Network technologies

ネットワークセキュリティ

IPネットワークを経由して送信される情報のセキュリティには様々なレベルが存在します。最も一般的なものは、認証と呼ばれるものです。ユーザやデバイスはユーザ名とパスワードを利用して識別され、認証が正しく行われた場合のみシステムへのアクセスが許可されます。またデータを暗号化して他者がデータの読み取りができないようにすることで、さらにセキュリティを高めることができます。一般的な方法としては、HTTPS(またはSSL/TLS)、VPN、無線LANで使用されるWEPやWPAがあります。暗号化を使用すると通信速度が下がりますが、使用する暗号とシステムによってその低下レベルは異なります。

ユーザ名とパスワード

ユーザ名とパスワードを利用した認証は、IPネットワーク上のデータを保護する基本的な方法です。高レベルのセキュリティが必要とされていない場合、ネットワークビデオ製品がメインのネットワークから独立している場合、また権限のないユーザが物理的にネットワークビデオ製品にアクセスできない場合は、ユーザ名とパスワードによる認証で十分かもしれません。また、パスワードの送信時に暗号化を行うことでより安全に通信を行うことができます。

Axisネットワークビデオ製品では、3種類のユーザレベルでパスワード保護を行うことができます。Administrator(すべての機能へのアクセスが可能)、Operator(Setupページの一部を除くすべての機能にアクセス可能)、Viewer(ライブ画像の閲覧のみ可能)から選択できます。

IPアドレスフィルタリング

Axisネットワークビデオ製品はIPアドレスフィルタリング機能を搭載しています。この機能は、定義したIPアドレスに対してネットワークビデオ製品へのアクセスを許可したり、拒否したりするものです。よくある例としては、ビデオ管理システムがインストールされたサーバのIPアドレスをアクセスを許可するアドレスとして追加して、そのサーバだけがネットワークビデオ製品にアクセスできるように設定します。

IEEE 802.1Xは、サプリカント(例:ネットワークカメラ)、認証デバイス(例:スイッチ)、そして認証サーバ(例:RADIUS)を利用してポートベースのセキュリティを提供します。認証プロセス1:ネットワークアクセスが要求されます。2:要求は認証サーバへ転送されます。3:認証が成功すると、スイッチはポートを開けてネットワークカメラからのデータをネットワークへ送信できるようにします。

IEEE 802.1X

Axisネットワークビデオ製品には、ネットワークポートに接続されたデバイスに対して認証を行うIEEE 802.1Xに対応している機種が多数あります。IEEE 802.1Xは1対1の接続を確立し、認証に失敗した場合ネットワークポートからの接続を拒否します。IEEE 802.1Xは、許可されていないコンピュータが建物の中や外からネットワークポートに物理的に接続してアクセスする行為、つまりポートを乗っ取られることを防ぎます。ネットワークカメラが公共の場所に設置されているなど、物理的にネットワークポートが使用されてしまう危険性の高い場合に有効な機能です。今日の企業ネットワークでは、IEEE 802.1Xはネットワーク接続の基本要件になりつつあります。

ネットワークビデオシステムでは、IEEE 802.1Xは次のように機能します。

  1. ネットワークカメラがスイッチやアクセスポイントに対してネットワークへのアクセスを要求します。
  2. スイッチやアクセスポイントは要求を認証サーバ(例:Microsoft Internet Authentication ServiceサーバなどのRADIUS(Remote authentication dial-in user service)サーバ)へ送ります。
  3. 認証に成功すると、サーバはネットワークカメラからのデータがスイッチを通過してネットワーク上に送信できるようスイッチやアクセスポイントに対してポートを開けるよう指示を出します。

HTTPS

HTTPS(Hypertext Transfer Protocol Secure)はHTTPと同じプロトコルですが、データを転送する際にSSL(Secure Socket Layer)またはTLS(Transport Layer Security)を利用して暗号化が行われます。HTTPSはデータそのものを暗号化します。多くのAxisネットワークビデオ製品はHTTPSに対応しており、Webブラウザを利用してビデオを安全に閲覧することができます。ただし、HTTPSを利用すると通信速度とビデオのフレームレートが下がります。

特に制限なく、一部の Axis 製品は、Open SSL Project によって開発された、OpenSSL Toolkit (http://www.openssl.org/) で使用するためのソフトウェア、および Eric Young (eay@cryptsoft.com) によって作成された暗号ソフトウェアが含まれています。 

VPN

VPN(仮想プライベートネットワーク)は2つのデバイスの間に安全な「トンネル」を構築し、インターネット上で安全かつ確実な通信が行えるようにします。VPNを使用すると、データとそのヘッダー、および送信元や送信先アドレス、送信されるデータの種類、連続するパケットのパケット番号とパケット長を含む、オリジナルパケットが暗号化されます。暗号化されたパケットは、通信を行う2つのデバイス(例:ルータ)のIPアドレスだけを表示する別のパケットでさらにカプセル化されます。このようにしてトラフィックおよびその中身を不正なアクセスから保護し、正しい「キー」を持つデバイスだけがVPN内で動作することができます。クライアントおよびサーバとなるデバイス以外は、データにアクセスしたり内容を表示することはできません。

HTTPS(SSL/TLS)とVPNの違いは、HTTPSはパケットの実際のデータだけを暗号化しますが、VPNはパケット全体を暗号化してからさらにカプセル化し、安全な「トンネル」を構築して送信します。双方を同時に使用することは可能ですが、オーバーヘッドが増えてシステムのパフォーマンスが下がるためお勧めできません。

次のトピック:無線技術