東京電力柏崎苅羽原発(新潟)の所員が昨年9月に他の所員のIDカードを使って原子力発電施設内の中央制御室に不正に入室した問題が発覚としたと東京電力ホールディングスが発表しました。

柏崎刈羽原子力発電所所員における発電所建屋内への不正な入域について(外部リンク)

東電は、核物質の防護上、脆弱性が公になる恐れがある等として、詳細については公表できないとしていますが、原子力規制庁へ報告したと発表しています。

IDカードによる入退室が抱える問題点

今回の問題点は、他者のIDカードの不正利用。多くの企業では、各社員に対し入社後にIDカードを配布し、オフィスへの入退室の際にそのIDカードをセンサーに接触または近づけることによってドアのロックを解除し、入退室を行うしくみになっています。

しかし、カードを自宅などに忘れた場合、カードを忘れた社員が同僚等のカードを借りてトイレや買い物などの入退室を行う行為はどこの会社でも結構頻繁にとは言いませんが、度々見かける光景でもあります。

もしかしたら、東電の社員も入退室カードを自宅に忘れてきたのかもしれません。

IDカードによる入退室管理セキュリティの限界

これまで多くの企業で採用されてきたIDカードは、“本人が所持していることが前提“となっている仕組みです。

本人以外の第三者がそのIDカードを持っていることは想定していません。つまり、IDカードを所持していれば、誰でも入退室することができてしまいます。

セキュリティ的な用語で説明すると“なりすまし”による不正侵入が誰でも簡単にできてしまうのが今のオフィスセキュリティの現状です。

オフィスの入退室も生態認証もしくは二要素認証時代へ?

以前のプロジェクトでも、認証サーバーやログサーバーなどのシステムを構築したことがありましたが、単体認証をDefaultとする時代が長く続きましたが、スマートフォンの普及により、現在はMFA(Multi-Factor Authentication):多要素認証がDefaultになりつつあります。

情報へのアクセスへの認証がMFA(Multi-Factor Authentication):多要素認証が当たり前となった今、IDカードと指紋認証や顔認証、光彩認証との組み合わせ、もしくはIDカードとスマートフォンの組み合わせなど、これからのオフィスの入退室の認証はMFAが基本となり、より厳密な本人認証が行われるようになるのかもしれません。