Tailgating - Intrusión física por seguimiento

Lectura de 2 min aprox.

テールゲーティングとは、正規の入室権限を持つ人物がドアを開けた瞬間に、 権限のない者がその背後に続いて不正に入室する物理的侵入手法です。ソーシャルエンジニアリングの 物理版ともいえるこの手法は、高度な技術を一切必要とせず、人間の善意や 礼儀正しさという心理的弱点を突きます。サイバーセキュリティに多額の投資をしている 組織でも、物理的な入退室管理が甘ければ内部ネットワークへの直接アクセスを 許してしまう点で、見過ごされがちな深刻な脅威です。

テールゲーティングとピギーバッキングの違い

混同されやすい 2 つの用語ですが、正規入室者の関与の度合いが決定的に異なります。 テールゲーティングは正規入室者が気づかないうちに、あるいは気づいていても 止められない状況で不正者が侵入するケースです。一方、ピギーバッキングは 正規入室者が意図的にドアを押さえて不正者を通す、つまり共謀が成立している 状態を指します。

実務上の問題は、この 2 つの境界が曖昧なことです。「両手が荷物でふさがっている 人のためにドアを押さえる」行為は、善意のピギーバッキングであると同時に、 侵入者に悪用されるテールゲーティングの典型的なシナリオでもあります。

侵入テストで明らかになる現実

物理的なセキュリティ監査や 侵入テスト (ペネトレーションテスト) では、テールゲーティングの成功率が 驚くほど高いことが繰り返し報告されています。テスターが作業服を着て 段ボール箱を抱え、「すみません、手がふさがっていて」と声をかけるだけで、 多くのオフィスビルに入れてしまうのが現実です。実際のソーシャルエンジニアリング事例でも、 物理侵入がサイバー攻撃の起点となったケースが数多く記録されています。

侵入テスターが使う典型的な手口には、配達員や清掃業者への偽装、 喫煙所での従業員との雑談から一緒に入室するパターン、さらには 「カードを忘れた」と申告して同僚のふりをする手法があります。 物理セキュリティの基礎は物理セキュリティの専門書 (Amazon)でも体系的に学べます。

テールゲーティングの侵入フロー

対策技術と運用

テールゲーティングへの対策は、物理的な仕組みと人的な意識の両面から アプローチする必要があります。アクセス制御の 物理的な実装として、以下の技術が有効です。

しかし、最も重要な対策はセキュリティ意識教育です。「知らない人にドアを 押さえてあげない」「不審者を見かけたら声をかける」という文化を組織に 根付かせることが、技術的対策以上に効果を発揮します。物理セキュリティの基礎では、 こうした教育プログラムの設計方法も解説しています。

リモートワーク時代の物理セキュリティ

コロナ禍以降のリモートワーク普及により、物理セキュリティの課題は変質しています。 オフィスの出社率が低下したことで、「見慣れない顔」への警戒心が薄れ、 テールゲーティングが成功しやすい環境が生まれています。週に 1-2 回しか 出社しない従業員は、同じフロアの人間を把握しきれず、不審者を見分ける 能力が低下します。

一方で、ショルダーサーフィンの リスクはカフェやコワーキングスペースに移行し、物理的な脅威の範囲が オフィスの外にまで拡大しています。内部脅威対策の 観点からも、物理セキュリティとサイバーセキュリティを統合的に捉える アプローチが求められています。セキュリティ意識向上の関連書籍 (Amazon)も組織の教育プログラム構築に活用できます。