prostatha Logo prostatha
ホーム 私たちについて サービス お役立ち情報 お問い合わせ お問い合わせ

ATMセキュリティ監査で確認すべき項目

# ATMセキュリティ監査で確認すべき項目 定期的なセキュリティ監査は、ATMの安全性を維持するために不可欠です。金融機関やコンビニエンスストアなど、ATMを設置している施設では、顧客資産を保護し、企業の信頼性を守るために、継続的なセキュリティ対策が必要です。本記事では、ATMのセキュリティ監査で確認すべき主要な項目について、詳しくご紹介します。 ## 物理セキュリティの確認項目 ATMのセキュリティ対策の第一歩は物理セキュリティです。機械そのものの堅牢性や配置場所の安全性を確認することから始めましょう。 まず、ATM本体の固定状態を点検します。ATMが床や壁にしっかり固定されているか、ボルトやアンカーが緩んでいないかを確認します。破壊や盗難目的での持ち去りを防ぐため、固定状態は定期的にチェックする必要があります。固定が不十分な場合、即座に補強工事を実施すべき項目です。 次に、ATM周辺の照明状況を確認します。特に夜間の照明が十分であるかが重要です。薄暗い環境はスキミング装置の取り付けや部品の交換など、不正行為を容易にします。最低でも五百ルクス以上の照度を維持することが推奨されています。LED照明への更新も検討の価値があります。 死角の有無も重要な確認項目です。ATM周辺に柱や壁、看板などがあり、監視カメラの映像から死角が生じていないか確認します。顧客がATMを操作している様子が常に監視範囲内に収まることが、セキュリティの基本です。死角が存在する場合は、追加の監視カメラ設置やATM配置の見直しを検討してください。 カードリーダーやキーパッドへの不正装置の取り付けは、特に注意が必要な脅威です。スキミング目的で装置が取り付けられていないか、毎日の目視点検を実施してください。カードスロットが違和感なく機能するか、キーパッドのボタン反応が正常か、実際に操作して確認することも重要です。定期的な点検記録も監査時に確認し、点検が確実に実施されているか追跡します。 ## 電子セキュリティの確認項目 ATMの頭脳部分となるシステムセキュリティは、物理的なセキュリティと同様に重要です。不正アクセスや不正取引を防ぐための複数のレイヤーが存在することを確認しましょう。 ソフトウェアのバージョン確認は基本中の基本です。ATMに搭載されているオペレーティングシステムやアプリケーションが最新のバージョンであるか、製造元が公開している情報と照合します。古いバージョンは既知の脆弱性を持っている可能性があり、サイバー攻撃の対象になりやすいです。 セキュリティパッチの適用状況も重要です。定期的に配信されるセキュリティパッチが、発行後どの程度の期間内に適用されているかを確認します。理想的には、パッチ配信から一か月以内の適用が目安となります。パッチ適用の延遅は、既知の脆弱性が放置されている状態を意味します。適用漏れがないよう、チェックリストを作成して管理することをお勧めします。 暗号化設定の確認も欠かせません。顧客の個人情報やカード情報の送受信時に、強力な暗号化プロトコルが使用されているか確認します。少なくともTLS一・二以上の暗号化が必須です。また、ATM内部に保存されるデータも暗号化されているか、確認が必要です。 ネットワーク接続のセキュリティ設定を点検します。ATMが接続している金融機関のサーバーやホストコンピュータとの通信路が、ファイアウォールで保護されているか、不正な接続がブロックされているか確認します。ネットワークアクセス制御リストも定期的に見直し、必要な接続のみを許可する最小権限の原則に従うべきです。 アクセスログの管理状況も重要な確認項目です。ATMへのアクセスやシステムの変更操作について、ログが記録されているか、ログの保存期間は十分か、ログの改ざんから保護されているか確認します。通常、最低三か月間のログ保存が推奨されています。 ## 監視システムの動作確認 防犯カメラなどの監視システムは、トラブル発生時の調査に不可欠な役割を果たします。機能が十分に発揮されているか定期的に確認が必要です。 防犯カメラの録画が正常に機能しているか確認します。テスト映像を記録して、再生時に問題がないか検証してください。カメラのレンズが汚れていないか、ピント調整が適切か、画面に映る画像が鮮明か確認します。暗視機能を備えたカメラの場合、夜間の画質も確認しましょう。 映像の保存期間も重要です。一般的には最低でも三十日間、可能であれば九十日間の保存が推奨されます。保存期間が短いと、事件発生後の調査で証拠映像が既に削除されている可能性があります。ストレージ容量を確認し、保存期間を延長できるか検討してください。 バックアップ体制の確認も欠かせません。メインの記録装置が故障した場合に備え、映像データが複数の場所に保存されているか確認します。クラウドストレージへのバックアップなども検討の価値があります。 警報システムが正常に動作するか、定期的なテストを実施してください。警報をトリガーし、実際に通知先に連絡が到達するか確認します。通知先の連絡先が最新に保たれているか、複数の通知経路が整備されているか確認も重要です。 ## 運用面でのセキュリティ確認 適切な物理セキュリティと電子セキュリティがあっても、運用が不十分では意味がありません。人的な要因を含めた確認が必要です。 保守作業の記録を確認します。いつ、誰が、どのような作業を実施したのか記録されているか、特に部品交換やシステム変更の履歴を確認してください。保守作業は限定された従業員のみが実施でき、全ての作業が記録される仕組みが必要です。記録がない場合や、許可されていない作業の痕跡があれば、その原因を調査する必要があります。 鍵の管理状況も重要です。ATMへのアクセスに使用される鍵が、どのように管理されているか確認します。鍵を持つ従業員の数は最小限に留め、施錠・解錠の記録も残すべきです。紛失や盗難がないか、定期的に鍵の数を数えることも推奨されます。 従業員のアクセス権限を確認します。各従業員がATMシステムにアクセスする際の権限が、職務に必要な最小限に限定されているか確認してください。不要なアクセス権が付与されていれば、即座に削除すべきです。また、離職者のアクセス権が確実に削除されているかも確認が必要です。 セキュリティポリシーが実際に遵守されているか、ランダムサンプリングで点検します。規程があるだけではなく、実務でも従われているか確認することが重要です。問題が見つかれば、原因を特定し、改善策を講じてください。 従業員教育の実施状況も評価対象です。セキュリティに関する研修が定期的に実施されているか、参加記録が保存されているか確認します。新入従業員のオリエンテーション時に、セキュリティ教育が組み込まれているか確認も必要です。 ## 環境変化への対応確認 ATMを取り巻く環境は常に変化しています。新しい脅威に対応できるよう、継続的な見直しが必要です。 周辺環境の変化を確認します。ATM周辺に新しい建物が建設されたり、利用者数が大きく増減したり、周囲の状況が変わることがあります。こうした環境変化に応じ、セキュリティ対策の見直しが必要かどうか判断してください。 新しい脅威への対策状況を確認します。サイバー犯罪の手口は日々進化しています。業界で報告されている新しい脅威に対する対策が講じられているか、情報を収集し、自施設でも同じような脅威が発生する可能性がないか検討してください。 業界基準やコンプライアンス要件の更新への対応状況も確認します。金融機関や決済ネットワークから新しいセキュリティ要件が発表されることがあります。これらの要件に対応しているか定期的に確認が必要です。 ## prostathaによるセキュリティ監査サービス prostathaでは、これらの項目を網羅した包括的なセキュリティ監査サービスを提供しています。専門知識を持つ監査員が、物理セキュリティから電子セキュリティ、運用面まで、あらゆる側面を客観的に評価します。 監査後には、詳細な報告書を提供し、改善が必要な項目について優先順位をつけて提案いたします。具体的な改善策