入退室のアクセス権限について考えたお話

こんばんは、ばーふぃんです。

今日は、入退室の管理についてのお話をしようかと思います。

企業における入退室とは

さて、会社勤めをしたことのある人であれば、「オフィスの中に誰でも入れてしまう」、という状態はセキュリティの観点でまずいということはお分かりかと思います。

なので、普通であれば執務スペースに入るためには鍵が掛かっているかと思います。これが、本当に10人以下とかの少人数のオフィスであれば、鍵の所有者はトップのみとか、鍵の隠し場所を決めておいて最初に出社した人が開錠する等の運用をしているようなところもあるかと思います。

しかし、社員数が多くなってくると、それも現実的ではありません。そこで、社員証で個人認証をしてオフィスへの入室をする仕組みを取り入れる、というのが割とメジャーなケースかと思います。おそらく皆さんも社員証をピッとかざしてオフィスのドアが開くようになる、というのは経験された方も多いのではないでしょうか。

きったない絵で恐縮ですが、こんなイメージです。

最近だと、社員証だけでなく指紋認証や顔認証といった虹彩認証の機能を持った入退室のシステムもありますね。自分が営業をしていた頃、上場を控えているためセキュリティ強化が必要で、指紋認証を導入したというような企業もありました。

自分の社員証や指紋等を用いて入室をすることが出来ると、自分もこの会社の一員になったんだなと実感することも出来るかと思います。

個人認証を入退室の仕組みに取り入れるメリット

• 従業員全員に鍵を配布する必要がなくなる
• ユーザーごとにアクセス権限を設定することが出来るため、適切なセキュリティを担保することが出来る
• 虹彩認証の場合、紛失によるリスクが低減される
• 入退室のログを取得出来る
• 勤怠と連動出来る

従業員全員に鍵を配布する必要がなくなる

個人認証を取り入れた場合、従業員それぞれが所持している社員証あるいは指紋等が鍵の代わりになります。そのため、上述したような鍵をどこかに隠したりなんて運用をする必要はまず無くなります。

指紋は他の人と重複することはほぼありませんし、顔認証も最近ではどんどん正確になってきていますので、ある意味世界で一つの鍵とも言えるわけです。

社員証を用いて認証をする場合は、基本的には社員証のカード1枚1枚に他と重複しない一意な値（Mifareなら「UID」、Felicaなら「IDm」といったりします）が割り振られているので、これも世界に一つの鍵といって過言ではないです。

ユーザーごとにアクセス権限を設定することが出来るため、適切なセキュリティを担保することが出来る

これ、企業のセキュリティとして、非常に重要なことです。特に企業規模が大きくなれば大きくなるほど。

例えば簡単な例でいうと、事務所には社員全員入れるようにしたいけど、社長室には社長と社長秘書以外は入れないようにしたいとか。

個人認証を取り入れることで、登録されているユーザー一人一人に権限を割り振ることができます。以下は、超簡単かつ適当な例ですが、こんな感じで従業員ごとにどこの部屋に入れるか、という権限を設定します。

上の表のような形で社員情報と権限がデータベース上に登録されているため、個人認証時にデータベースと照合して適切に開錠の処理が行われます。

このアクセス権限の考え方は、社員証認証であろうが虹彩認証であろうが考え方は一緒です。何故ならユーザー毎にアクセス権限を設定するだけなので。

と、ここで鋭い方であれば、情シスのようにアクセス権限を管理している人であれば、その気になれば社長室にだって入ることは出来てしまうのでは？ということに気付かれるかと思いますが、それは職権乱用でありいけないことなので、絶対やめましょうね。セキュリティを管理する人間がそんなことをやっていては本末転倒です。

また、社員証運用での紛失があった場合、その社員のアクセス権限を全て解除することで、侵入されるというリスクを回避することが出来ます。

虹彩認証の場合、紛失によるリスクが低減される

上述の通り、社員証による認証にしている場合は万一社員証を紛失するとそれを拾った人が会社に侵入してしまう、といったリスクが発生します。社員証の紛失インシデントが発生すると、セキュリティ事故として扱っている企業も多いかと思います。

しかし、虹彩認証であれば指紋や顔を紛失することはまず起こり得ないので、社員証を紛失してもそれによる侵入リスクというのは低減されます。

だからといって、社員証を紛失してもいいなんてことは全くありませんので、誤解のないように。社員証には社員コードや氏名、会社情報が記載されていますので、それだけで情報漏洩事案として成立しますし、そこから不正アクセスに繋がる可能性だってあります。

入退室のログを取得出来る

ログ管理というのも、セキュリティにおいては大切なことです。

製品によっては、アクセスログをデータベース上に蓄積させることが出来るものもあります。これにより、万一不正侵入があった時にはログを追うことで、誰の情報を用いて不正アクセスがあったのか等、発生源を突き詰めることが出来ることもあります。

防犯カメラと組み合わせると、セキュリティは一層強化されます。防犯カメラについては、別の機会に紹介出来ればと思います。

勤怠と連動出来る

これはどちらかというとセキュリティというよりは労務管理の部類に入ってきますが、上記のログ機能を活かして、従業員の打刻が適切に行われているのか管理をすることも出来ます。

私が過去にいた会社では、月間で残業出来る時間の上限が決まっていたため、実際には21時に上がったのに打刻は19時退勤、と勤務時間をごまかしていたこともありました。いわゆるサービス残業ってやつですね。

しかし、その会社はサービス残業は絶対禁止という超絶優良企業だったので、1ヶ月後くらいになって総務の人から、「先月の打刻時間と最後に部屋を出た時間が全く一致してないんだけど、どういうこと？」と打刻時間と最終退室時刻の一覧を見せられながら問われたことがありました。

そう、朝出勤時と夜の退勤時の社員証認証の時刻も全部ログ取られていたんです。ちなみにその会社の入退室の仕組みは社員証認証だったんだけど、毎回入室時と退室時の両方認証を行う必要があるものでした。なので、退室時の認証を忘れると入室時の認証で弾かれるという仕様だったのです。毎日上がる時も必ず社員証でピッとしてから帰っていました。

データとして残ってしまっているので、言い逃れのしようもない、その後部長に報告が上がりこっぴどく叱られましたw仕事も終わらない、でも残業禁止ってじゃあどうすりゃいいんだ！って感じですけどね。余談ですが、サービス残業になっていた労働時間分の残業代も全額支払われました。今思えばこんな優良企業辞めなきゃよかったw

まあここまでガッチガチに管理しているところは少ないと思いますが、参考までに。

まとめ

長くなりましたが、入退室アクセス権限に個人認証を取り入れることによるメリットについて取り上げました。

とにかく、人ないし部署に合わせて最適なアクセス権限を設定出来ることによるセキュリティの部分が大きいのではないかと思います。

さて、次回は私がいる会社が実際の入退室アクセス権限の運用について、お話しします！本記事で取り上げた概念を根底から覆す酷い運用方法をしているので、ぜひ反面教師として参考にしていただければと思います。

入退室のアクセス権限管理のダメな運用例のお話