物理的セキュリティとサイバーセキュリティにどれほどの違いがあるのか?

Fred Juhlin

大規模な組織には通常、物理的セキュリティチームと、サイバーセキュリティに焦点を当てた別のITチームがいます。どちらのチームも組織の資産とリソースを保護します。よって、両者を協力し合う素晴らしい仲間にすると考えるのは自然なことです。

課題は、資産とリソースが異なることです。保護とは、特定の脅威のリスクを軽減するように設計された障害です。リスクを理解していない場合、保護を実行することは煩わしいと見なされます。毎日の仕事を難しくする追加のプロセス、しかもコストがかかります。これはしばしばOT(運用技術)とIT(情報技術)の衝突です。一般的な違いは、OTは機密性と整合性よりも可用性を優先することが多いということです。多くの場合、ITは機密性を優先します。

 

サイバーセキュリティが物理的セキュリティから学ぶことができるもの

ほとんどの人にとって、物理的なセキュリティリスクを理解するのは簡単です。ロックされていないドアは、許可されていない人が入るリスクを高めます。目に見える貴重品を簡単に取り込めます。間違いや事故は、人、財産、物に危害を及ぼす可能性があります。

私は、主にIPネットワークに接続される物理的セキュリティ製品を開発している企業のシニアサイバーセキュリティアナリストです。したがって、私の見解では、物理的セキュリティとサイバーセキュリティへの取り組み方は、ほぼ同じです。組織の物理的なセキュリティまたはサイバーセキュリティの責任者であっても、同じ原則を適用する必要があります。

  • 資産とリソースを識別して分類します(何を保護するか)。
  • 想定される脅威を特定する(誰から保護するか)
  • 脅威により悪用される可能性のある脆弱性を特定する(可能性)
  • 悪いことが起こった場合の予想コストを特定する(結果)

多くの場合、リスクは脅威の確率に有害な結果を乗じたもので定義されます。答えが出たら、マイナスの影響を防ぐために何をするかを尋ねる必要があります。それぞれの原則を詳しく見てみましょう。

 

資産とリソースに注意

ビデオシステムに関する限り、明らかなリソースはカメラからのビデオフィードです。アセットは、ビデオ管理システムのビデオレコーディングです。これらへのアクセスは、通常、ユーザー特権によって制御されます。ビデオ以外に考慮すべき他の資産は、ユーザーアカウント/パスワード、構成、オペレーティングシステム、ファームウェア/ソフトウェア、およびネットワーク接続を備えたデバイスです。どれも、それらがどれほど重要で公開されているかに応じて、さまざまな分類があります。

 

一般的な脅威に注意

システムへの最大の脅威は、システムへの正当なアクセス権を持つユーザーによる意図的または偶発的な誤用であると説明できます。保護が不十分だと、従業員は視聴が許可されていないビデオにアクセスしたり、物事を「修正」しようとしたりして、システムのパフォーマンスが低下する可能性があります。

ハードウェア障害も、一般的なサイバーセキュリティの脅威です。監視システムは、監視されることを好まない個人によって妨害される可能性があります。インターネットに公開されたサービスは、娯楽のためにコンピューターシステムを操作するいたずら者の犠牲になる可能性があります。テロリストや国民国家は、特定の組織のネットワーク内のデバイスを武器にしようとする可能性があります。これらの脅威は、敵対者への影響と価値が同じであるため、物理的な脅威と同じです。システムには、物理的保護とサイバー保護の両方が必要です。

 

一般的な脆弱性に注意

物理的なセキュリティでは、ドアと窓は脆弱性であり、建物への入り口の1つの方法です。防御壁、壁、フェンスにも脆弱性があり、人々はそれを通り抜けたり、上に乗せたりすることができます。

同じ考え方がソフトウェアにも当てはまります。リスクは、特定の脆弱性を悪用する難しさと、どのような悪影響があるかによって異なります。保護により、リスクを軽減するための障害(暗号化など)または回復コストを削減する方法(データバックアップなど)が追加される場合があります。

ほとんどの人がサイバーセキュリティについて考えるとき、彼らはメディアで読んだ高度な攻撃を思い浮かべます。私が遭遇するほとんどの懸念は、主にデバイスメーカーであるデバイスインターフェースの欠陥に関連しています。ただし、最大の脆弱性は、組織の内部認識、ポリシー、プロセス、および手順の欠如に関連しています。それらを導入する必要があり、サプライヤーの製品やサービスを評価する前に、サプライヤーのサイバー成熟度を監査する必要があります。

 

マイナスの影響に注意

ビデオシステムは金融取引を処理せず、顧客データも保持しません。つまり、ビデオシステムは収益化が難しいため、組織化されたサイバー犯罪者にとっては価値が限られています。

他の想定される脅威を見ると、潜在的なコストがわかります。従業員は、許可されたビデオにアクセスしたり、システムのパフォーマンスを低下させたりする可能性があります。不満を抱いているインサイダーや外部の活動家による妨害行為は、運用上のダウンタイムを引き起こす可能性があります。組織外に漏洩したビデオは信頼を失う可能性があります。侵害されたシステムは、他のシステムに対する脅威になる可能性があります。コストの見積もりは難しいです。残念ながら、多くの場合、組織は難しい方法を学びます。保護は品質のようなものであり、あなたは支払った対価を手に入れます。そして、安く購入すると、結局は長期的にははるかにコストがかかるかもしれません。

アクシスがサイバーセキュリティを強化するために行っていることの詳細をご覧ください。

詳細情報