モノのインターネット（IoT）デバイスの使用が増加したこともあり、サイバーセキュリティの状況は急速に進化し続け、企業は脅威の急増に直面し始めています。このリスクの増大は、一般データ保護規制（GDPR）やNIS指令などの新しい法律の制定を推進する要因にもなっています。希少なエリートチームによる洗練されたハッカー集団から、より一般的な、ネットワーク内で悪用可能な脆弱性や弱点を探している日和見主義的なハッカーに至るまで、考慮すべき複数の脅威ベクトルがあります。そして、おそらくそれらすべての中で最も潜在的な脅威を忘れないでください…それは、従業員または人的なミスや過失です。

システム構成の問題が原因で、最近多くの重大なデータ侵害が報告されていることが懸念されています。これは通常、人為的なミスによるものと考えられます。新しい技術の使用に関する教育が非常に重要であるということは広く認識されていますが、人的ミスや構成の問題を最小限に抑えるために技術ベンダーがこれらのシステムの設置および試運転を行っている人々を支援することもまた不可欠です。

課題が明らかになるにつれて、当社ではNational Cyber​​ Security Center（NCSC）のような組織が「Secure by Default」(デフォルトでセキュア)のような原則に関する意識向上プログラムを強化し始め、その結果、エンドユーザーは自身が調達するテクノロジーの設計、製造、導入が「Secure by Default」戦略で展開されていることを要求するようになるでしょう。デフォルトでセキュアとは、本質的には、そのテクノロジーに組み込まれていることを知らなくても、そしてユーザー自身で有効にしなくても最高のセキュリティを実現できることを意味します。

サイバーセキュリティへの新しいアプローチ

簡単に言うと、「Secure by Default」戦略は、システムやコンポーネントの種類に対するサイバーセキュリティ上の個々の欠陥に対処することで全体的な害を軽減するのではなく、根本原因からセキュリティ問題を解決するための総合的なアプローチをとることを意味します。Secure by Defaultは、適切なセキュリティ上の基本要素がソフトウェアとハ​​ードウェアに組み込まれていることを確認するための、長期にわたる技術的な取り組みをカバーしています。また、それらの基本要素が利用可能であり、市場で容易に採用できるよう用意されているを確証するという、前述した点と同様に要求の厳しいタスクについても説明します。

この分野は、これまで企業にとってそれほど重要ではありませんでした。不適切なセットアップやテクノロジーの設定は、ネットワークへの不正アクセスの環境を提供するデバイスの存在というリスクを高めるだけでなく、特に物理的および電子的なセキュリティデバイスでは、ビジネス資産の中にハッカーの目と耳を置くのを許してしまう可能性があります。もっと簡単に言うと、スタッフ、顧客、または一般の人々のビデオストリームにハッカーがアクセスできてしまう状態を提供してしまうことになるのです。

Axisでは、サイバーセキュリティ侵害の危険性を疑う企業と接する経験を何度もしてきました。例えば「起こりうる最悪のことは何ですか？侵入者は映像フィードにアクセスするだけで、当社のネットワークに侵入することなんて無いですよ」というような反応をする企業がありました。これは危険な考え方です。現在のところ、考えられる最悪の結果はGDPRによる罰金になる可能性があります。それは、先に挙げた例では、このような侵入によって個人を特定できる情報（PII）への不正アクセスが可能状態なのに、自社で取り込んだPIIを保護するための対策が十分に整っていないということになります。これによる企業の評判へのダメージは言うまでもありません。

以前は「Privacy by design」(設計段階からプライバシー保護)と呼ばれていたGDPRでは、「設計とデフォルトによるデータ保護とセキュリティ」を法的要件としています。同第25条では、処理手段の決定時および処理自体を行う時点で、組織は適切な技術的かつ組織的な措置を講じる必要があり、かかる措置はデータ保護を効果的な方法で実施するよう、そして処理に必要な安全装置を統合するよう設計されていなけばならない、と厳しく規定されています。（Ref＃NSCS）

少し前のことになりますが、イギリスのハッカーが学校のCCTVシステムに侵入して生徒たちが映ったストリーム映像がインターネットに流れている、という事件がありました。当然のことながら、これは多くの否定的な報道をもたらしました。私たちは子供たちが安全であることを期待して学校に送り出していますが、セキュリティシステムは子供たちを危険にさらすのではなく保護するためにあるのですから、こうした報道は当然のことでした。

その映像を流していたウェブサイトは、「システムはハッキングされておらず、カメラはすべてインターネットに接続されたカメラであり、適切なパスワード保護がされていない」と主張していました。生徒たちの映像を映すという行為は当然ながら非倫理的な行いですが、「これらのシステムはハッキングされていなかった」と述べているという点に限ればそのウェブサイトの主張は正しいといえます。では、ここで最大の問題は何でしょうか？

この例で完全に明らかなことは、それは、Secure by Defaultの原則に従わない、不十分な設計のテクノロジーであったということです。インストールと設定が不完全だと、安全でないプロセスが間違いなく引き起こされます。このどちらかが正しく行われていたならば、この事件は起こらなかったであろう可能性が非常に高いです。サイバーセキュリティの原則に沿って構成および展開されている限り、Secure by Defaultの原則に従わなくとも、テクノロジーをセキュアな状態にしたシステムを作ることはできますが、前述の例にあるとおり、お勧めはできません。

あるいは、テクノロジー自体がSecure by Designの原則に従っている場合でも、そのテクノロジーがサイバーセキュリティの原則に従わずにデバイスに組み込まれた場合、前述したような事件の発生は避けられません。ベストプラクティスのセキュリティには、パスワードの要求やパスワード強度のインジケータ、そして最も重要なこととしてリモートアクセスを無効にすることを含めるべきです。前述のウェブサイトの例では、この侵害の影響を受けたのは学校の監視システムだけでなく、商業事業や住宅地、公共スペースのカメラシステムでもありました。

Axisのテクノロジーでの対応を支援するために、当社ではSecure by Defaultの原則をNational Cyber​​security Strategy Code of Practice (国家サイバーセキュリティ戦略の行動規範)で示された推奨事項に合わせました。

• パスワード要求 – 初期状態のデバイスにアクセスするために初期パスワードが用意されていることがあります。セットアッププロセス中に、このパスワードを変更するようにユーザーに促します。
• パスワード強度の表示 – パスワードの有効性についてアドバイスする強度指標があります。ほとんどの大企業では独自の企業パスワードポリシーを持っているため、各社で使用するパスワードについて当社製品で決定したり承認したりすることはしませんが、その代わりパスワードの強度についてアドバイスします。
• HTTPS暗号化 – ハイパーテキスト転送プロトコルセキュア（HTTPS）は、セキュアなバージョンのHTTPで、ブラウザと接続しているWebサイトとの間でデータが送信されるプロトコルです。HTTPSの末尾の「S」は「secure」（セキュア）を表します 。それはお使いのブラウザとウェブサイト間のすべての通信が暗号化されることを意味します。
• 802.1X – IEEE 802.1Xは、ポートベースのネットワークアクセス制御（PNAC）のIEEE標準です。これは、IEEE 802.1グループのネットワークプロトコルの一部であり、LANまたはWLANに接続しようとするデバイスに対して、認証のメカニズムを提供します。
• リモートアクセス無効（NATトラバーサル） – デバイスにリモートアクセスできることには運用上の利点がありますが、必要な時にだけ有効にされるべきです。リモートアクセスを有効にする場合は、必要な手続きに従ってデバイスを保護する必要があります。

Axisでは、当社のテクノロジーを保護することの重要性を理解しております。100％安全な技術は存在しませんが、Secure by Defaultなどの技術的な考慮事項に従って確実性を上げる努力を続けています。お客様がポリシーと手順をよく理解できるよう、Axisではサイバーセキュリティに関するサポ​​ートも提供しています。

下記Cybersecurity Paper(英文)をダウンロードしてご覧ください。

Cybersecurity Challenges – Overview