サイバーセキュリティへのライフサイクルアプローチ

何が問題なのでしょうか?

機密性、完全性、可用性、さらにビジネスの損失。システムが侵害された場合、多くのリスクがあります。 IPベースの製品はネットワークへの潜在的な経路であるため、不正アクセス、ソフトウェアの改ざん、脆弱性の悪用などの脅威からこれらの製品を保護することが重要です。当社はお客様とともに、サイバーインシデントが発生しにくくなるような安全策を講じることができます。

以下のセクションでは、Axis製品のセキュリティを支えている要素と、製品のライフサイクル全体にわたってサイバーセキュリティのリスクを軽減するために当社が何を行い、何を提供し、何を推奨しているかについて説明します。

リスクを軽減するための当社の取り組み

Axis製品をご購入いただくずっと前から、当社は高い水準のサイバーセキュリティを確保するために懸命に取り組んでいます。

セキュリティの基盤

ISMS、ASDM、AXIS OS
当社が提供する製品を支えるシステムの完全性を維持することが重要です。その基盤は、ISO/IEC 27001に準拠した情報セキュリティ管理システム (ISMS) から始まります。このシステムには、Axis Security Development Model (ASDM) が含まれています。 ASDMは、ビデオ管理ソフトウェアや、ほとんどのAxis装置を動かすオペレーティングシステムであるAXIS OSなどのソフトウェアに脆弱性が存在するリスクを低減するために適用される手法を定義します。 AXIS OSは、多数の製品にわたってセキュリティ機能とパッチをすばやく効率的にリリースできるプラットフォームでもあります。

Axis Edge Vault
当社の装置に組み込まれているもう1つの重要な要素はAxis Edge Vaultです。これは、セキュアエレメント、TPM、システムオンチップセキュリティ (TEE) などの暗号化計算モジュールに根ざしたハードウェアベースのプラットフォームです。このプラットフォームは、Edge Vaultセキュリティ機能のホストをサポートします。たとえば、Axis装置IDは、装置がAxisのものであることを証明します。また、セキュアキーストアは、Axis装置IDとお客様が読み込んだ暗号化キーを安全に保管できます。その他の機能には、オペレーティングシステムがAxisのものであることを証明する署名付きファームウェアや、装置が純正のAXIS OSのみを起動することを保証するセキュアブートがあります。 Edge Vaultは、装置のファイルシステムも暗号化します。

Two people in front of a computer screen, one of them pointing at it.

透明性
同様に重要なのは、信頼を築くために不可欠な透明性を持つことです。 Common Vulnerabilities and Exposures (CVE) 番号付け機関[EN] (CNA) として、Axisが新たに発見された脆弱性に関する通知を発行するため、お客様はソフトウェアを更新するために適時に措置を講じることができます。また、AXIS OSのソフトウェア部品表[EN] (SBOM) も公開しています。また、装置ソフトウェアのサポート終了日を明記しているため、お客様は製品を廃止および交換する時期をより適切に計画することができます。

生産と配布の段階

これらの段階では、コンポーネントが侵害されるリスクを軽減することが重要です。これが、サプライチェーン管理を導入する理由です。当社は重要なコンポーネントを戦略的サプライヤーから直接調達しています。当社は、潜在的なセキュリティリスクをより適切に評価して軽減するために、生産プロセスを注意深く監視し、透明性を確保しています。

製品がAxisから出荷された後のソフトウェア改ざんに対抗するため、署名付きファームウェアやセキュアブートなどの機能と、装置の工場出荷時の設定が一体となってサプライチェーンを保護しています。また、装置のファイルシステムを暗号化することで、輸送中や未使用時に製品から保存データが抜き取られるのも防いでいます。

ユーザー責務への支援

当社の製品を導入する準備ができたら、その強化方法についてご案内します。製品がサポートするテクノロジーを活用することで、リスクを軽減することができるようになります。また、導入から廃止に至るまで、製品のセキュリティを簡単に維持できるツールを使用できるようになります。

導入段階

Axis装置をネットワークに接続する準備ができたら、まず装置の工場出荷時の設定を実行することをお勧めします。これは署名付きファームウェアとセキュアブートとともに、不正なソフトウェア変更が装置に加えられていないことを保証します。また、AxisのWebサイトに移動し、装置用の最新のAXIS OSをダウンロードする必要があります。これには、最新のセキュリティパッチとバグ修正が含まれています。 Axis装置をローカルで効率的に設定および管理するために、AXIS Device Manager を使用すると、装置認証情報の管理、証明書の展開、使用されていないサービスの無効化、AXIS OSのアップグレードなどのセキュリティタスクのバッチ処理を実行できます。

インストールと設定に関するチュートリアル

組み込みのセキュリティ機能
署名付きファームウェアやセキュアブートなどの装置機能により、Axisの純正オペレーティングシステムのみが使用されます。また、セキュアキーストアには、データの暗号化に使用される暗号化キーを安全に保管することができます。 Axis装置およびビデオ管理ソフトウェアでは、HTTPSによるセキュア通信がデフォルトで有効になっています。 AXIS OSの最新バージョンは、ゼロトラストネットワーキングを容易にするテクノロジーもサポートしています。これには、IEEE 802.1X、IEEE 802.1AR準拠のAxis装置ID、IEEE 802.1Xネットワークへの装置の自動化されたセキュアなオンボーディング、およびデータ通信の自動暗号化のためのIEEE 802.1AE MACsecが含まれます。

コントロールの適用
各種強化ガイドを参考に、Axis製品をセキュリティニーズに合わせて設定します。強力なパスワードを設定し、装置とクライアント間の暗号化された通信にHTTPSのみを使用するとともに、使用していないサービスや機能を無効にして不要なリスクを減らす必要があります。また、装置の日付と時刻を正しく設定して正確なシステムログを有効にし、HTTPSやIEEE 802.1Xなどのサービスが依存するデジタル証明書を検証して使用できるようにすることも重要です。サポートされているカメラで、署名付きビデオ機能を有効にして、エクスポートしたビデオが改ざんされていないことを確認できます。

稼働中段階

新たに発見された脆弱性に迅速にパッチを適用するには、装置のオペレーティングシステムなどのすべてのソフトウェアを常に最新の状態に保つことが重要です。接続されている装置用の新しいAXIS OSのリリースは、AXIS Companion、AXIS Camera Station、Milestone XProtectおよびGenetec™ Security Centerなどのパートナービデオ管理ソフトウェア、AXIS Device ManagerやAXIS Device Manager Extendなどのツールで強調表示され、アップデートの実装を容易にします。また、サインアップして、Axisからセキュリティ通知を受け取ることもできます。ネットワークが侵害された場合、AXIS OS Forensic Guideは、Axis装置のフォレンジック分析を行うのに役立ちます。

廃止段階

ネットワークで接続された装置の廃止時期を知ることは、使用中の装置を最新の状態に保ち、セキュリティを確保することと同じくらい重要です。 Axis Webサイトの製品ページや、AXIS Device Manager Extendなどのツールには、装置のオペレーティングシステムのサポート終了日が表示されます。これにより、適時に装置を廃止して交換することができ、パッチの適用されていない脆弱性を持つ装置を稼働させるリスクを回避することができます。廃止された装置のデータを削除することも重要です。工場出荷時の設定を実行すると、装置からすばやくすべての設定とデータを消去できます。詳細については、製品の廃止をご覧ください。