ここまでのISMSに基づく物理的対策についての概要はかなり一般的な概念です。
したがって、個々の企業、組織ではそれぞれの必要性に応じた対策を具体化していく必要があるといえます。
特に近年は、さまざまな場面でIT技術が利用され、対応するクラウドサービスやデータセンターの利用も拡大しています。
こういったクラウドサービスなどに対応した設備は、大量のIT機器を運用、管理する必要があることから、通常の施設やオフイスよりもよりセキュリティレベルの高い管理が必要になります。
このため建物、施設に関して、参考となるフレームワークとしてCPTED (防犯環境設定)を利用することが考えられます。
CPTEDとは、犯罪や災害の防止を建築や設備などの物理的設計によって行なうという概念です。
1970年代にアメリカで発達し、その後にはヨーロッパなどでも取り入れられるようになりました。
日本でも2000年代半ばから建設省(現国土交通省)や警察庁を中心に検討が進められ、現在は主に自治体などで採用されています。
概念的には、住宅や公共施設から重要施設など広範囲に適用できる汎用性があります。
CPTEDの概念は、①対象の強化、②アクセス制御、③監視性の確保、④領域性の強化、の四つにまとめられます。
これらCPTEDの概念は、施設やオフィスの物理セキュリティの強化だけでなく、データセンターのセキュリティ強化にも活用できます。
CPTEDの概念
①対象の強化
対象とは、例えば住居や施設あるいは金庫など、犯罪の対象になるものを指します。
強化とは住居や施設であれば、侵入を難しくする扉や鍵、金庫であれば堅固で解錠の困難な鍵を用いる、といったことを指します。
②アクセス制御
対象に対してアクセスしにくい環境を構築することを指します。
具体的には、建物、施設のある敷地をフェンスで囲む、出入り口を極力少なくする、窓に鉄格子をはめる、あるいは高い位置に設置する、などを指します。
③監視性の確保
犯罪者に犯罪行為を監視されているという感じをもたせるための制御といえます。
建物の入り口の周りは周囲からよく見えるようにする。
建物の周りに照明を配置する、などが挙げられます。
特に最近では監視カメラを有効に利用することも挙げられます。
④領域性の強化
建物や施設に関わる人と部外者を識別できるようにすることで、犯罪を防止することを意味します。
例えば、社員にはユニフォームを着せる、IDカードは特定の色のストラップを付ける、といったことで内部の人間と部外者を分けることなどが挙げられます。