mobile phone on picnic table

モバイルアクセスをめぐる誤解(1):スマートフォンが盗まれたら

アクセス制御で直近で起こり、そして関連性のある進歩の一つはモバイルアクセス機能、つまりユーザー体験を物理的なアクセス制御をもって強化するための一般的なモビリティトレンドを活用する機能の導入です。 ここではモバイルアクセス機能の基本に立ち返り、その技術の内容や仕組みを説明していきます。

モバイルアクセスとは何か、そしてその仕組みとは?

モバイルアクセスを使用すると、従業員はモバイルデバイスをアクセス制御資格情報として使用して、物理的およびデジタルな場所に入ることができます。 スマートフォンまたはウェアラブルデバイスには、有効な物理的アクセス制御カードのデジタルコピーが含まれています。HID Globalでは、物理カードとデジタルカードは両方ともクローン作成の試みをブロックする非常に安全な暗号化機能によって保護されます。

仕組みとしては、 デバイスのNFCまたはBLE機能を介してリーダーと通信します。HID Globalの場合はSeos®技術を使用することでクレデンシャル(IDなど)を安全に認証しています。 それにより、システムは、物理的またはデジタルなスペースや物、あるいはシステムへのアクセスを管理者定義によるルールに基づいて許可するという仕組みです。

しかし、モバイルアクセスの採用が進み、物理的なセキュリティが家電製品(スマートフォンやウェアラブル端末)に統合されていくと、主にその技術のエンドユーザー(従業員など)側で新しい問題が起こるようになります。

このシリーズではほかにも、新興市場の見込みユーザーがモバイルアクセスの使用や、セキュリティ管理者として正確な情報をどのように提供できるかについて説明しています。この記事もその一部です。

そしてこのブログ記事では、スマートフォンを紛失したり盗まれたりした場合に人々が抱く可能性のある誤解を減らすことを特に目的としています。また、万が一携帯電話に含まれる情報への制御を失ったときの不安を軽減できたらと思います。

モバイルアクセスと、従来のロックシステムやRFIDクレデンシャルは何が違うのか

ほとんどの人にとって、携帯電話は仕事や家族、そして個人情報を扱うために毎日使用するライフラインです。 そのため、理由はどうあれ携帯電話や端末を紛失する状況が発生した場合、端末内の個人情報について即座に懸念することになります。 また、当然のことながら、端末にアクセス用のクレデンシャルが搭載されている場合、その懸念は新たな可能性、つまり、認証されていない何者かがそれに関連付けられたモバイルアクセスシステムを使用するのではないかという可能性にまで及びます。

今日のビジネスの世界では、多くのグローバル企業が、スマートフォンを金属製の鍵やRFIDカードクレデンシャルに取って代わる、安全で非常に便利な企業ビル入室用アクセスツールとして選択しています。

従業員が職場や駐車場にアクセスするのにスマートフォンにインストールしたモバイルアクセスを使用できるようにしている企業は少なくありません。 企業側でも、モバイルアクセスは金属製の鍵やRFIDカードに比べてシステム管理が安全かつシンプルで、経済的なメリットも多いことを認識してきているのです。

従業員全員に金属の鍵を発行することは建物へのアクセス管理にとって費用対効果の高い方法とは言えません。なぜなら、一度誰かが鍵を紛失でもしたら、建物全体の鍵を再発行しなければならず、プロセスとしても非常にコストがかかり煩雑だからです。 さらに、一人一人の鍵についてずっと注意や監視をしたり、発行したりしなければならないため、セキュリティ管理が恐ろしいほど大変になります。

RFIDカードは金属製の鍵よりは優れているものの、建物への唯一のアクセスシステムとして使用するには多くの課題があります。 例えば、アクセスカードを紛失した場合、システム内で直ちにアクセス権限を削除し、カードを紛失した人に新しいカードを速やかに発行しなければならないため、運用不可能となります。

ただし、RFIDカードをなくしても、所有者が建物へのアクセスにそのカードを使用する必要がある時までは紛失または盗難として認識されない可能性があります。 つまり、カードの所有者がRFIDカードがないことに気づくまで数日かかることもあるのです。これがスマートフォンなら、紛失すればほとんどすぐにパニックになるため、こうしたことは起こらないでしょう。

前述の通り、携帯電話は人々の日常生活において重要な要素であるため、なくした場合は即座に懸念を引き起こします。 しかし、紛失または盗難に遭った携帯電話によって許可のない個人がその携帯電話のモバイルアクセスシステムを使用したり、企業情報や個人情報にアクセスしないように注意する必要があります。

携帯電話が紛失または盗難被害に遭った場合、モバイルアクセスは実際にはどうなるのでしょうか?

業界調査によると、人々はRFIDや金属製の鍵に比べ、携帯電話をなくさないことにより熱心であることが証明されています。 そもそも携帯電話とはどのような使われ方をしているか、一日のうちで持ち主から離れた場所に置かれることが一瞬でもあるか、少し考えてみてください。 携帯電話が見当たらなければ、ほとんどの人はそれにすぐに気づきます。

携帯電話をなくしたり盗まれたりしたと気づいたら、 人は何をするでしょうか? まず、その時にその携帯電話を手にしている人はモバイルアクセスや個人情報にアクセスできないため、慌てる必要はありません。

携帯電話の持ち主は、許可のない者が携帯電話を使って会社ビルに入れるようになったのではないかと心配するかもしれません。 その場合、ここで最初にするべきなのはシステム管理者に連絡し、モバイルアクセスのクレデンシャルを直ちに一時停止してもらうことです。

さらに、ほとんどのスマホユーザーは携帯電話をパスワードやPIN、生体認証で保護しています。そのため、携帯電話のクレデンシャルが盗難者に使用されないようにできます。 BYODBring Your Own Device:私的デバイスの活用)の場合でも、管理者は携帯電話がロック・アンロック状態の場合にモバイルクレデンシャル情報を使用できるかをコントロール可能です。

携帯電話がロック解除された状態にあってもアクセスクレデンシャルを取り消すことで、一時停止中のクレデンシャルがアクセス制御ソリューションによって有効と認識されることはなくなります。 携帯電話のモバイルアクセスクレデンシャルの一時停止は即座に行われ、RFIDカードや鍵の管理よりはるかにスピーディーです。紛失されたスマートフォンの持ち主が新しいスマートフォンを買った場合でもモバイルアクセス用アプリは簡単にダウンロードでき、システム管理者もクレデンシャルをすぐに再発行できます。また、建物にアクセスする際にスマートフォンを持っていなくても、多くの場合、企業側では従業員が建物に入るためのバックアップソリューションを用意できます。 バックアップシステムには、クレデンシャルのソリューションの内容を問わず、補助的なクレデンシャル(RFIDカード、マスターキー、管理者パスワードなど)や人間の警備員を採用することができます。

モバイルアクセスとの相性が良いもう一つの人気戦略には、個人識別番号(PIN)の使用があります。 PINは建物アクセスのための追加の代替ソリューションとして使用できます。 そのため、携帯電話をなくしたり盗まれたりしても、あるいはバッテリーが切れても、従業員は許可を受けている場合は別の方法を使用して建物に入ることができます。 その点では携帯電話は鍵やRFIDと何ら変わりません。

人々はスマートフォンの充電レベルの維持に実に熱心ですが、このタイプのバックアップソリューションは間違いなく検討に値するものです。 また、企業側には、モバイルアクセスの使用時には携帯電話のロック解除を求める戦略の採用を推奨します。 利便性は多少損なわれますが、アプリを使用する際にアプリを起動しなければならないことでセキュリティが強化されます。 これは、許可のない者によるアクセスのリスクと携帯電話の紛失・盗難の可能性を天秤にかけて決定されるべきものでしょう。

企業と従業員の両方で建物アクセス用のバックアップ手順を用意しておくことも非常に大切で、その重要さは特に強調すべきものです。例えば、従来型のメカニカルロックや鍵、キーパッド(PIN)、RFIDカードなどです。 これは、アクセス制御を主にどんな方法で行うかとは関係なしに良い方法であると言えるでしょう。

スマートフォンの紛失イコールモバイルアクセスの終わりではない

前述のように、スマートフォンをなくしたり盗まれたりしても、会社ビルに入れなくなったりスマートフォン上の情報を制御できなくなったりするわけではありません。

企業と従業員の両方がスマートフォンによるモバイルアクセスの管理方法についていくつかの簡単なルールに従えば、スマホを紛失した時の被害を最小限に抑えることができます。 「悪意のある者」に会社ビルやスマホ内の個人情報への完全アクセスを手渡してしまうこともありません。

セキュリティとプライバシー、利便性のバランスを取りつつ、同時に多要素認証や企業規模でのクレデンシャルルールといった重要なオプションや選択肢を備えたモバイルアクセスシステムの導入は、安全で管理が簡単、そして持続可能なモバイルアクセス制御システムの維持に必要不可欠です。

HIDの次回のブログ記事では、個人のプライベートな情報を完全に保護し、スマートフォン上の個人情報保護に関する懸念を排除するうえでモバイルアクセス会社が導入すべき運用手順について説明します。 お楽しみに!

HID Mobile Accessについて学ぶ準備はできていますか?

関連記事:モバイルアクセスをめぐる誤解(2):個人データ

モバイルアクセスをめぐる誤解(3):パフォーマンスの低下

Luc Merredewは、火災およびセキュリティ分野のOEM20年以上の経験を持ち、現在はHID GlobalPACS製品マーケティング担当ディレクターを務めています。担当地域はラテンアメリカ、米国、そしてカナダです。 米国カリフォルニア州ハンティントン・ビーチを拠点に、テキサス州オースティンのHID Global本社に5年間勤務しています。

RECENT POSTS