Cybersecurity Q&As

その他の質問や回答については、AxisのFAQデータベースをご覧ください。

サイバーセキュリティは、コンピューターのシステムとサービスをサイバー脅威から保護することです。 サイバーセキュリティの慣行には、コンピューター、電子通信システムとサービス、有線/電子通信、保存された情報の可用性、完全性、安全性、真正性、機密性、非否認性を保証するための、損害を防止し、リストアするプロセスが含まれます。

サイバーセキュリティとは、長期にわたってリスクを管理することです。 リスクは、完全に排除することはできず、軽減することしかできません。

サイバーセキュリティには、製品、人、技術、継続的なプロセスが必要です。

そのため、組織のさまざまな側面を特定し、評価する必要があります。これには、装置、システム、ソフトウェア、ファームウェアのインベントリを作成すること、ミッションクリティカルな目標を設定すること、手順とセキュリティポリシーを文書化すること、リスク管理戦略を導入すること、資産に関するリスク評価を継続的に実施することなどが含まれます。

そして、サイバー攻撃に対して優先すべきと判断したデータ、装置、システム、施設を保護するためのセキュリティ制御対策を実施する必要があります。

また、サイバー攻撃を検知して適時に対策を講じるのに役立つアクティビティの開発と実施も必要です。 これにはたとえば、セキュリティ情報イベント管理 (SIEM) システムや、ネットワークデバイスやネットワーク管理ソフトウェアのデータを管理し、異常な行動や潜在的なサイバー攻撃に関するデータを収集し、そのデータを分析してリアルタイムのアラートを提供するSecurity Orchestration, Automation and Response (SOAR) システムが必要になります。 Axis装置では、お客様がお使いのSIEMまたはSOARシステムの主要なデータソースであるSYSログとリモートSYSログをサポートしています。

また、サイバーセキュリティ管理には、サイバーセキュリティインシデントが検知された後に対処するための手順の開発と実施も必要です。 それには、地域の規制や社内ポリシーに加え、サイバーセキュリティインシデントの開示要件も考慮する必要があります。 Axisは、サイバーセキュリティ攻撃時にAxis装置が侵害されたかどうかを理解するのに役立つ、『AXIS OS Forensic Guide』を提供しています。

レジリエンス計画を維持し、サイバーセキュリティインシデントによって侵害された機能やサービスをリカバリまたはリストアするためのアクティビティの開発と実施も重要です。 たとえば、AXIS Device Managerを使用すると、リストアポイントがサポートされているため、Axis装置を簡単にリストアできます。リストアポイントとは、ある時点におけるシステム構成の「スナップショット」を保存したものです。 関連するリストアポイントがない場合でも、このツールは、すべての装置をデフォルトの状態に戻し、保存された構成テンプレートをネットワーク経由でプッシュするのに役立ちます。

RFC 4949インターネットセキュリティ用語集によると、サイバーセキュリティリスクとは、特定の脅威が特定の脆弱性を悪用し、特定の有害な結果を引き起こす可能性として表される損失の予測値です。

長期的にリスクを十分に低減させるには、明確なシステムポリシーとプロセスを定義することが重要です。 推奨される方法は、ISO 27001やNISTなど、明確に規定されたIT保護フレームワークに従って対策を講じることです。 小規模の組織にとってこの作業は負担になる場合もありますが、最小限のポリシーとプロセスのドキュメントを用意することは、何も持たないよりはるかに優れています。

リスクを評価し、優先順位を付ける方法については、『Cybersecurity Reference Guide』を参照してください。

脅威は、資産やリソースを侵害したり、これらに損害を与えたりする可能性があるものと定義できます。 一般に、人はサイバー脅威というと、悪意のあるハッカーやマルウェアを連想する傾向があります。 しかし実際には、事故や意図しない誤用、ハードウェア障害などが悪影響を及ぼすことも少なくありません。 攻撃は日和見的な攻撃と標的型の攻撃に分類できます。 今日の攻撃の大部分は日和見的な攻撃です。 つまり、隙があるところで攻撃が発生します。 このような攻撃では、フィッシングやプロービングなどの低コストの攻撃方法が使用されます。 標準レベルの対策を講じることで、日和見的な攻撃がもたらすほとんどのリスクを軽減することができます。

特定の目標を持ち、特定のシステムを標的とする攻撃者から保護する方が難しくなります。 標的型攻撃では、日和見的な攻撃者と同じ低コストの攻撃方法が使用されますが、 最初の攻撃が失敗すると、攻撃者は決意を深め、より洗練された方法で目標を達成するために時間とリソースを費やすようになります。 彼らにとっては、「どれだけの価値があるか」が重要なのです。

システムの意図的または偶発的な誤用

システムに対して正当なアクセス権を持つ人物は、どのシステムにとっても最も一般的な脅威の1つです。 彼らは、許可されていないサービスにアクセスできます。 彼らがシステムから情報を盗んだり、システムに意図的に損害を加えたりする可能性があります。 また、人は間違いを犯すものです。 問題を解決しようとして、システムのパフォーマンスを不注意に低下させてしまうこともあります。 正当なユーザーに機密情報を流出させようとするソーシャルエンジニアリングの被害者になることもあります。 大切なもの (アクセスカード、スマートフォン、ノートパソコン、書類など) を紛失したり、置き忘れたりすることもあります。 ユーザーのコンピューターが侵害され、意図せずにシステムにマルウェアが感染する場合もあります。

推奨される対策としては、ユーザーアカウントのポリシーとプロセスを定義する、十分なアクセス認証方式を導入する、ユーザーアカウントと権限を長期的に管理するツールを使用する、露出を減らす、サイバー意識を高めるトレーニングを実施するなどがあります。

Axisは、強化ガイドや、AXIS Device ManagerやAXIS Device Manager Extendなどのツールでこの脅威に対抗できるよう支援いたします。

物理的ないたずらや妨害行為

物理的に露出している機器は、いたずら、盗難、接続の切断、向きの変更、ケーブルの切断などの被害に遭う可能性があります。

推奨される対策としては、ネットワーク周辺機器 (サーバーやスイッチなど) を施錠できるエリアに設置する、手が届きにくい場所にカメラを取り付ける、物理的に露出している場合は保護ケーシングを使用する、ケーブルを壁やコンジット内に設置して保護するなどがあります。

Axisは、装置用保護ハウジング、いたずら防止ネジ、SDカードデータを暗号化する機能を備えたカメラ、カメラビューに対するいたずらを検知する機能、ケーシングが開けられたことを検知する機能などでこの脅威に対抗できるよう支援いたします。

ソフトウェアの脆弱性の悪用

ソフトウェアベースのすべての製品に、悪用される可能性のある脆弱性 (既知または未知) があります。 ほとんどの脆弱性はリスクが低く、悪用するのが非常に難しいか、悪影響の及ぶ範囲が限定的です。 ただし、時には、重大な悪影響を及ぼす脆弱性が発見され、悪用される場合があります。 MITREは、リスクの軽減に役立つ、CVE (共通脆弱性識別子) の大規模なデータベースを公開しています。

推奨される対策としては、システム内の既知の脆弱性の数を最小限に抑えるために継続的なパッチ適用プロセスを導入する、既知の脆弱性の調査と悪用を難しくするためにネットワークの露出を最小限に抑える、欠陥を最小限に抑えるポリシーとプロセスに従って業務を進め、パッチを提供し、発見された重大な脆弱性について透明性を持つ信頼できるサブサプライヤーと連携するなどがあります。

Axisは、この脅威にAxisセキュリティ開発モデルで対処しています。これはAxisソフトウェアに潜む、悪用される可能性のある脆弱性を最小限に抑えることを目的としています。また、Axis脆弱性管理ポリシーも運用しています。これはお客様が適切な対策を講じる上で考慮すべき脆弱性を特定、修正、公表するものです。 (2021年4月にAxisは、Axis製品のCVE (共通脆弱性識別子) 採番機関となり、自社プロセスをMITRE Corporationの業界標準プロセスに適応させることが可能になりました。) Axisはまた、強化ガイドも提供しており、悪用のリスクを減らすために露出を低減し、コントロールを追加する方法について推奨事項を提案しています。 さらに、Axis装置のファームウェアを最新の状態に保つために、2つの異なるファームウェアトラックをユーザーに提供しています。

1. アクティブトラックは、新しい機能に加え、バグ修正とセキュリティパッチをサポートするファームウェア更新を提供します。

2. 長期サポート (LTS) トラックは、バグ修正とセキュリティパッチをサポートするファームウェア更新を提供するとともに、サードパーティ製システムとの非互換性問題のリスクを最小限に抑えます。

サプライチェーン攻撃

サプライチェーン攻撃は、サプライチェーン内の安全性の低い要素を標的にして組織に損害を与えようとするサイバー攻撃です。 この攻撃では、ソフトウェア/ファームウェア/製品を侵害し、管理者がそれらをシステムにインストールするように仕向けます。 製品はシステム所有者への出荷中に侵害される可能性があります。

推奨される対策としては、信頼できる検証済みの提供元からのソフトウェアのみをインストールするポリシーを導入する、インストールする前にソフトウェアチェックサム (ダイジェスト) とベンダーのチェックサムを比較してソフトウェアの完全性を確認する、納品された製品に改ざんの兆候がないか確認するなどがあります。

Axisは、この脅威にさまざまな方法で対抗しています。 Axisは、インストールする前に管理者が完全性を検証できるように、ソフトウェアとチェックサムを公開しています。 新しいファームウェアを読み込む際、Axisネットワークデバイスは、Axisが署名したファームウェアのみを受け入れます。 Axisネットワークデバイスでのセキュアブートも、Axisの署名付きファームウェア以外は装置で実行できないようになっています。 また、各装置には一意のAxis装置IDがあり、このIDによって、その装置がAxisの純正品であることをシステムが検証することができます。 このようなサイバーセキュリティ機能の詳細については、ホワイトペーパーAxis製品のサイバーセキュリティ機能 (pdf) を参照してください。

脅威の詳細については、サイバーセキュリティリファレンスガイドを参照してください。

脆弱性は、システムを攻撃したり、システムにアクセスしたりする機会を敵対者に与えます。 脆弱性は、欠陥、機能、人的ミスなどに起因します。 攻撃者は既知の脆弱性を悪用しようとし、その多くは複数の脆弱性を組み合わせて使用します。 成功した侵害の大半は、人的ミス、システム構成の不備、システムメンテナンスの不備によるもので、多くの場合、適切なポリシーの欠如、責任の所在があいまい、組織の意識の低さなどが原因です。

装置のAPI (アプリケーションプログラミングインターフェース) とソフトウェアサービスには、攻撃で悪用される可能性のある欠陥や機能がある場合があります。 製品に欠陥がないことを保証できるベンダーは存在しません。 欠陥が分かっていれば、セキュリティ制御対策を講じてリスクを軽減することができます。 一方、攻撃者が新たな未知の欠陥を発見した場合は、被害者がシステムを保護する時間がないので、リスクが増大します。

共通脆弱性評価システム (CVSS) は、ソフトウェアの脆弱性の深刻度を分類する方法の1つです。 この方法では、脆弱性がどの程度悪用されやすいかと、どのような悪影響があるかに注目します。 スコアは0~10の値で付けられ、10が最も深刻です。 公開されている共通脆弱性識別子 (CVE) レポートの多くに、CVSS値が記載されています。

Axisでは、ソフトウェア/製品で識別された脆弱性がどの程度重大であるかを判断する手段の1つとして、CVSSを使用しています。

Resource (リソース) Webページから、強化ガイド (AXIS OS強化ガイド、AXIS Camera Station System Hardening Guide、Axis Network Switches Hardening Guideなど)、ポリシードキュメントなどにアクセスできます。 Axisでは、サイバーセキュリティに関するeラーニングコースも提供しています。

Firmware (ファームウェア) に移動し、製品を検索してください。

装置のファームウェアをアップグレードするには、AXIS CompanionやAXIS Camera StationなどのAxisのビデオ管理ソフトウェアを使用するか、またはAXIS Device ManagerやAXIS Device Manager Extendなどのツールを使用することができます。

status.axis.comにアクセスしてください。

Axis Security Notification Serviceにお申し込みください。

「Axis脆弱性管理ポリシー」を参照してください。

記事「Making cybersecurity integral to Axis software development」をお読みください。

記事「Supporting cybersecurity throughout the device lifecycle」をお読みください。

以下をご覧ください:

• サイバーセキュリティ機能を内蔵

• Axis製品のサイバーセキュリティ機能 (pdf)

• Supporting cybersecurity throughout the device lifecycle

Compliance (コンプライアンス) Webページをご覧ください。