過去7年間、私は、サイバーセキュリティに関するさまざまな問題に取り組んできました。さまざまな概念を調査し、各種の手法、セキュリティコントロール、脆弱性、ポリシー、プロセスを定義しました。最近の数年間は、よく発生するサイバーセキュリティの脅威、起こりがちなミス、Axisのエコシステムにおける一般的な懸念事項について考えてきました。これらをまとめると有益だと考え、この記事を執筆しました。

 

リスク管理と脅威の評価

サイバーセキュリティという「底なし沼」に入り込んだとき、私はまず、Axis製品が備えるセキュリティ機能について考え、それを出発点にして成熟度を高めていきました。私にとって、サイバー成熟度とは、直面する脅威についてきちんと理解し、ある程度までリスクを理解するとともに、リスクを低減する方法も理解することです。潜在的な悪影響が生じる確率とその評価が関わるため、リスク管理は難易度の高い推測ゲームです。こうした定義や推測ができるのは、システム運用の当事者である企業だけです。

一方、脅威は誰にとっても同じことであり、いたるところに存在します。脅威とは、災難が必ず起こるという意味ではありません。空から隕石が落下して頭を直撃する脅威は、すべての人にあります。およぼす影響は致命的ですが、起こる可能性は少なく、低リスクです。

ITシステムの脅威は、さまざまな形があります。サイバーセキュリティの脅威は、メディアを通じてよく目にするハッカー、ウイルス、マルウェアなどの脅威よりもはるかに巨大です。ITシステムで保護すべき重要なものは、一般に機密性、完全性、可用性とよばれるものです。これらに悪影響をおよぼす事態はすべて、サイバーセキュリティインシデントです。ハードウェアの障害は可用性に影響する脅威であるため、これもサイバーセキュリティインシデントに分類されます。

 

システムの意図的、偶発的な悪用

システムへの正当なアクセス権を有する個人は、最も一般的な脅威でもあります。

• ビデオなど、アクセスする権限のないシステムサービスにアクセスする場合がある
• 盗みを働く
• 不満分子がシステムに意図的に危害を加える場合がある
• 何らかの問題を解決しようとした結果、システムのパフォーマンスが低下する場合がある
• ミスを犯す
• ソーシャルエンジニアリングに引っかかる場合がある
• アクセスカード、電話機、ノートPC、書類など、重要なコンポーネントを紛失したり置き忘れたりする場合がある
• 使用するコンピューターが脆弱化し、知らない間にシステムがマルウェアに感染している場合がある

システムに脅威の影響がおよぶ機会を生じさせる、最も一般的な脆弱性は以下のとおりです。

1. 企業におけるサイバー意識の欠如
2. リスクに対処するためのポリシーや長期的なプロセスの欠如

このような要因によって、ずさんなアカウント管理が行われたり、余計な数のユーザーに余計な権限やアクセス権が与えられたりします。便利だからという単純な理由でそうしている場合が少なくありません。

ビデオ管理システム (VMS) では、ビデオ管理サーバーから、潜在的に非常に多くのユーザーがリアルタイム映像と録画ビデオにアクセスします。VMSソフトウェアはユーザーアカウント管理機能を備え、ユーザーごとに異なる権限を与えることができます。適切なポリシーを定義し、プロセスを導入し、ポリシーを長期的に維持することは、すべてのお客様が行わなければならない作業です。

カメラ自体にはユーザーはおらず、クライアントのみが存在します。John、Bob、Janeといった個人がカメラのアカウントを保有することは意図されていないため、日常運用中に個人がカメラへのアクセスを許可されることがあってはなりません。

1台のデバイスには、管理用のアカウントが1つと、日常運用クライアントであるVMSのアカウントが1つ必要です。また、メンテナンスやトラブルシューティング用に、一時的なアカウントを1つ使用する必要があります。ビデオシステムの導入の際に最もよく見られるミスは、これら3つの役割が同じアカウントを共有していることです。このアカウントパスワードが社内で簡単に拡散し、意図的、偶発的な悪用の機会が生じます。メーカーの推奨事項や強化ガイドに必ず従う必要があります。

 

物理的ないたずらや破壊工作

以下に示すように、サイバーセキュリティの観点から、ITシステムの物理的な保護は非常に重要です。

• 物理的に露出した機器はいたずらされるおそれがある
• 物理的に露出した機器は盗難のおそれがある
• 物理的に露出したケーブルは切断や接続変更のおそれがある

カメラ自体がいたずらされるだけでなく、ネットワークケーブルが危険にさらされる場合があり、結果的に、ネットワークの侵害につながりかねません。

脅威による悪用の機会が生じる、一般的な脆弱性として、以下が挙げられます。

施錠したエリアに設置されていないサーバーやスイッチなどのネットワーク機器

• 手の届きやすい場所に設置されているカメラ
• 壁や導管によって保護されていないケーブル
• 不十分な保護ハウジングを使用して設置されているカメラ

ベンダーのガイドラインに従う必要があります。常識は大いに役立ちます。

 

リスクの低減と侵害の影響

侵害とは、何者かがシステムリソースにアクセスする目的で、1つまたは複数のセキュリティコントロールを回避することを意味します。システムを侵害する攻撃ベクトルには、さまざまな例があります。ソーシャルエンジニアリングは、最も一般的で効果的なものの1つであり、基本的にリスクフリーな攻撃ベクトルです。

システムを侵害するのに必要な巧妙性のレベルは、どのようなセキュリティコントロールが障害物として追加されているかによって異なります。インターネットに露出したシステムは、誰でもリソースにアクセスできることを意味し、遠隔地にいる攻撃者が悪用できそうな脆弱性を探り出す隙を与えます。サイバー犯罪者やスクリプトキディとよばれる幼稚なクラッカーは、昼夜を問わず、このような脆弱性を探しています。

一般的なリスク削減のテクニックは、露出を減らすことです。ビデオシステムは通常、インターネットに露出していませんし、露出させないことが推奨されています。これにより、遠隔地にいる敵対者が潜在的な脆弱性を悪用してシステムを侵害するリスクが自動的に低下します。

ビデオシステムにおいて、ありがちな脆弱性は、デバイスの物理的な露出に関係するものです。保護対策が講じられていない場合、誰でもカメラに手が届きさえすれば、イーサネットケーブルを乗っ取ることができます。このような場合の対策として、ファイアウォールの追加、ネットワークセグメンテーション、ネットワークアクセスコントロール (802.1X) など、追加できるセキュリティコントロールがいくつもあります。リスクを低減するには、ベンダーが推奨するガイドラインに従うことが重要です。ベンダーが提供する製品と強化ガイドに含まれる推奨事項やセキュリティコントロールを使用して、悪意ある攻撃者がネットワークへのアクセスを奪取した場合でもリスクを低減することができます。

 

より巧妙なサイバー攻撃への備え

敵対者は、一般的な脅威に対処できていない企業には、巧妙な攻撃を仕掛ける必要がありません。巧妙な攻撃を行うには、スキル、時間、決意、リソースが必要です。ビデオシステムを狙う巧妙な攻撃の脅威は、存在するのは確かですが、一般的ではありません。ビデオシステムを侵害しても、そこから収益を得るのが難しいため、サイバー犯罪者はあまり関心を示しません。しかし、重要インフラを保護するビデオシステムは、間違いなく高リスクです。この種の企業は、国家やサイバーテロリスト集団など、明確な意志と豊富なリソースを持つ敵対者と戦っています。これらの企業は、すでに一般的な脅威に対するセキュリティコントロールを追加しているため、敵対者は、より巧妙な攻撃を使用する必要に迫られます。Axisがこのようなリスクの低減にいかに貢献するかについては、今後の記事でご紹介します。

 

サイバーセキュリティの詳細については、こちらをご覧ください。

Axisとサイバーセキュリティ