物理アクセスを制限しなければならない

　要件9の入退室管理・監視，バックアップ媒体の移送などについて解説する。

　入退室管理を実施するときに最初に考えなければならない対象者は，その機密エリア内での作業者である。次に考えなければならないのは，権限のない訪問者（付き添われて入室するような場合）である。

　機密エリアには監視カメラの設置が義務付けられているが，単に設置し，管理し，ログを保管するだけでは十分ではない。撮影の死角をなくすことを目的とし，十分な撮影記録を取るためにカメラの向き，部屋の照度，撮影データの保管方法（DVD，ハードディスクなどの記録容量，耐久年数など）についても検討する必要がある。

　記録は，少なくとも3カ月保管することになっている。保管されている媒体の保管とともに，記録保管期間経過後の記録廃棄処理についても検討する必要がある。この映像記録は，重要な証拠となるので，場合によっては，複製をリモートサイトや商用施設に預けている場合もあるだろう。このような場合には，複製に対しての対処も検討する必要がある。一部の国内のガイドラインでは，保管期間後については，リモートサイトの対象データも廃棄対象として取り決めているものも出始めているので注意が必要である。

　入室時における無権限者を連れて入るような場合，または権限者の後ろについて許可なく入室してしまうような場合について少し考えてみる（図3）。

図3●共連れのイメージ

　このような入室方法を「共連れ」と呼ぶ。無権限者であっても，正当な理由（防火設備点検，相互牽制など）のために入室権限のない部屋に入室することはあるかもしれない。しかし，正当な権限者の後ろからすき間を縫って入室してしまうような場合も考えられる。

　入室の共連れ対策の製品にはいろいろあるが，扉での防止製品を紹介しよう。扉での防止製品は，大きく2種類に分けられる。1枚扉と2枚扉である。1枚扉タイプを「共連れ検出」で，センサーによって認証された人数と入室しようとする人数をカウントし共連れを検出する。2枚扉タイプは「共連れ防止」で，1枚目の扉で認証し，前室に入室後2枚目の扉でも認証するように構成される。2枚目の扉は，1枚目で認証された人数と前室に在室している人数とが一致しないと，認証されても開錠されない。

　カード会員データへのアクセス可能な場所で，従業員とそれ以外を容易に識別できるようにする方法としては，社員用バッチ，訪問者用バッチの着用が一般的である。監査証跡として重要である記録は，保管期間，管理者をひも付けておくべきである。訪問者用，社員用を問わず各バッチは，貸与返却（社員の場合には，退社や異動などのタイミングも考慮する）の記録を残すだけでなく，容易に見える位置に身につけることを徹底する必要がある。