データセンターにおける物理的セキュリティの重要性の高まり

ITセキュリティに関する議論は論理的なコントロールに重点を置いていますが、物理的なデータセンターインフラストラクチャの保護はますます重要になってきています。 来年5月に発効する欧州連合（EU）の一般データ保護規制（GDPR）がこの点を示している。
GDPRは、EUに住んでいる人の個人情報のセキュリティとプライバシーを管理する厳格な新法です。 ヨーロッパ全域のデータプライバシー法を標準化するように設計されていますが、世界の企業には大きな意味があります。 これは、EUの住民のデータを収集し保存するあらゆる規模の組織に適用されます。

この規則は、すべての組織が、個人情報のあらゆるインスタンスがどこにあるかを正確に把握し、そのデータの保護を確実にするために「適切な技術的および組織的措置を実施する」ことを義務づけています。 最小の組織対策の中には、データが格納されている施設の物理的なセキュリティを確保することがあります。
物理データセンターのセキュリティを義務付けている規制は GDPR だけではありません。 たとえば、Payment Card Industry Data Security Standard (PCI DSS) では、カード所有者データの保存、処理、または送信に使用されるシステムを収容する施設へのアクセスを組織が制限および監視する必要があります。 HIPAA は、「対象事業体の電子情報システムおよび関連する建物と設備を、自然および環境の危険と不正な侵入から保護するための物理的な対策、ポリシー、および手順」を規定しています。

ほとんどのデータセンターには、電気機械式ドアロック、スマートカードまたは生体認証によるアクセス制御、ビデオ監視システムなどの物理的なセキュリティ対策が実装されています。 ただし、すべての IT セキュリティの問題と同様に、人間は最も弱いリンクです。 データ泥棒は、従業員の後ろに「共連れ」したり、建物の保守要員を装ったりして、侵入することができます。 施設内のあらゆる場所を自由に歩き回れる悪意のある内部関係者は、IT システムにほぼ自由にアクセスできます。

データセンターのスタッフは、共連れ、キーカードの共有、見知らぬ人の施設への立ち入りのリスクについて教育を受ける必要があります。 訪問者は常に付き添われ、活動は記録されます。 可能であれば、IT 機器は窓から離れた奥の部屋に収納する必要があります。 非常用ドアには外側の取っ手がなく、これらのドアが使用されたときにアラームがトリガーされる必要があります。

各スタッフ メンバーは、自分のアクセス カードを使用して、個別に施設に入る必要があります。 物理的なアクセス制御と認証情報は、適切に管理し、担当者や職務の変更に応じて頻繁に更新する必要があります。 すべての物理的なセキュリティ ポリシーと手順を文書化し、定期的に確認する必要があります。
アクセス制御に加えて、データ セキュリティのもう XNUMX つの重要な領域は、データ センターに出入りするリムーバブル メディアを厳密に制御することです。 通常、高度に保護されたエリアでは、担当者がリムーバブル メディアをそのエリア (ケージ、データ ホールなど) から持ち出すことを禁止しています。 リムーバブル メディアの要点は、データ センターに入る場合、一方通行でなければならないということです。

キャビネットのロックは、侵入者がデータセンター施設に侵入した場合の最後の防衛線として機能します。 ドアロックを備えたポッドエンクロージャーは、追加の保護手段を提供することもできます. これらのツールは、IT 機器がオフィス、保管室、倉庫、または厳格なアクセス制御が現実的でないその他の場所にある場合に特に重要です。

セキュリティと規制への準拠に関しては、組織がファイアウォール、侵入防止システム、およびその他の論理的な制御について懸念するのは当然です。 ただし、サイバー犯罪者がデータセンター施設に侵入し、機器にアクセスしたり改ざんしたりできる場合、最も高度なセキュリティ ツールは役に立ちません。 組織が GDPR コンプライアンスに備える際、 物理的なセキュリティ戦略とインフラストラクチャを詳しく調べ、侵入者を機密データから遠ざけるためのポリシーと手順を実装する必要があります。