今すぐできる「物理セキュリティ強化術」
ペネトレーションテストの効果を最大限に引き出すには、ある程度セキュリティ対策が整っていることが前提とされています。
セキュリティ体制が未熟な組織では、テストを行う以前に多くの脆弱(ぜいじゃく)性が放置されている可能性があります。その意味では、やや上級者向けのサービスといえるかもしれません。
とはいえ中小企業やセキュリティに不安のある組織が、物理セキュリティを軽視してよい理由にはなりません。そこでここからは、すぐに実践できる「物理セキュリティ強化術」を紹介します。
まずは記者発表でも触れられた興味深い事例を紹介します。
セキュリティ体制が未熟な組織では、テストを行う以前に多くの脆弱(ぜいじゃく)性が放置されている可能性があります。その意味では、やや上級者向けのサービスといえるかもしれません。
とはいえ中小企業やセキュリティに不安のある組織が、物理セキュリティを軽視してよい理由にはなりません。そこでここからは、すぐに実践できる「物理セキュリティ強化術」を紹介します。
まずは記者発表でも触れられた興味深い事例を紹介します。
早速カードキーが破られた。
— 熊谷正寿【GMO】 (@m_kumagai) June 14, 2022
ドヤ顔で無断入室するレッドチーム達(涙)
>熊谷さんのカードキーを複製できました!勝手に入ってすみません!#GMOサイバーセキュリティbyイエラエ#サイバーセキュリティ#レッドチーム pic.twitter.com/YqI4icjpRm
これはGMOインターネットグループ代表取締役 グループ代表の熊谷正寿氏がX(旧Twitter)に投稿したもので、GMOサイバーセキュリティbyイエラエのセキュリティテストチーム熊谷氏のカードキーを“複製”し、本来入れないはずのエリアに侵入したという内容です。これも、ペネトレーションテスト(いわゆる「レッドチーム」と呼ばれる、疑似攻撃を仕掛ける側)による検証の一環でした。
この事例は、まさに物理セキュリティに関わる重要な問題です。例えば皆さんの組織でも、カードキーを無造作に置いていたことでスキミングされてしまったり、PCが無防備に放置されていれば、そこから社内ネットワークへ侵入されるリスクも現実のものとなります。
なお、熊谷氏のケースは単なるカードの放置ではなく、カードシステムそのものの脆弱性を突いたハッキングによって複製が行われたもので、ペネトレーションテストによる高度な検証の一例とのことです。
さて、一般的なサイバーセキュリティ対策では、セキュリティ対策ソフトの導入や、PCやスマートフォンなどの端末で発生する不審な挙動を監視するEDR(Endpoint Detection and Response)の運用、そしてVPN機器の脆弱性対策などが重視されます。
しかし、仮に攻撃者が社内に侵入し、開放されたネットワークに不審なデバイスを設置できてしまえば、その時点で内部ネットワーク内を自由に動き回ることも可能になります。攻撃者にとっては、遠隔から複雑なサイバー攻撃を試みるよりも、こうして社内に侵入して物理的にアクセスするほうが、はるかに手間がかからないこともあるのです。
こうしたリスクを防ぐには、従業員一人ひとりの意識と行動が何より重要です。ここからは、社内の物理セキュリティを保つために、日常的に気を付けておきたいポイントを改めて確認していきましょう。
この事例は、まさに物理セキュリティに関わる重要な問題です。例えば皆さんの組織でも、カードキーを無造作に置いていたことでスキミングされてしまったり、PCが無防備に放置されていれば、そこから社内ネットワークへ侵入されるリスクも現実のものとなります。
なお、熊谷氏のケースは単なるカードの放置ではなく、カードシステムそのものの脆弱性を突いたハッキングによって複製が行われたもので、ペネトレーションテストによる高度な検証の一例とのことです。
さて、一般的なサイバーセキュリティ対策では、セキュリティ対策ソフトの導入や、PCやスマートフォンなどの端末で発生する不審な挙動を監視するEDR(Endpoint Detection and Response)の運用、そしてVPN機器の脆弱性対策などが重視されます。
しかし、仮に攻撃者が社内に侵入し、開放されたネットワークに不審なデバイスを設置できてしまえば、その時点で内部ネットワーク内を自由に動き回ることも可能になります。攻撃者にとっては、遠隔から複雑なサイバー攻撃を試みるよりも、こうして社内に侵入して物理的にアクセスするほうが、はるかに手間がかからないこともあるのです。
こうしたリスクを防ぐには、従業員一人ひとりの意識と行動が何より重要です。ここからは、社内の物理セキュリティを保つために、日常的に気を付けておきたいポイントを改めて確認していきましょう。
カードキー入室時の「共連れ」に注意!
多くのオフィスでは、社員に配布されたカードキーによって入室が管理されています。しかしカードキーの種類によっては複製が簡単なものもあるため、取り扱いには十分な注意が必要です。また、「共連れ」と呼ばれる、見知らぬ人が後ろから一緒に入ってくるケースにも警戒しましょう。万が一、不審な人物を見かけた場合は、必ず声を掛けましょう。
ALSOK 小野氏による説明。社員証がスキミングされるリスクについても言及された
セキュリティ強化のためカードキーを使っていても、共連れを完全に防ぐことはできないため、「声掛け」が非常に重要
席を離れるときは、PCを必ずロック!
離席中に他人がPCを操作するリスクは常に存在します。もし相手がサイバー犯罪者であれば、細工したUSBメモリを差し込み、わずか数秒で不正なプログラムを実行することも可能です。たとえ短時間であっても、離席するときは、必ず「Windows」+「L」キーで画面をロックする習慣をつけましょう。
さらにカフェなどの社外環境では、ロックだけでなくPCそのものが盗まれる恐れもあります。席を離れる際は、必ずPCを携帯しましょう。
さらにカフェなどの社外環境では、ロックだけでなくPCそのものが盗まれる恐れもあります。席を離れる際は、必ずPCを携帯しましょう。
離席時の「PC画面ロック」は日常的な習慣にしたい
社用端末には、USB接続の制限といったシステム側の対策も求められる
見知らぬ機器があれば必ず報告を!
攻撃者は、開放されたネットワークケーブルにごく小さな機器を設置し、社内ネットワークに侵入する「踏み台」として利用することがあります。もし見覚えのない機器がネットワークに接続されていたら、ただちに情報システム部門など管理者に報告してください。
また、見慣れない機器がコンセントに差し込まれていた場合、それが盗聴目的の不正機器である可能性も否定できません。今や何が起きてもおかしくない時代です。不審な機器を見つけたら、迷わず報告することが大切です。
また、見慣れない機器がコンセントに差し込まれていた場合、それが盗聴目的の不正機器である可能性も否定できません。今や何が起きてもおかしくない時代です。不審な機器を見つけたら、迷わず報告することが大切です。
小型の不審デバイスに気づけるのは、日々現場にいる従業員だけ
見た目が電源タップでも、これまで存在しなかった機器は疑い、報告を
記者発表では、「ALSOK&GMO サイバー物理ペネトレーションテスト」を先行で実施したあおぞら銀行から、執行役員 経営企画担当の萩尾崇氏が登壇しました。萩尾氏は、実際に物理的侵入を含めたペネトレーションテストを実施したことで、社内のセキュリティ意識に変化があったと言います。
もともと銀行という環境ゆえに、不審者への声掛けなどの意識は比較的高かったものの、思わぬ盲点も浮かび上がりました。それは「あおぞら銀行がノベルティとして配布するグッズを身につけた人物が侵入しても、内部の人間だと誤認される恐れがある」という点です。今後は、社員にしか身につけられない識別アイテムの導入も検討すべきテーマとして認識されたとのことです。
もともと銀行という環境ゆえに、不審者への声掛けなどの意識は比較的高かったものの、思わぬ盲点も浮かび上がりました。それは「あおぞら銀行がノベルティとして配布するグッズを身につけた人物が侵入しても、内部の人間だと誤認される恐れがある」という点です。今後は、社員にしか身につけられない識別アイテムの導入も検討すべきテーマとして認識されたとのことです。
左から小野氏、あおぞら銀行 執行役員 経営企画担当 萩尾崇氏。萩原氏はペネトレーションテストの先行実施により、社内のセキュリティ意識に変化があったと語った
「物理セキュリティ」と「サイバーセキュリティ」を分けて考える時代は終わった
ここまで見てきたように、実際の攻撃を模して脆弱性を洗い出すペネトレーションテストは、組織のセキュリティ体制を総合的に評価する上で非常に有効です。そしてそれはサイバー空間に限らず、物理的な侵入のリスクも含めてこそ、実態に即した評価が可能になります。
さらに、セキュリティを守る要となるのは、システムでも仕組みでもなく従業員一人ひとりの観察力と報告意識です。
「ALSOK&GMO サイバー物理ペネトレーションテスト」は、そうした観点から、サイバー攻撃と物理を一体で捉える実践的な評価手段として設計されています。ALSOKという誰もが知るブランドが手掛けるこのサービス、セキュリティ強化に関心のある組織は、導入を検討してみてはいかがでしょうか。
さらに、セキュリティを守る要となるのは、システムでも仕組みでもなく従業員一人ひとりの観察力と報告意識です。
「ALSOK&GMO サイバー物理ペネトレーションテスト」は、そうした観点から、サイバー攻撃と物理を一体で捉える実践的な評価手段として設計されています。ALSOKという誰もが知るブランドが手掛けるこのサービス、セキュリティ強化に関心のある組織は、導入を検討してみてはいかがでしょうか。
「ALSOK&GMO サイバー物理ペネトレーションテスト」は、物理的な侵入を含めた総合的なサイバー攻撃対策を可能にする
宮田 健
ライター
2012年よりITセキュリティのフリーライターとして活動するかたわら、個人活動として“広義のディズニー”を取り上げるWebサイト「dpost.jp」を1996年ごろから運営中。テーマパークやキャラクターだけではない、オールディズニーが大好物。2020年、2022年には講談社「ディズニーファン」に短期連載も。
Webサイト:https://dpost.jp/
X:@dpostjp
-
1
日傘愛用者による「モンベル」と「サンバリア100」徹底比較レビュー...
-
2
お台場発着に決定!日本でも“豪華客船体験”ができる?「ディズニーク...
-
3
Google Pixel 9aを選ぶと後悔するの?スペック数値だけ...
-
4
ディズニーの“クルーズ”って何?料金は?2028年度にやってくる「...
-
5
ダイソー・セリア・キャンドゥ 100円ショップのパソコン周りクリー...
-
ネットトラブルを防ぐ子ども向け“契約リテラシー”学習ゲーム、GMOグローバルサインHDが無償提供
-
「GMOサイバー攻撃 ネット de 診断 for Webアプリ」、AIエージェントによりWebアプリ診断を完全自動化
-
GMOサイバーセキュリティ byイエラエが国際的サイバーセキュリティコンテスト「IERAE CTF 2025」を開催、世界42カ国から809チームが参加
-
GMOインターネットグループがOSS開発者向け支援プログラム開始、セキュリティ診断AI「Takumi byGMO」を無料提供
-
GMO Developers Day 2025《Security Night》が7月28日開催、セキュリティの最前線を学ぶリアルイベント
-
GMOサイバーセキュリティ byイエラエ、インターポールと欧州評議会主催のサイバー犯罪捜査訓練に演習を提供
セキュリティキャンペーンでのバナー
-
1
日傘愛用者による「モンベル」と「サンバリア100」徹底比較レビュー、折り畳み傘がいい?それとも長傘?
-
2
お台場発着に決定!日本でも“豪華客船体験”ができる?「ディズニークルーズライン」の価格・アトラクション最新情報
-
3
Google Pixel 9aを選ぶと後悔するの?スペック数値だけでは分からない実力を実機でチェックした
-
4
ディズニーの“クルーズ”って何?料金は?2028年度にやってくる「巨大豪華客船」について今分かっている情報
-
5
ダイソー・セリア・キャンドゥ 100円ショップのパソコン周りクリーナーおすすめ6種を試してみた