すべてのデバイスでサイバーセキュリティを維持する方法
ネットワーク管理者がネットワークの安全な設計と運用を確実にするために背負う重圧は大きくなる一方です。システムのライフサイクル全体を通じてサイバーセキュリティを管理するには、正しい知識とツールを備えることが重要です。ここでは、ネットワークデバイスの管理におけるサイバーセキュリティのベストプラクティスについて考察し、ネットワーク管理者がサイバーセキュリティに関する固有の目標を効率よく達成する上で、デバイス管理ソフトウェアがいかに威力を発揮するかを説明します。
ネットワークデバイスの台数が増え続け、ネットワーク管理者の負担も日に日に重くなっています。すでに長引いている作業時間や過密なスケジュールに歯止めが掛からないだけでなく、セキュリティが損なわれる危険性も懸念されます。Axisでは最近フィールドテストを行い、200台のカメラを接続したネットワークで、いくつかの基本的なデバイス管理タスクを実行するのに必要な時間を比較しました。アドオンアプリケーションのインストール、ファームウェアのアップグレード、デバイスの設定と強化(Hardening) といった基本的な作業に要する時間は、カメラのWebインターフェースを使用して手動で作業する場合は106時間でしたが、デバイス管理ソフトウェアを使用すると、わずか30分に短縮されました。
企業が直面する脆弱性を絶えず意識
企業がサイバーセキュリティへの準備を整えるには、大まかには2つのステップで進める必要があります。最初のステップは、意識を高めることです。潜在的なサイバー脆弱性、脅威、問題点について企業が認識していなければ、防止策を取ることはできません。継続的な学習と改善のメンタリティが必要になります。具体的には、絶えず自己学習に努め、優れたサイバーセキュリティ文化を社内に根付かせる必要があります。サプライヤーは、この流れに沿って、明確な脆弱性管理ポリシー、プロセス、ベストプラクティスを順守する必要があります。
支援を受けてリスクを緩和
2番目のステップは、リスクの緩和です。認識した問題は、どのように解決すればよいでしょうか? 企業が自力で解決できない問題がある場合、外部からの支援が必要になるケースが少なくありません。ベンダーやパートナーを選ぶ場合、まず、サイバー成熟度の点で優れた実績を持つ会社に注目するとよいでしょう。脅威とその対策を熟知し、自社の製品やサービスの管理が行き届いており、必要に応じてベストプラクティスに基づくルーチンを適切に応用できること。オープンで透明性があり、ユーザーが選択した製品のファームウェアの更新を長期にわたって提供できることが条件です。同じくらい重要なのが、脅威の緩和に必要なセキュリティ対策を適用するツールを提供していることです。デバイスのハードニングや管理などのツールが必要です。
完全なデバイスインベントリを維持
企業ネットワークのセキュリティを確保するには、ネットワーク上に存在するすべてのデバイスの漏れのないインベントリを保つことが基本です。全体的なセキュリティポリシーの作成や見直しを行う場合、重要な資産だけでなく、個々のデバイスについての知識や明確な記録があることが大前提になります。デバイスを1台見落としただけでも、攻撃者がそこからネットワークに侵入してくるおそれがあるからです。まったく認識していないデバイスを保護することはできません。
ネットワーク管理者は、デバイス管理ソフトウェアを使用して、ネットワークデバイスのリアルタイムなインベントリに自動的にアクセスし、ネットワーク上のデバイスを自動的に識別して、一覧表示や並べ替えを行うことができます。企業固有の要件に基づいて、タグを利用してデバイスをグループに分類することもできます。ネットワーク上のすべてのデバイスの概要を把握し、ドキュメントに記録する作業が簡単に行えます。
アカウントとパスワードに関するポリシー
認証や特権の管理は、ネットワークリソースの保護の重要分野です。アカウントとパスワードに関するポリシーの導入は、ネットワークが偶発的、意図的に悪用されるリスクを長期にわたって軽減するのに有効です。このポリシーの基本事項のひとつが、強力なパスワードを作成することですが、管理パスワードをはじめとする、作成したパスワードのセキュリティが損なわれるリスクを減らすことが重要です。ここに手落ちがあると、サービスやリソースを乗っ取られるおそれがあります。
デバイスのパスワードが社内で共有される傾向が見られます。たとえば、社員がカメラの調整や最適化、トラブルシューティングを行う必要が度々生じる場合、パスワードの共有が恒常化しているうちに、全社員がカメラのパスワードを知るようになり、意図的、偶発的な悪用が起こりかねません。この問題に対処する手段として、特定のアカウントを全員で共有するのではなく、特権レベルが異なる複数の層からなるアカウントシステムを構築し、必要に応じて一時的なアカウントを作成し、一時的にアクセスを許可するとよいでしょう。このようなプロセスは、手動で実行すると時間がかかりますが、デバイス管理ソフトウェアを利用すれば、複数のアカウントとパスワードを簡単に管理することができます。
新たな脆弱性に対する防護
新たな脆弱性が日々発見されています。そのほとんどは重大なものではありませんが、時として、重大な脆弱性が発見されることもあります。ソフトウェアベースのデバイスと同様に、カメラにもパッチを適用して、既知の脆弱性が悪用されるのを防止する必要があります。ネットワーク管理者が常に最新の情勢を把握した上で、業界のベストプラクティスを守り、このような脅威を熟知していることが重要です。責任あるメーカーは、ファームウェアをリリースして既知の脆弱性に対処するとともに、サイバーセキュリティに関して率直な情報公開を行い、顧客の知識の向上に努めています。
攻撃者は、すでに発見されている脆弱性を悪用するので、ファームウェアが利用可能になった時点で直ちに更新することが重要です。新しいファームウェアを迅速に導入して運用能力を強化し、新しいアップグレード版を手動で展開する際のボトルネックをなくすことも同じように重要です。正常に稼働しているシステムでファームウェアのパッチを適用すると、予期しない動作上の問題が発生する場合があります。セキュリティパッチを適用する際には、LTS (Long-Term-Support) 版のファームウェアを使用することを推奨します。LTS版のファームウェアには、バグフィックスとセキュリティパッチのみが含まれています。
前述のように、ネットワークの規模が大きいほど、すべてのデバイスをアップグレードするのに必要な労力も大きくなります。Axisが200台のカメラを接続したネットワークで行ったフィールドテストによると、手動のWebインターフェースを利用してファームウェアをアップグレードするのに必要な時間は1,000分ですが、デバイス管理ソフトウェアを使用すれば、わずか10分ですみます。時間が節約できるだけでなく、新しいパッチがリリースされると自動的に通知されるため、ソフトウェアをすみやかにアップデートすることができ、攻撃に対して無防備な期間が最短ですみます。
費用対効果の高いHTTPS管理
ビデオシステムは、ネットワーク盗聴を防止する目的から、クライアントとカメラ間のトラフィックの暗号化を義務付けたポリシーや規制の対象になっている場合があります。他にも、ネットワーク上の悪意あるコンピュータがネットワークデバイスを偽装する「なりすまし」の脅威があります。このような脅威には、HTTPSで対抗できます。HTTPSを使用するには証明書が必要なので、カメラの台数が多いと、導入時にも、ライフサイクル全体にわたるメンテナンスにおいても、費用がかさむおそれがあります。デバイス管理ソフトウェアを使用すれば、すべてのカメラを対象として証明書とHTTPS構成を管理して、費用を何分の一かに抑えることができます。カメラに対して、デバイス管理ソフトウェアがローカルな認証局 (CA) の役割を果たします。ビデオ管理ソフトウェア (VMS) サーバーにルート証明書をインストールすると、それによってVMSサーバーが保護され、サーバーがアクセスしているのが正当なカメラか、そうでないかを検知することができます。ルート証明書は、その他の管理クライアントにもインストールすることができます。ビデオクライアントはカメラに直接アクセスすべきではなく、カメラにアクセスすることはないため、証明書がインストールされている必要はありません。エンドツーエンドの暗号化を行うには、VMSサーバーがCA証明書を使用して、信頼できる接続をビデオクライアントに提供する必要があります。
効率的で有効なデバイス管理
効果的なデバイス管理ソフトウェアは、サイバーセキュリティの確保に役立つだけではありません。ネットワーク上のデバイスの台数が増えるほど、効率性も飛躍的に高まります。ネットワーク管理に費やしていた時間が節約できるため、ネットワーク管理者が別の業務に力を注ぎ、専門知識を活かして企業に付加価値をもたらすことができます。安全なネットワークを維持する上で欠かせない業界のベストプラクティスや新種の脅威を把握する時間的余裕も生まれます。
Axisのデバイス管理ソフトウェアツールの詳細については、こちらをご覧ください: