標準のサイバー保護

Fred Juhlin

コンピューターネットワークは常に攻撃にさらされています。とはいえ、成功するのは、ごく一部の攻撃のみです。サイバー攻撃の大半は、特定の相手をターゲットにしているのではなく、開かれたネットワーク/ポートを手当たり次第試してみる、簡単なパスワードを試してみる、パッチが適用されていないネットワークサービスを特定する、フィッシングメールを送信するなど、日和見的なものです。攻撃者は、失敗した攻撃についてはそれ以上時間をかけたくないため、次の標的に移ります。

これを自動車泥棒にたとえてみると、自動車泥棒はロックされていないドアが見つかるまで手当たり次第にドアハンドルを引いてみます。つまり、日和見的な攻撃から自分を守るには、自動車のドアロックを開けたままにしておかないのと同様に、標準のサイバー強化の推奨事項に従うということが言えます。ファイアウォールが組み込まれたルーターを使用する、推測するのが難しいパスワードをコンピューターで使う、OSやソフトウェアを最新の状態に保つ、といったことは、ご家庭でもすぐにできる簡単な対処法です。ほかにも過去10~20年の間に繰り返し警告されている点として、不明な送信者からの添付ファイルは開かない、マルウェア対策ソフトウェアをインストールする、信頼できないサイトからソフトウェアをインストールしない、出所不明のUSBを挿入しない (子どもの頃、勝手にものは拾ってこないと注意されたことがあるはずです) などがあります。

ここはAxisのブログですので、ネットワークカメラの場合を考えてみましょう。設置するとリスクはあるのでしょうか。幸い、カメラはパソコンと同じ脅威にさらされることはありません。カメラの場合、ログインするユーザー、インストールするソフトウェア、アクセスするWebページ、メールの添付ファイルなどはありません。とはいえ、カメラには、攻撃者が他の攻撃のプラットフォームとして利用できるサービス(内部で動作する機能のこと)があります。「モノのインターネット」が爆発的に増えているため、カメラを含め、強化が不十分な状態でインターネットにさらされている数多くのデバイスは、ハッカーグループがボットネットとして隷属化するための容易なターゲットになり得ます。

ここで、日和見的な攻撃者からのリスクを軽減するための簡単な推奨事項をご紹介します。

 

ネットワークの露出を減らす

基本的に、本当に必要でない限りインターネットには何も接続しないようにします。接続する場合は、つなげる前に十分に強化する必要があることを理解しておきます。

ネットワークカメラの課題は、多くの人が映像にリモートでアクセスしたいということです。ネットワークカメラの中にはWebサーバーがあり、Webブラウザーを使用するだけで映像にアクセスできます。ルーター/ファイアウォールに穴を開けて (ポートフォワーディングと呼ばれる) Webブラウザーをプライマリのビデオクライアントとして使用するのが良いアイディアに思えるかもしれませんが、これは不必要なリスクを増やすことになり、推奨されていません。

オープン性にも対応するという意味で、AxisカメラはこれまでUPnP NATトラバーサルをサポートしてきました。このサービスはルーターのポートフォワーディングの設定プロセスをシンプルにするものです。

ただし、これはデフォルトでは有効になっておらず、有効にしないことが推奨されています。レガシーの機能で、今後の製品では取り除かれる予定です。リモートビデオアクセス向けに、より優れた安全な方法があります。VMS (ビデオ管理システム) を持っていない個人または小規模の組織の場合、Axisでは無料のAXIS  Companionクライアントを使用することを推奨しています。これを使用するなら、カメラを (デバイスとして) インターネットにさらすことなくリモートで安全に映像にアクセスできます。VMSを使用するシステムの場合、リモートビデオアクセスに関するVMSベンダーの推奨事項に従うことをお勧めします。映像が一般向けにストリーミングされる場合 (Web上の催しなど)、適切に設定されたインターネットWebサーバーを使ったメディアプロキシーの使用をお勧めします。複数のリモートサイトがある場合は、VPN (仮想プライベートネットワーク) を使用するのが最善です。

 

推測するのが難しいパスワード

インターネットに接続可能な他のほとんどのデバイスと同様に、データやサービスに対する許可されていないアクセスを防止するためのカメラの主要な保護機能は、パスワードです。強力なパスワードの定義について意見は異なります。一般的な推奨事項として、8文字以上を使用し、大文字、小文字、数字、特殊記号を含めるのがよいとされています。強力なパスワードに対して総当たり攻撃をすることは、膨大な時間がかかるために侵入者にとって効果的ではありません。VMS環境では、ユーザーはカメラに直接アクセスすることはないため、カメラとの認証は主にマシン対マシンとして行われます。VMS環境にログイン失敗遅延を追加すると、ロックアウトされる可能性が高まります。より小規模な組織では、クライアントはカメラに直接接続している場合が多いため (人間対マシンの認証)、推測が難しいものの記憶するのが簡単なパスワードの使用が勧められています。パスワードとして長いパスフレーズを使用します (たとえば、「this is my camera passphrase」)。空白文字は使用できます。どのような場合でも、工場出荷時のデフォルトパスワードは使用しないようにします。

 

ファームウェアとソフトウェアのパッチ

ソフトウェアは人間によって作られ、人間は今のところまだ不完全です。そのため、ソフトウェアがライブになる前に問題点を見つける努力は払われていますが、定期的に新たな脆弱性が見つかり、今後も見つかり続けるでしょう。そのほとんどは問題ではありませんが、中には重大なものもあるため、ファームウェアとソフトウェアを必ず更新して、定期的な間隔で新しいバージョンがあるかどうか確認します。重大な脆弱性が見つかった場合、経済的に可能であれば、だれかがそれを悪用しようとする可能性があります。パッチされていないネットワークサービスに攻撃者がアクセスできるなら、その攻撃が成功する可能性は極めて高いため、そのような機会を減らすことが重要になってきます。

 

ターゲットを絞った攻撃

企業および重要なインフラを持つ組織は、日和見的な攻撃だけでなく、ターゲットを絞った攻撃の対象となります。同じ低コストの方法が使用されますが、ターゲットを絞った攻撃者は、より多くの戦利品が期待できることから、より多くの時間、リソース、そして決意をもって攻撃に臨みます。リスクを低減するのに最適なセキュリティコントロールを特定するためにも、脅威モデリングとリスク分析を行うことは重要です。これは大きなトピックですので、今後のブログ投稿で詳細に取り上げることにします。

 

Axisの責任

Axisでは、開発プロセスや製品ライフサイクルの改善、より良いセキュリティコントロール、よりセキュアなデフォルト設定、ユーザーインターフェースの機能拡張、このブログ投稿など追加のガイドによって、お客様のリスクを低減するために常に努力しています。ネットワークカメラを強化するための最適な方法の詳細については、こちらのガイドの推奨事項をご覧ください。