面があります。営業部門やIT部門なども現場の社員が自分の仕事がやりやすいようにして部門の成績を伸ばすことが優先事項となるものですから、そのような部門の傘下に物理セキュリティ部門があればセキュリティ管理規定はいつのまにか骨抜きにされてしまうからです。
物理セキュリティ部門は、CEOの直下の部門とするか法務部門があれば法務部門の直下とすべきです。
そして、他部門のマネジャーが様々な理由をつけてセキュリティ管理規定の変更や特例の適用を求めてきても規定に反することを決して許さないことが重要なのです。
物理セキュリティ部門は“セキュリティ管理規定”を作成・更新・改定をするばかりで無く、それを全社員に遵守させる責務を負う部門です。
物理セキュリティ部門は“セキュリティ管理規定”を作成し、毎年もしくは必要が生じた場合速やかに更新・改定を行わなければならない。
まず、“セキュリティ管理規定”は全社員が遵守すべき社内ルールですから作成されたら、会社全体の施設を管理・監督する最高責任者名で発行・更新・改定し全社員に周知しなければなりません。
“セキュリティ管理規定”は全社員が遵守すべき社内ルールです。
“セキュリティ管理規定”は勤怠管理とは別物です。勘違いすると致命的な事故を招くことになりますので注意。
物理セキュリティの実施に必要な予算は、どこが持つのか明確にする。
物理セキュリティを実施するためには、もしかすると予想以上の費用がかかるかもしれません。予め、その予算をどこが用意するのかを明確にしておかなければ、どの部門も様々な理由をつけて支出を拒むことになり、結局規定は絵に描いた餅となってしまうでしょう。
どの部門も物理セキュリティのためのお金を出したいなんて思うわけがありません。
ここから実際に物理セキュリティを実施するにあたり、どのような手順で進めていくのかをご紹介します。
以下のゾーンを想定します
1.建物(事業所、学校など)の周辺の環境
過去3年程度の期間にどのような犯罪が何件あったのかが分かると良いのですが、日本では警察による情報公開はされていないようです。とはいえ各警察署では管轄地域での犯罪発生状況をweb等で公開していることがありますので参考にはできます。
問題とすべき犯罪としては無差別殺人、爆破事件、放火、爆弾などの兵器の作成行為、麻薬の売買など特定の個人を狙った犯罪でないものです。
過去3年程度の洪水、地震発生、津波、火山の噴火などの自然災害の発生状況とハザードマップの確認をします。
通報から何分程度で到着が予想されるかを調査する。
出張者が宿泊する場合や災害時に宿泊が必要になった場合に、どのくらいの範囲内にどの程度の宿泊施設が存在するのか。また、それらの宿泊施設は信頼できる事業者の者かを調査する。
通常時に安全に通勤通学できる交通機関があるのか、また交通機関に事故があった場合に代替の交通手段が確保出来るか。災害時や非常時に避難、帰宅できる交通手段があるのかを調査する。
建物は敷地まで管理責任がある場合とビルの一部をリースする場合では考慮すべき点が異なりますので「管理規定」具体例を記述する部分で書きます。
2.敷地の境界線
3.外部と接する部分の建物の構造
4.建物内部のセキュリティレベルの設定とセキュリティ施策