セキュリティカメラシステムの 12のベストプラクティス
ディーン・ドレイコ(イーグルアイネットワークス、CEO)
PDFバージョンでは、ホワイトペーパーの詳細をご覧いただけます。
はじめに
防犯カメラシステムは、遠隔地から映像を見たいというお客様の要望もあり、インターネット接続が進んでいます。 システムには、クラウド管理された監視システム、インターネットに接続された従来のDVR/VMS/ NVR、インターネットに接続されたローカルネットワークに接続された従来のシステムなどがあります。
サイバー攻撃が加速する中、フィジカル・セキュリティ・インテグレーターや社内のサポートスタッフは、販売やサポートを行うカメラ映像管理システムに影響を与える可能性のあるサイバーセキュリティ攻撃のベクターについて、常に最新の情報を入手する必要があります。 これらのシステムには、従来のITシステムと同じレベルで、サイバーセキュリティの脆弱性からの保護が必要です。
本稿では、インターネットに接続されたセキュリティカメラシステムのベスト・プラクティスに焦点を当てています。 これらのプラクティスの多くは、他の物理的セキュリティシステムにも適用可能です。
1.物理的セキュリティ。サイバー攻撃の危険な扉
防犯カメラシステムは、遠隔地からのアクセスや制御、統合、クラウドのストレージコストの大幅な削減などの要望により、ますますインターネットに接続されています。
クラウド管理された監視システムの増加に加えて、従来のほとんどのセキュリティカメラシステムは、リモートアクセス、サポート、およびメンテナンスのためにインターネットに接続されているか、またはローカルネットワークに接続されており、さらにそのネットワークがインターネットに接続されています。
それと並行して、サイバー攻撃もエスカレートし続けています。 何百万件もの情報漏えいのニュースを読むのは当たり前になってきました。 損害賠償の負債は、企業にとって大きなリスクです。
そのため、セキュリティカメラシステムには、従来のITシステムと同じように、サイバーセキュリティの脆弱性に注意を払い、それを防ぐことが重要です。
フィジカル・セキュリティ・インテグレーターや社内のサポートスタッフは、自社が販売・サポートするカメラ映像管理システムに影響を与える可能性のあるサイバーセキュリティ攻撃のベクトルについて、常に最新の情報を得る必要があります。
本稿では、インターネットに接続されたセキュリティカメラシステムのベスト・プラクティスに焦点を当てています。 これらの手法は、他のセキュリティカメラシステムにも適用できるものが多いです。
2.防犯カメラシステムの主な攻撃対象
監視カメラシステムに対する5つの主要なサイバー攻撃のベクターがあります。
- Windows OS
- Linux OS
- DVR、NVRS、VMS
- エンドポイント(カメラ
- ファイアウォールポート
本セミナーでは、これらの攻撃ベクターについて、監視システムをこれらの攻撃ベクターから守るために適用可能なベスト・プラクティスの観点から説明します。
3.ベストプラクティスは監視システムの種類によって異なる
クラウドビデオ監視」と「クラウドシステム」という言葉は矛盾して使われています。 このように、プロバイダーがどのようにインターネットアクセスを実現しているかを正確に確認することが重要です。
本稿では、システムの種類を以下のように区別します。
- インターネットに接続されたDVR、NVR、VMSのいずれかの伝統的なシステムで、通常はリモートビデオアクセスを目的としています。
- クラウド管理されたシステムで、VSAASとも呼ばれる。 クラウド管理のシステムでは、現場にデバイスがあっても、映像はクラウド上で録画・管理されます。
それぞれのカテゴリーには、機能や特徴に影響を与える違いがありますが、このトップレベルの違いは、お客様がサイバーセキュリティのベストプラクティスをどのように適用できるか、また、プロバイダーにどのような質問をすればよいかを明確にするものです。
4.サイバーセーフな防犯カメラシステムのベスト・プラクティス
4.1 カメラのパスワード
脆弱性
カメラのパスワードは、一見すると当たり前すぎて議論の余地がないセキュリティ対策のように思えるかもしれません。 しかし、2014年11月に掲載されたNetwork Worldの記事では、256カ国のIPカメラが設置された73,011箇所が1つのウェブサイトで公開されていることが挙げられています。 アメリカがトップで、11,046本のリンクがあり、各リンクには最大8台または16台のカメラが設置されています。
さらに、ウェブユーザーの5人に1人は、いまだに簡単にハッキングできるパスワードを使っていると言われています。
以下は、Splash Data社が発表した「2013年のパスワードトップ10」です。
- 123456
- パスワード
- 12345678
- qwerty
- abc123
- 123456789
- 111111
- 1234567
- イロベユー
- adobe123
現在販売されているほとんどのカメラには、WebベースのGUI(グラフィカル・ユーザー・インターフェース)が搭載されており、インターネット上で公開されているデフォルトのユーザー名とパスワードが設定されています。
インストーラーの中には、パスワードをまったく変更せず、すべてのカメラに同じデフォルトパスワードを残す人もいます。
GUIを無効にする方法があるカメラはほとんどないので、セキュリティ上の脆弱性は、誰かがウェブGUIを介してカメラに侵入し、パスワードを推測しようとすることです。
ハッカーはネットワークにアクセスできなければなりませんが、カメラは物理的に独立したネットワークやVLANではなく、共有ネットワーク上にあることが多いのです。
ベストプラクティス
従来型システムとクラウド管理型システム
理想的なベストプラクティスは、各カメラに固有の長くて目立たないパスワードを割り当てることです。 このような緻密なプロセスは、設定に時間がかかり、管理も難しく、追跡も非常に困難です。 そのため、多くのインストーラーは、残念ながら1つのアカウントのすべてのカメラに1つのパスワードを使用しています。
この課題を解決するために、受け入れ可能なベスト・プラクティスがあります。
- パブリックネットワーク。カメラごとに異なる強力なパスワード
- VLANまたはPhysical Private Network:すべてのカメラに同じ強力なパスワードを設定する
4.2 ポートフォワーディング
脆弱性
現在、ほとんどのエンドユーザーは、遠隔地のモバイルデバイスからのビデオアクセスを求め、期待しています。
この機能は通常、DVR、NVR、またはVMSを何らかの方法でインターネットに接続することで実現されます。
このように典型的なHTTPサーバーのインターネットへの露出は、アクセスを得るために使用できる悪意のあるエクスプロイトが多数存在するため、非常に危険です。 インターネットに接続されているマシンは、通常、1日に10,000回以上スキャンされます。
この脆弱性の一例として、2014年に発生したOpenSSLの脆弱性「Heartbleed」があり、多くのメーカーがユーザーにパスワードの再設定を求めなければなりませんでした。
ベストプラクティス
従来のシステム
理想的には、保護されていないサーバーをインターネットに接続しないことです。 システムをインターネットに公開する場合は、できるだけポートを少なくして「ポートフォワード」し、プロトコルを分析して間違ったポートに送られる不正なプロトコルをブロックする次世代ファイアウォールを利用します。 理想的な状況では、IDS/IPSを導入してさらに保護することができます。
クラウド・マネージド・システム
より安全なクラウドベースのシステムにはポートフォワーディングがないため、脆弱性は存在せず、段階的な保護措置は必要ありません。 お客様がお持ちのシステム、または導入を検討されているシステムについては、インテグレーターやプロバイダーにご確認ください。
4.3 ファイアウォール
脆弱性
前述のように、オンプレミスのDVR/ NVR/VMSには、保護のためにファイアウォールを設置する必要があります。特に、リモートアクセスのためにインターネットに接続する場合はなおさらです。
ファイアウォールは非常に複雑で、何千ものルールがあります。 次世代のファイアウォールは、ポートを通過するプロトコルを分析し、適切なプロトコルが使用されているかどうかを検証するため、さらに複雑なものとなります。
ベストプラクティス
従来のシステム
最新のファイアウォールの検証と設定は、ネットワークセキュリティの専門家に任せるのがベストです。
ファイアウォールの設定を明確に文書化し、ファイアウォールの設定を定期的に監視し、必要な変更を実施することが重要である。
クラウド・マネージド・システム
ポートフォワーディングのないクラウドベースのソリューションでは、オンサイトでのファイアウォール設定は必要ありません。 これについては、インテグレーターやシステムメーカーに確認してください。
4.4 ネットワークトポロジー
脆弱性
標準的なネットワーク上でカメラを分離せずに混在させることは、災害の原因となります。
セキュリティカメラシステムがメインネットワークに接続されている場合、ハッカーが監視システムを経由してメインネットワークに侵入したり、メインネットワークを経由して物理的なセキュリティシステムに侵入したりするための入り口を作っていることになります。
DVRの中には、ウイルスが同梱されているものもあります。
従来型システムとクラウド管理型システム
ベストプラクティス
理想的なBest Practice。
セキュリティカメラシステムは、物理的に他のネットワークとは別のネットワークに設置するのが理想的です。
Acceptable Best Practiceの略。
洗練されたIT環境と統合する場合、2つのシステムを物理的に分離することができない場合もあります。
このような場合、VLANを使用する必要があります。
4.5 オペレーティング・システム
脆弱性
オンプレミスのVMS、DVR、NVR、録画システムには、すべてOSが搭載されています。 カメラにはすべてOSが搭載されています。
WindowsベースでもLinuxベースでも、すべてのOSには脆弱性があります。
Windows OSの脆弱性は、ITチームが定期的に監視するほどよく知られています。 最近では、Shellshock(2014年)やGhost(2015年)のように、何百万ものシステムを脆弱にするような、Linuxにも多くの脆弱性があることが明らかになってきました。
理論的には、システムメーカーには高品質のセキュリティチームがあり、セキュリティアップデートを迅速に提供してくれるはずです。 現実には、多くのベンダーが予測可能なベースでこれを行っていません。
ベストプラクティス
従来のシステム
システムやネットワークを悪意のある悪用から確実に守るためには、OSの既知の脆弱性を追跡・監視し、OSにすべてのセキュリティパッチを適用する必要があります。
Windowsベースのシステムであれば、多くの脆弱性があり、多くのアップデートを適用しなければなりません。 また、頻度は低いですが、Linuxの脆弱性も追跡し、迅速に対応する必要があります。
ITセキュリティの専門家は一般的に、どれが関連性があり、どれを飛ばしてもよいかを理解していますが、適切なトレーニングと経験がなければ、これは非常に困難な作業になります。
また、DVR/DVRのベンダーに積極的に連絡して、NVR/DVRが使用しているOS(Linux、Windows)やOSのバージョン、OSの上に乗っている追加モジュール(Microsoft IIS Webページサーバーなど)のバージョンを確認することで、どのようなセキュリティ脆弱性が影響するかを理解することができます。
そして、そのOSに対する脆弱性を追跡し、どのようなパッチが必要なのかをOSベンダーに問い合わせます。
VMSのベストプラクティスは、マシンがIT部門のドメイン下にあり、IT部門が適切なパッチ、アップグレード、変更を行う責任とスタッフを持ち、マシンの安全性を確保するプロセスを持っていることを確認することです。
また、カメラベンダーがセキュリティ問題に対応したパッチを提供しているかどうか、カメラのファームウェアが新しいバージョンになったらすぐにアップグレードしているかどうかを確認してください。
クラウド・マネージド・システム
ここでのベスト・プラクティスは、インテグレーターやクラウド・ベンダーに、そのクラウド・ベンダーが脆弱性を監視する経験豊富な専門のセキュリティ・チームを持っているかどうかを問い合わせることです。
また、クラウドベンダーがセキュリティパッチやアップデートをクラウド経由でオンプレミスのアプライアンスに自動的に送信するかどうかも確認してください。 その場合、エンドユーザーがオペレーティングシステムのセキュリティ監視、パッチ適用、アップグレードを行う必要はありません。
4.6 オペレーティングシステムのパスワード
脆弱性
カメラのパスワードと同様に、システムのパスワードが弱いと、監視システムやネットワークへのサイバー攻撃のきっかけになります。
残念ながら多くのOS環境では、rootパスワードや管理者パスワードが管理者全員で共有されており、セキュリティリスクが広がっています。 従業員の離職や役割の変更により、予期せぬセキュリティホールが発生することがあります。
ベストプラクティス
従来のシステム
OSに高品質なロングパスワードを設定する。
さらに、パスワードの変更に関するポリシーと手順を確立します。 例えば、パスワードにアクセスできる従業員が退職したり、役割が変わったりするたびに、ルート管理者のパスワードを変更する必要があります。
クラウド・マネージド・システム
アクションは必要ありません。 真のクラウドシステムでは、OSへのアクセスに別々のパスワードを設定することはありません。 システムパスワードは、個々のアカウント(下記参照)のパスワードのみで、社員が退職したり、役割が変わったりすると、明示的に削除されます。
4.7 システムパスワード
脆弱性
セキュリティカメラシステムへの不正なアクセスは、監視システムとそれに接続されたネットワークの両方を危険にさらします。
ベストプラクティス
従来型システムとクラウド管理型システム
監視システムのパスワードを定期的に変更する。 社内基準と同等の厳格なセキュリティ品質を実現します。 長くて強いパスワードが一番です。
4.8 接続機器
脆弱性
驚くほど多くのDVR/ NVR/ VMSが、SSLまたは同等の暗号化されていない接続を使用しています。
このリスクは、httpsなしで銀行にログインしたり、オンラインショッピングをしたりするのと同じです。 パスワードに脆弱性が生じ、プライバシーや盗聴の侵害につながる可能性があります。
ベストプラクティス
従来のシステム
接続には、SSLまたは同等の暗号化が必須です。
ベンダーがどのように対処しているか聞いてみましょう。 接続を暗号化するベンダーのみを選択する。
クラウド・マネージド・システム
接続には、SSLまたは同等の暗号化が必須です。
多くのクラウドベンダーが接続の暗号化を提供していますが、その内容は様々です。 クラウドベンダーのシステムがどのように対応しているか確認してください。
4.9 映像の暗号化
脆弱性
暗号化されていないことによる安全でない接続に加えて、ディスクに保存されているときや輸送中の映像が暗号化されていない場合も、同様のプライバシーリスクがあります。
ベストプラクティス
従来型システムとクラウド管理型システム
真に安全なシステムのためには、ディスクに保存されている時と移動中の両方で、映像を暗号化する必要があります。
4.10 モバイルアクセス
脆弱性
パスワード、アカウント削除、暗号化の脆弱性は、モバイルでは二重に適用されます。
ベストプラクティス
従来型システムとクラウド管理型システム
パソコンでアプリケーションを実行する場合と同様に、iPhoneやAndroidのモバイルアプリケーションとVMSやNVR/DVRとの接続が暗号化されていることを確認してください。
高品質なパスワードを設定し、スタッフが交代した際には、パスワードの施行やアカウントの削除を行います。
4.11 機器およびストレージへの物理的アクセス
脆弱性
会社のデータを盗むことで得られる金銭的報酬は十分に高いため、侵入者は現場の物理的な機器を直接ハッキングしてネットワークにアクセスしようとします。
ベストプラクティス
従来のシステム
キャビネット、ケーブル、DVR/ NVR/ VMS、スイッチ、ビデオストレージサーバーが設置されている部屋を安全に保ちます。 部屋への安全なアクセスコントロールを提供し、それを監視するビデオセキュリティを含む。 これにより、ネットワークを保護するだけでなく、録画用DVR/ NVRが他の物と一緒に盗まれるような、施設での「スマッシュ&ダッシュ」盗難を防ぐことができます。
クラウド・マネージド・システム
クラウドベースのシステムにも同じ原理が適用されますが、保護すべきオンプレミスの機器ははるかに少なくなります。 また、即時のクラウド記録は、現場での記録の破壊やダッシュによる盗難からも守ります。
インテグレーターやベンダーに、自社のクラウドサーバーに対する一般的なセキュリティ対策を問い合わせることが重要です。
4.12 ビデオ録画ソフト
脆弱性
ビデオ管理ソフトウェアには、Microsoftのデータベースアプリケーションなど、OS以外のコンポーネントが多く使用されています。 オペレーティングシステム自体と同様に、これらのコンポーネントもアップグレードされ、安全でなければなりません。
例えば、多くのVMSでは、Microsoft Accessやライブラリなど、自分で作ったソフトウェアを使用しています。 サポートするソフトウェアがセキュリティパッチを含めて常に最新の状態に保たれていないと、新たなシステムの脆弱性が発生する可能性があります。
ここで受動的になってしまうと、そのような脆弱性に対してシステムをアップデートするために、パッチを送ってくれるプロバイダに大きく依存してしまうことになります。
ベストプラクティス
従来のシステム
VMSベンダーには、使用しているコンポーネントを最新かつ安全に保つためのポリシーをお尋ねください。 定期的なアップデートを確認し、インストールする。 業界で知られているセキュリティ上の脆弱性を積極的に監視し、新たな侵害が判明した場合は、インテグレーターやベンダーに連絡してください。
VMSベンダーがこの点に重点を置いたチームを持ち、定期的にアップデートを送っているかどうかを確認することが重要です。
クラウド・マネージド・システム
真のクラウドマネージドシステムは、サイト上にソフトウェアを持たないため、ここには脆弱性は存在しません。
しかし、このような仮定をする前に、システムが本当に「クラウド管理」されているのか、インターネットに接続されているのかを確認することは非常に重要であり、そうでなければ潜在的な脆弱性にさらされるリスクがあります。
結論
世界中でデータ・ブリーチが加速し続けています。 インターネットへの接続性が高まる中、物理的なセキュリティシステムは、直接的な攻撃としても、ネットワークの他の部分への入り口としても、サイバー攻撃に対して非常に脆弱です。 これらの攻撃に対する負債はまだ定義されていません。
防止策を講じることで、会社とお客様を守るのが賢明です。
サイバーセキュリティを最大化するためには、セキュリティカメラシステムの評価や導入・維持管理の一環として、自社のベストプラクティスを定義することが重要です。
PDFバージョンでは、ホワイトペーパーの詳細をご覧いただけます。