IoTの世界へのサイバーセキュリティの融合

Ola Lennartsson

世の中には2種類の人間がいると思っている人と、そうでない人とがいるといわれています。

サイバーセキュリティに関して言えば、かつては、2つのタイプの人がいました。絶対に侵入されない閉鎖的なシステムを作ることに重点を置いている人たちと、もう一方はテクノロジーの融合にはエコシステム中心型のアプローチが必要だと認識している人たちでした。物理的なセキュリティシステムの世界で育った私たちの多くは、断固として前者の陣営に属していたでしょう。しかし、業界がアナログからIPベースの技術や新しいIoTエコシステムへと移行していく中で、サイバーセキュリティ対策は、ネットワークの他のすべてのものに影響を与える可能性があります。

そのため、今ではほぼ1つのタイプの人しかいなくなりました。私たちのシステムやデバイスは運用レベルで融合するだけでなく、サイバーセキュリティのレベルでも融合することが絶対に必要だ、と考える人たちです。

今日のITエコシステムは、様々なベンダーの製品やサービスで構成されており、これらが連携して1つの完全なソリューションが形作られます。これに加えて、システムへのアクセスを必要とするソフトウェアが動作するスマートフォン、ノートパソコン、タブレットが存在し、これらの全部が、潜在的なサイバーリスクとなっています。このリスクは、デバイスを通じて知らず知らずのうちに侵入するトロイの木馬かもしれませんし、クラウドストレージへの安全ではない接続を悪用するハッカーかもしれません。

物理的なセキュリティが企業のITインフラストラクチャ(現在は非実用的で高価なソリューション)とは別のネットワークで実行されているとしても、人間は必ず間違いを犯します。ブロードバンドルーターへの不注意な接続、配線クローゼットでの偶発的な交差接続、その他、数えきれないほど多くの意図しない見落としなどです。サイバーセキュリティには保証がないことを肝に銘じなければなりません。

このような課題に直面している状況で、効果的なサイバーセキュリティ戦略を策定するには、どうすればよいでしょうか?

 

相互接続されたシステムのWebの保護

解決策は、統合したシステムの他のコンポーネントでサイバーセキュリティ上の脆弱性を発生させることなく、物理セキュリティの世界におけるベストプラクティスと、従来のIT領域におけるベストプラクティスを結び付ける最適な方法を見つけ出すことです。

IPベースの物理セキュリティのような統合したエコシステムでは、サイバー脅威と脆弱性は、はるかに複雑になります。コンポーネントの数が多いだけでなく、その技術を提供するベンダーの数も、それらを利用するユーザーの数も増えます。このようなオープンなエコシステムでリスクを軽減するには、すべてのベンダーが同じサイバーセキュリティ戦略に基づいて活動する必要があります。

 

サイバーリスクを軽減するための共通の基盤を見つける

IT、物理セキュリティ、テクノロジーメーカーは、まとまりのあるユニットとして、現在の標準規格と、「最大の共通分母」であるサイバーリスク軽減技術を反映した最新のサイバー軽減技術についてコンセンサスを得るべきです。

ほとんどの場合、ビデオ監視カメラとビデオ管理システム (VMS) は、主に2つの基準で選択されます。1つ目はたとえば周辺保護や、混雑する公共エリアでの監視などといった具体的な使用目的の点から、2つ目はその特定の用途について、ベンダーがどの程度対応できるかという点からです。しかし、さらに考慮すべき3番目の基準があります。カメラメーカーAがVMSメーカーBと同じセキュリティプロトコルをサポートしており、これらのプロトコルが現在のITハードウェア、ソフトウェア、サイバー保護プロトコルとシームレスに関連付けられているでしょうか?

 

誰が接続を所有するか?

このエコシステムはITインフラ上で動作しているため、もう1つ重要な疑問が生じます。誰が接続に責任を負うのか、という問題です。物理セキュリティネットワークに接続するシステムとデバイスのサイバーセキュリティ戦略はIT部門の責任になるのでしょうか? それとも物理セキュリティ部門は、ソリューションに組み込まれたサイバーセキュリティ技術のサポートを、IT部門に委任するのでしょうか? 最も単純な答えは、物理セキュリティの管理者がインテグレーターとメーカーと協力して、サイバーリスク軽減手法を本質的にサポートするソリューションを考案することです。

 

IoTデバイスのライフサイクル全体にわたるセキュリティ

IoTの世界でサイバーセキュリティを確保する場合、ライフサイクルの管理が重要な側面として加わります。脅威の状況は絶え間なく進化しているため、ソフトウェアベースのテクノロジーを新しい脅威から保護するために、定期的なアップデートやパッチの適用が必要になることは避けられません。責任あるメーカーは、ファームウェアのアップデートやセキュリティパッチを定期的にリリースして、脆弱性への対処、バグの修正、パフォーマンスに影響を及ぼすおそれのあるその他の問題の解決を行っています。しかし、残念ながら、すべてのエンドユーザーが、このようなアップデートが利用可能になったときに、アップデートの対応を規律正しく行えるわけではありません。どの領域にリスクが存在するかを把握し、悪用の可能性を意識して常に最新の状態に保つなど、ライフサイクル管理のべストプラクティスに従うことが、ビジネスを安全な状態に保つ上で有効です。

 

サイバーセキュリティはチームワークのたまものである

IoTと物理セキュリティの間で、サイバー保護テクノロジーが類似しているのは当然のことかもしれませんが、すべてのシステムビルダーが常に念頭に置く必要がある、重要な懸念事項がいくつかあります。それは、IoTデバイスとシステムは、どれほど洗練されていても、依然としてITの世界で動作するということです。そのため、協調的なサイバー保護戦略を採用する必要があります。物理セキュリティなどの成熟したIoTテクノロジーであっても、いくつかの新しいIoTサイバー保護技術の恩恵を受けるために進化する必要があります。

当面の間、現場にいる人たちは、組織が置かれた環境を理解し、ベンダー、セキュリティの専門家、IT部門の共同作業として、増加するサイバー脅威のリスクに対処しなければならないでしょう。予算という制約のあるなかで、エンドユーザーに可能な限り最高のサイバー保護を提供するために、一般的なツールを使用して作業する必要があります。

監視ソリューションのサイバーセキュリティに対するAxisのアプローチの詳細については、こちらをご覧ください。

Axisによるサイバーセキュリティ