テールゲーティング てーるげーてぃんぐ
簡単に言うとこんな感じ!
正規の人がドアを開けた瞬間、こっそり後ろからついてすり抜ける手口だよ!IDカードがなくても「配達の人っぽく見せる」だけで入れてしまう、リアル世界の不正侵入なんだ。
テールゲーティングとは
テールゲーティング(Tailgating)とは、ICカードや暗証番号など正規の認証手段を持たない人物が、認証を済ませた正規ユーザーの直後に続いて扉やゲートを通り抜ける物理的な不正侵入手法です。「tailgate(後ろにぴったりつく)」という英単語が語源で、車が前の車にぴたりとくっついて走るあおり運転のイメージがそのままセキュリティ用語になっています。
この手口が厄介なのは、システムやパスワードをハッキングするのではなく、人間の善意や気遣いを悪用する点です。「両手が荷物でふさがった宅配業者」「社員証を忘れたふりをした不審者」が「ちょっとすみません、ありがとうございます!」と笑顔で後ろからついてくる——こうした場面は技術的な対策だけでは防げません。
ソーシャルエンジニアリング(人の心理を操って情報や権限を騙し取る手法)の一種であり、サイバー攻撃の入口として物理侵入が使われるケースも増えています。サーバー室や重要フロアへの侵入→機器への直接アクセス→情報窃取、という流れで深刻な被害につながります。
テールゲーティングの手口と分類
| パターン | 具体的な場面 | 難易度(攻撃者視点) |
|---|---|---|
| 荷物持ち偽装 | 両手が塞がった宅配員や引越し業者を装い、社員が扉を開けてくれるのを待つ | ★☆☆ 低い |
| 社員のふり | 社員証を首から下げているように見せかけて後ろに続く | ★★☆ 中程度 |
| グループに紛れる | 大人数が一斉に入退室するタイミングを狙う | ★☆☆ 低い |
| 緊急・点検偽装 | 「設備点検に来ました」と作業服で訪問し入室する | ★★☆ 中程度 |
| 内部協力者あり | 内通者が意図的に扉を開けて招き入れる(ピギーバッキング) | ★★★ 高い |
テールゲーティングとピギーバッキングの違い
テールゲーティングと混同されやすい言葉にピギーバッキング(Piggybacking)があります。
テールゲーティング:正規ユーザーが「気づかないまま」後ろにつかれる(善意の悪用)
ピギーバッキング :正規ユーザーが「知った上で」不正侵入者を入れてしまう(意図的または騙されて許可)試験問題や実務では混用されることもありますが、被害を受けた正規ユーザーが気づいているかどうかが分類の目安です。
覚え方
「テールゲート=後ろのドア」——車の荷台の扉のように、後ろからこっそり入り込むイメージで覚えよう!
歴史と背景
- 1960〜70年代:コンピュータ施設が物理的に厳重管理されるようになり、入退室管理の重要性が認識され始める
- 1980〜90年代:ICカードや磁気カードによるセキュリティゲートが普及。同時に「カードを持たずにすり抜ける」手口も広まる
- 2000年代初頭:9.11同時多発テロを受け、企業・政府機関での物理セキュリティが世界的に強化。テールゲーティングへの対策が明文化される
- 2013年:大手小売チェーン「Target」への侵入事件(HVAC業者が入口を悪用)が物理侵入リスクを広く知らしめる
- 2020年代:リモートワーク普及後も、データセンター・サーバー室・重要施設での物理侵入リスクは継続。むしろセキュリティ意識が薄れた隙を狙う事例が増加傾向
対策と技術的・人的ソリューション
テールゲーティング対策は「物理的な仕組み」と「人間への教育」の両輪が必要です。
マントラップとは?
マントラップ(Man Trap)は、二重の扉で構成された小部屋型の入室管理設備です。最初の扉を認証で開けても、内側の扉は前の扉が閉まるまで開きません。物理的に1人ずつしか通れないため、テールゲーティングを構造的に不可能にします。金融機関・データセンター・研究施設などで広く採用されています。
関連する規格・RFC
| 規格・ガイドライン | 内容 |
|---|---|
| ISO/IEC 27001 | 情報セキュリティマネジメントの国際規格。物理的・環境的セキュリティ管理策(Annex A.11)でテールゲーティング対策を要求 |
| NIST SP 800-116 | 物理アクセス制御システム(PACS)に関するガイドライン。入退室管理の技術要件を規定 |
| PCI DSS(v4.0) | クレジットカード情報を扱う施設への物理アクセス制御を義務付け。訪問者ログ・監視カメラ等を要求 |
| ASIS International 基準 | 警備・物理セキュリティの業界団体が定めるベストプラクティス集。テールゲーティング対策を明示 |