初めての情シス日記

未経験で社内SEに転職して社内IT立て直しに挑戦する奮闘記

入退室のアクセス権限管理のダメな運用例のお話

カードキー

あらすじ/概要

実務未経験から情シスに転職。

従業員は約300名規模、都内に2拠点、地方に4拠点の会社(非IT業種)で情シスの部署は上司と2名体制。

ヘルプデスク業務をこなしながらも、徐々に上司がやっていたルーティンワークを引き継いでいく。

前回は、入退室のアクセス権限の基本について触れましたが、私がいる会社の運用はその概念を覆す、あまりにも非効率でセキュリティ面でも問題のある唖然とするものであった。

こんばんは、ばーふぃんです。

前回、入退室のアクセス権限についてのお話をしましたが、今回はうちが実際にやっている運用についてお話しします。

〜前回記事〜

入退室のアクセス権限について考えたお話

業務効率的にもセキュリティ的にも全く望ましい運用方法ではないため、是非反面教師として参考にしてください。

従業員が10名程度で部屋が1つしかないような事務所であれば、どうにかなるかなというレベルです。

全てがローカル管理

さて、どういうことかといいますと、ドアごとのアクセス権限の設定を変更するには、毎回そのドアがあるところに行かなければいけないということです。

ちなみに、うちは社員証で個人認証をする電子錠を取り入れています。

例えば、以下のように入退室のアクセス権限が設定されていたします。

オフィスのアクセス権限

ここで、法務部門のCさんがシステム部門へ異動になったとします。

すると、アクセス権限の管理者は、サーバルームのドアのところまで行き、PCをUSB等のケーブルで電子錠端末と接続をし、Cさんがサーバルームに入れるようにアクセス権限を設定します。次に、契約書類保管倉庫のドアのところまで行き、同様にPCと電子錠端末を接続してCさんがこの倉庫に入れないよう設定を施します。

アクセス権限の変更

これが拠点の社員の場合だとどうなるでしょう。同じ例で、拠点Aの営業担当Eさんが拠点Bへ異動となったとします。

アクセス権限変更

1人の社員が異動になっただけで、それぞれの拠点現地にわざわざ趣き、設定変更を行わなければいけなくなってしまいます。

ちなみに、今私がいる会社は都内に拠点が2つあり電子錠端末は全部で約10箇所強の場所に設定されています。尚、地方拠点がどうしているかは知りません。それもそれで問題ですが。

嘘かと思うかもしれませんが、人が異動になったり、入社したり退社したりと人の入れ替わりのイベントがある度に毎回こんなことをやっています。上の例だと移動と作業で合わせて2時間くらい所要してます。バカらしいったらありゃしない。

割と人の入れ替わりが激しい会社なので毎月必ずと言っていいほど誰かが入るか辞めるかしています。しかし、自分のスケジュールもあるため、アクセス権限の変更をタイムリーに行うことが出来ないため、結局毎月の月初とかにまとめてやることにしています。

アクセス権限をタイムリーに変更出来ないということは、セキュリティ的にはもちろんよろしくありません。ただ業務効率が悪いだけでなく、セキュリティにも影響を及ぼしています。

冒頭、「従業員が10名程度で部屋が1つしかないような事務所であれば、どうにかなる」と書いたのはこのためです。

社内ネットワーク越しに集中管理出来る製品を推奨

では、ローカル管理ではない仕組みというのはどういうことなのか。

電子錠端末が社内ネットワークに繋がる仕様のものであれば、管理者は事務所にいながら自分のPCで簡単にアクセス権限の変更を行うことが出来ます。離れた拠点もVPNで繋がっていれば遠隔で変更可能です。もちろんLAN配線工事は必要になりますが。

今ではこういった仕組みの製品もたくさんありますし、ネットワーク配線しづらいような場所であればクラウドで管理出来るような製品も存在します。

ネットワーク越しでのアクセス権限変更

これだと、上記の例で2時間ほど掛かっていた作業が5分もあれば完了します。どっちがいいかは一目瞭然ですね。アクセス権限の変更もタイムリーに対応することが可能です。

では、何故上述のようなローカル管理の製品をこんなにたくさん入れてしまったのか、上司に問うと、

「単純に安かったから」

ほ、ほう。「それだけですか?」って聞いたら、

「そうだよ」

って。この人、本当に目先の値段だけで、セキュリティとかその後の運用のこと何も考えずに製品選定してるんだなって思った。

まとめ

ここで、電子錠端末の選定の際に、ローカル管理型、集中管理型のそれぞれのメリットとデメリットをまとめてみました。

効率セキュリティ管理面コスト
ローカル管理

×

人の入れ替わりの度に電子錠端末現地に行く必要があり、余計な時間が掛かる

×

アクセス権限をタイムリーに変更することが出来ないため、セキュリティ上よくない

×

アクセス権限の状態は、現地に行ってデータ取得する必要があるため、ドアごとにExcel等で管理する必要がある

ドアに設置するだけのため、安価に抑えることが出来る

集中管理

PCの画面操作だけで完結するため、すぐにアクセス権限変更の作業が終わる

アクセス権限をタイムリーに変更することが出来る

PCで管理画面を開けば、ドアごとのアクセス権限、ユーザごとのアクセス権限を把握することが出来る

×

設置にネットワーク配線工事等が伴うため、コストが上がる

集中管理型の方は、配線工事等が必要になるため、その分コストは上がります。冒頭の通り、10人程度の規模感の企業であれば、ローカル管理型の方が安価でいいかもしれませんが、複数拠点、あるいはセキュリティを設定する部屋が複数あるような企業は、集中管理型を推奨します。企業規模にもよってきますが、セキュリティや運用コストを考えれば、多少目先のコストが高くてもすぐに回収出来るレベルだと思います。

ということで、2回に分けて入退室のアクセス権限について触れてきましたが、今の私がいる会社規模でこんな運用を続けるのは無理だと思っているので、いずれこの端末はちゃんと集中管理出来るものに変えてやろうと目論んでいます。頑張ります。

これから入退室の仕組みを検討をされる方は、配線工事がめんどくさいからと横着せず、導入後の運用まで見据えて製品選定をするようにしてください。参考になれば幸いです。

コメント

コメントはまだありません