データセンター内の物理的セキュリティの重要性

IT セキュリティに関するほとんどの議論は論理的な制御に焦点を当てていますが、物理的な保護は すべてを組み込んだユニット ますます重要になってきています。 来年 XNUMX 月に発効する欧州連合 (EU) 一般データ保護規則 (GDPR) がこの点を例示しています。
GDPR は、EU 内に居住するすべての人の個人データのセキュリティとプライバシーを管理する厳格な新しい法律です。 これはヨーロッパ全土でデータプライバシー法を標準化することを目的としていますが、世界中の企業に重大な影響を及ぼします。 これは、規模や場所に関係なく、EU 居住者のデータを収集および保存するあらゆる組織に適用されます。

この規制では、すべての組織が誰かの個人情報のすべての場所がどこにあるのかを正確に把握し、そのデータを確実に保護するために「適切な技術的および組織的対策を実施する」ことが義務付けられています。 最小限の組織対策としては、データが保存されている施設の物理的セキュリティを確保することが挙げられます。

GDPR 物理データセンターのセキュリティを義務付ける規制はこれだけではありません。 たとえば、Payment Card Industry Data Security Standard (PCI DSS) では、カード所有者データの保存、処理、送信に使用されるシステムを収容する施設へのアクセスを制限し、監視することが組織に求められています。 HIPAA は、「自然災害や環境災害、不正侵入から対象事業体の電子情報システムおよび関連する建物や設備を保護するための物理的な対策、方針、および手順」を規定しています。

ほとんどのデータセンターが導入している 物理的セキュリティ 電気機械式ドアロック、スマートカードまたは生体認証によるアクセス制御、ビデオ監視システムなどの対策。 ただし、すべての IT セキュリティ問題と同様に、人間が最も弱い部分です。 データ窃盗者は、従業員の後ろに「共連れ」したり、ビルの保守員を装ったりして侵入する可能性があります。 施設のあらゆる場所を自由に歩き回る悪意のある内部関係者は、IT システムにほぼ無制限にアクセスできるようになります。

データセンターへの物理セキュリティの実装

セキュリティと法規制の遵守に関して言えば、組織は当然のことながら、ファイアウォール、侵入防止システム、その他の論理制御を懸念します。 ただし、サイバー犯罪者がデータセンター施設に侵入して機器にアクセスしたり、機器を改ざんしたりできる場合、最も高度なセキュリティ ツールは役に立ちません。 組織が準備を進める中で GDPR への準拠、 彼らは自分たちのことをしっかりと見つめるべきだ 物理的セキュリティ 戦略とインフラストラクチャを構築し、侵入者を機密データから遠ざけるためのポリシーと手順を実装します。