Axisによる監視ソリューションのサイバーセキュリティへのアプローチ

記事
2020年11月30日
サイバーセキュリティに関する問題はつねに、ビジネスリーダーを夜通し悩ませる原因の上位を占めています。悪意のある攻撃者が新しい攻撃を開始し脆弱性を悪用する中、脅威の全体像は絶えず変化し、進化しています。脅威を防ぎ、企業データを保護することは、先手を打つことが不可能な終わりのないゲームのように感じることがあります。これに対抗するため、Axisはシステムインテグレーター、セキュリティエキスパート、エンドユーザーとの連携した取り組みを主導しています。ここでは、監視システムの最高水準のサイバーセキュリティを確保するために実施されているプロセスについて説明します。  

サイバーセキュリティの脅威の分析

サイバーセキュリティへの戦略的アプローチは、組織が直面する可能性の高い業界固有の一般的な脅威、その防御における既存の脆弱性、そして業界の規制を理解することから始まります。Axisはこれを認識し、パートナーや顧客と積極的に協力して、それぞれが攻撃からの防御に役立つ適切な知識と手順を備えていることを確認しています。

残念ながら、セキュリティの脅威を明確な型にはめることはできません。巧妙さと影響力によって異なります。企業とその顧客に大きな影響を及ぼす複雑な攻撃が大きく紙面を飾り、人々に広く知られる傾向がありますが、こういった脅威は最も一般的なものではありません。むしろ組織が最も心配しなければならない脅威は、不適切な手順やいわゆる「システムの意図的または偶発的な誤用」から、はるかに頻繁に発生します。
 

ユーザーのミスはサイバー攻撃の成功の最大の要因であり、

サイバーセキュリティの強化対策を講じる際に見逃してはなりません。

AxisのグローバルシニアコンサルタントであるFred Juhlin氏は、これを脅威に関する最大の誤解の1つであると考え、次のように述べています。「多くの組織は、基本的な対処を行う代わりに、誤って目立つ脅威からビジネスを保護することに重点を置いています。ユーザーのミスはサイバー攻撃の成功の最大の要因であり、サイバーセキュリティの強化対策を講じる際に見逃してはなりません」  

サイバーセキュリティの脆弱性への取り組み

脆弱性は弱点、またはさまざまな脅威にとってはシステムに悪影響を与えることのできる機会であり、すべてのシステムに存在します。脆弱性がまったくないソリューションは存在しません。脆弱性そのものだけに焦点を合わせるのではなく、脆弱性が悪用された場合の組織への潜在的な影響を数値化することが重要です。これにより、関連するリスクを絞り込み、脆弱性への対処を優先する必要があるかどうかを判断することができます。

Axisでは、デバイスの設計、開発そして試験に対して最善のサイバーセキュリティ対策を講じ、不正行為によって悪用される可能性のある欠陥のリスクを最小限に抑えるよう努めています。ただし、ネットワーク、そのデバイス、そしてネットワークがサポートするサービスの保護は、ベンダーのサプライチェーン全体とエンドユーザー組織の積極的な関与に依存しています。Axis強化ガイド(英語)では、デバイスに適用できる各セキュリティコントロールについて説明し、ネットワーク、デバイス、サービスを保護する際にそれを使用すべきタイミング、状況、理由を提言しています。

ベンダーの観点からは、開発ライフサイクルを通してセキュリティが組み込まれたソフトウェア製品を開発するには、安全なソフトウェアの設計とコーディングにおける経験と成熟度が必要です。さらに、これらの製品は、現行の法律 (GDPR、CCPAとNDAA、サプライチェーン保護のDoD CCMC、英国の「Secure by Default」法など) に準拠する必要があります。

Axisのサイバーセキュリティ、ビジネス開発マネージャーであるWayne Dorris氏は、次のように述べています。「私たちは膨大な時間を割いて、サイバーセキュリティの要件に関する法律、規則、基準を詳細に検討し、Axisに影響を与える可能性がある事項を確認しています。これらの規制は地理的な場所によって異なる場合があり、複数の市場に製品を展開する必要がある顧客にとっては課題となります。たとえば、アメリカ向けに1つのファームウェアバージョンをインストールすることは、 EMEA向けに別のバージョンが必要な場合には逆効果です」

Axisは、複数のサイバーセキュリティ業界のベストプラクティスに基づくセキュリティ開発モデルを通じてこの課題に取り組んでいます。このモデルは、初期要件、設計、実装、検証、展開にまたがる開発ライフサイクルを通してセキュリティが組み込まれたソフトウェアを構築するためのプロセスとツールを定義します。

 

Wayne Dorris, Fred Juhlin and Steve Kenny
サイバーセキュリティ ビジネス開発マネージャー Wayne Dorris氏、グローバルシニアコンサルタント Fred Juhlin氏、業種連携マネージャー Steven Kenny氏

コミュニケーションとコラボレーション

重大な脆弱性が製品に組み込まれるのを防ぐための最善のプロセスを利用しても、脅威の状況は絶えず変化しています。脆弱性が見つかったらすぐに、その脆弱性に関する情報を顧客やパートナーに伝えることが重要です。これにより、リスク評価を行い、パッチを適用するなどの対応策を実行して修正することが可能になります。

ソリューションに存在する脆弱性を報告する独立したスキャンツールを使用して、顧客が自分たちで評価を行うことを選択する場合があります。システムの安全性の維持には非常に有益ですが、正しい状況と関連したリスク評価が把握できる必要があります。これがないと間違った結論が導き出され、コストがかかる不要な対応策につながる可能性があります。
 

正しい状況とリスク評価がなければ、簡単に本来の目的から逸れて、

ビジネスにほとんど影響を与えない問題の修正にリソースを費やすことになります。

Axisの業種連携マネージャーであるSteven Kenny氏は、次のように述べています。「お客様がシステムに存在する脆弱性を把握するためにこのような積極的な姿勢をとるのは素晴らしいことですが、こういったレポートには多くの誤検出が含まれる可能性があります。正しい状況とリスク評価がなければ、簡単に本来の目的から逸れて、ビジネスにほとんど影響を与えない問題の修正にリソースを費やすことになります」

Axisは、脆弱性の解釈と優先順位付け、そして戦略的で詳しい情報に基づいた対応計画の作成に関して、顧客やパートナーと緊密に連携しています。

サイバーセキュリティのベストプラクティスの教育とトレーニング

最新の脆弱性に関するこのガイダンスの一環として、教育はセキュリティポリシーの開発を周知する上で重要な役割を果たします。組織におけるサイバーセキュリティの最大の弱点の1つは、そのスタッフである場合があります。どのように標的になり得るか、そしてセキュリティ対策に従わなかった場合の潜在的な影響について、スタッフに認識させることが重要です。Axisは、サイバーセキュリティの意識向上トレーニングの提供と、エンドユーザー向けのベストプラクティスガイドの作成を支援します。

セキュリティ担当者も、そのセキュリティ対策を管理する責任を考慮すると、組織のサイバーセキュリティの弱点になる可能性があります。この責任には、最新のデバイスインベントリの維持、安全な展開、パッチの適用、デバイスアカウント管理などが含まれます。これをこなすのは容易ではありませんが、Axis Device Manager (ADM) によってセキュリティ担当者の業務をサポートすることができます。

ただし、顧客のニーズは変化しており、マルチサイト管理や監視の強化などの機能に対する需要が高まっています。この需要に応えるため、AxisはAXIS Device Manager Extend (ADM Extend) をリリースしました。より柔軟な展開が可能になり、担当者は複数のサイトをサポートできるようになります。ADM Extendは現在、一般的な運用に重点を置いていますが、近い将来、より多くのポリシー、セキュリティの自動化、他のシステムとの統合などをサポートしていく予定です。  

堅牢なサイバーセキュリティは単独では実現できない

多くの場合、攻撃者は共同で作業し、最新の脆弱性、戦術、関連する見返りなどに関する情報を共有します。このように意志が強く、十分な資金を持っていることの多い敵に対し、組織は適切な防御手段とサポートなしに戦おうとするべきではありません。新しい脅威は絶えず出現しており、組織の防御にはサイバーセキュリティ教育を基盤とする多層的なアプローチが不可欠です。

業界がセキュリティに対する「ゼロトラスト」アプローチに移行し、あらゆるエンティティがそのリスク特性によって識別・定義されるため、セキュリティを念頭に置いて設計された製品を選択することが重要です。Axisは、30年以上の経験を生かして堅牢な製品を開発するとともに連携した取り組みを行い、変化する脅威にパートナーと顧客が対応するために必要となる重要な情報とツールを確実に利用できるようにしています。

サイバーセキュリティの詳細については、こちらをご覧ください。
サイバーセキュリティ
もっと詳しく