情報セキュリティ重視のオフィスにおける物理的なゾーニング

情報セキュリティ重視のオフィスにおける物理的なゾーニング

            ~そのメリット・デメリット

 

1.オフィスは「データ化された機密情報」に溢れている

 

情報社会と呼ばれる現代、ICTの発展も含め、オフィスは「データ化された機密情報」だらけの環境にあると言っても言い過ぎではないでしょう。

それまで文書や書面ベースで保管されていたものがデータ化されることで、オフィスの省スペース化に役立ったり、その情報にアクセスしやすくなったり、と、その利便席が格段に上がっているのは間違いありません。その一方で、その利便性の高さは、不正アクセスや情報漏洩といったリスクを高めているという側面があることも否定できない事実でしょう。

それまでは、「直接そのもの」に触れない限り、つまり、物理的に存在するオフィスに侵入でもされない限り、そのものが盗まれるようなことはなかったのに、現代はその場に行かずとも、ネットワーク環境を通じて機密情報が盗まれる可能性がある、ということです。

 

2.大切なデータほど、内に、内に・・・

 

そのような環境の中で、データ化された機密情報は、「内に、内に」留めておく、という手段を取る形になります。データの場合の「内に、内に」とは、当然ながら物理的に、「内に、内に」という意味だけにとどまるわけではありません。
「外部ネットワークの環境から離れたところに」という意味であったり、「そのデータにアクセスできる人を絞り込む」という意味であったり、「限られた環境からしかアクセスできないところに」といった意味も含まれることになります。いずれにしても、「外部からのアクセスから遠いところに」という意味で、「内に、内に」ということになります。

 

3.ある情報セキュリティを強化した企業のオフィスの物理的なゾーニング

 

上記のような考え方の元、ある企業は情報セキュリティ強化の一環として、次のような「物理的なオフィス環境のゾーニング」を実施しています。

ゾーン0:公共空間

公共空間とは、その企業のオフィスで働く人も、一般の方も自由に交わる場です。その企業の場合で言えば、受付前のエントランスや一般の方にも開放している食堂などが、ゾーン0に相当します。

ゾーン1:社内関係者と社外関係者が交流する空間

ここからは、入館証が必要となる空間と言い換えるとわかりやすいでしょう。社外関係者との打ち合わせなどを行う、一般執務スペースに隣接した応接室や会議室などがこれにあたります。商談・打ち合わせに必要な、公知情報の抜粋や、集計済データなどが扱われることになります。

ゾーン2:一般執務フロア

一般執務フロアは、契約社員や派遣社員などを含む社員が、会社の機密情報とは紐づかない独立化されたデータを扱ったり、一つひとつの独立した情報を扱ったりといった、一般執務を行う場です。一部の仕事と関係のないWEBサイトなどへのアクセスは制限されているものの、メールやインターネットなど、社会で流通する一般的なデータや、公開されている自社情報などにアクセスできる空間でもあります。

ゾーン3:機密情報アクセス空間

基本的に社外に出ることはない、あるいは出してはならない機密情報にアクセスできる空間です。たとえば、個人情報などは、この空間からアクセスすることになります。この空間は、入室できる方が制限されているほか、アクセスできるデータそのものも申請制となっており、ここに入室できるからといって、どのデータにもアクセスできるというわけではありません。また入室、データアクセスともに、アクセスログや操作ログが取得されています。
なお、この空間からはメールやWEBなどの外部データには基本的にはアクセスできず、一部許可されたクラウドサービスなどへのアクセスのみが可能なよう、制限されています。

ゾーン4:サーバールームなど

機密情報そのものを格納しているサーバーなどが管理されている空間です。サーバー管理者などのみが入室できる空間で、入室時には最低限必要なものしか持ち込みができません。カメラ機能の付いた携帯電話、USBメモリなどは、当然ながら持ち込み不可です。

 

4.物理的な空間のゾーニングの理想像

 

ある企業のゾーニングについて見てみましたが、このゾーニングは、理想的なものと言えるでしょうか?
それを検討するにあたって、情報セキュリティの要素の視点から見ていくのが、もっとも効率的と言えるでしょう。

情報セキュリティの基本要素には、以下の3つがあります。

機密性:アクセス許可された方だけが情報アクセスできる
完全性:情報やその処理方法が正確で完全である
可用性:許可された方が、必要なときにアクセスできる

※加えて、真正性・責任追及性・否認防止性・信頼性の4要素が担保されていることが必要である、というのが、現在の情報セキュリティでもあります。

情報セキュリティの基本要素から見たとき、ある情報セキュリティを強化した企業のゾーニングの最も大きな問題は、「可用性と、機密性・完全性とのバランス」と言えるでしょう。
確かに「この空間ではこの情報しか扱えない」とするのは、セキュリティ面から考えれば、最も単純な解決策になる、と言えます。とはいえ、機密レベルの異なる情報を同時に利用すること、は、業務の中では至極当然に行われていますし、実際に行うもののはず。

そうなると、「確かにセキュリティ面から考えれば、それが良いものかもしれないが、本来実現したいアウトプットに対し、インプット負荷が高すぎる」という面も出てきやすい、と考えられるわけです。

この企業がどう、というわけではなく、仮にトライ&エラーで答えを探していくことが中心の企業が、例でも見たような物理的な空間のゾーニングを行った場合、インプットの負荷が高すぎて、答えをいつまでたっても出せないリスクをはらんでしまいます。これでは、「何のための情報セキュリティなのか」、わからなくなってしまいます。

そう考えると、物理的な空間のゾーニングは、事業の特徴や社員も含めた自社の状況に合わせて、それこそトライ&エラーを重ねながら進めるもの、と言えるのではないでしょうか。そのためにも、実現したいことを洗い出し、その優先順位を明確にすることが、物理的な空間のゾーニングには必要と言えるわけです。

関連記事

  1. 間仕切り

  2. オフィスデザインのポイント

  3. 生産性向上のためのオフィスの香りのコントロールを

  4. オフィスの地震対策

  5. オフィス環境整備の意味とそのメリット

  6. オフィス設計時に考慮する必要のある基本的な法律