• TOP
  • 特集一覧
  • IoTにおける監視カメラの安全性をどう確保するべきか【後編】
2018/06/01

IoTにおける監視カメラの安全性をどう確保するべきか【後編】

メイン画像

センシングを行うその他のIoTデバイスと比べてコンピューティング能力が高く、高速の通信帯域を確保できるIP監視カメラは、サイバー犯罪者にとって最大の標的となっています。

本稿では、前編に続きIoT化に伴いさらに重要度を増していくIP監視カメラのサイバーセキュリティについて解説します。

IP監視カメラに必要なセキュリティは多層防御

IP監視カメラの機能は、多くの場合、カメラ機能、ネットワーク通信機能、そしてクラウドサービスから構成されます。

IoTの構成要素

IoTの構成要素

安全な製品を提供するため、メーカーはデバイス、ネットワーク、クラウドの全方位で多層防御のセキュリティを実現する必要があります。

1. IPカメラハードウェアのセキュリティ

サイバー攻撃者は、IP監視カメラへ侵入する際、多くの場合システムの脆弱性を悪用します。そのため、IP監視カメラメーカーは、ファームウェアが影響を受ける脆弱性に注視し、脆弱なシステムコンポーネントへのセキュリティ更新プログラムの適用に細心の注意を払っています。しかし、セキュリティの水準を一層引き上げるうえで、次のような対応を採用することもできます。

・初期設定の認証情報の変更を強制的に利用者に実施させる。
・セキュアブートを適用し、セキュリティが侵害されたデバイスの作動を防ぐ。
・FOTA(firmware over-the-air)を利用してセキュリティ更新プログラムの適用を容易にする。
・不要であればデバイス上で開放するポートを最小限にとどめるなど、最小機能の原則を採用する。


2. ネットワークのセキュリティ

IP監視カメラのクローズドネットワーク内での運用は、より高レベルのセキュリティを確保する目的で広く採用されています。リモートアクセスにおける安全な接続を可能とするため、VPN(Virtual Private Network)を利用することもできます。ネットワークの観点で安全性を確保するにあたっては、以下のような対策も実施できます。

・侵害を阻止するための通信暗号化
・セキュリティを考慮したトンネリングによる接続
・暗号鍵の保存にハードウェアのセキュア領域を使用

またインターネット環境の利用が前提とされる場合、不審な通信の監視やブロックといったネットワーク上での対策の実装も検討すべきでしょう。


3. クラウドのセキュリティ

クラウドサービスにより提供される機能が増えれば、クラウドセキュリティの重要性も高まります。幸いにして業界をリードするサービス事業者の大半が、クラウドのインフラに適切な保護を施しています。また、トレンドマイクロ製品を含め、クラウド向けに最適化されたセキュリティ製品もクラウド環境において重要な役割を果たしています。

IoTセキュリティにおける説明責任と責任共有モデル

他のIoTデバイス同様、IP監視カメラをベースとしたシステムは、様々なもので構成されています。したがって、セキュリティインシデントが発生した場合には、すべての責任を単独で引き受ける能力ないし義務を有する存在などありえません。サイバーセキュリティの実現に対しては、誰もが一定の役割を担っていると言えます。

従来のIP監視カメラシステムのビジネスモデルは、購入時に一括払いするというものです。DIYの形で利用者が自分で設置する際には、利用者自身がIP監視カメラを購入したうえで、自分で既存のネットワーク環境に設置することになります。もっと複雑なケースでは、システムインテグレータが利用者に代わってすべての作業をこなしてくれることも考えられます。例えば、適切なハードウェアの選定、希望場所への設置、ルータとの接続、各種ネットワーク設定などの作業を代行してくれます。ただし、こういったケースでも、保守契約が考慮されていない場合には、支払いはやはり一括となります。

しかし、IPカメラによる監視サービスを収益化させようと試みる企業が増えるにつれ、多様なニーズを満たすために様々なビジネスモデルが現れています。監視サービス事業者は利用者に対し、一括払いではなく月額料金を課すようになっています。これは、インターネットサービスプロバイダ(ISP)と同じ方式です。

このビジネスの新規参入者は、ビデオ監視システムだけでなく、クラウドを活用した録画をはじめ、様々な付加価値のあるサービスも利用者に提供しています。こうなると、この業界にかかわる企業間の役割の境界は曖昧になっていきます。例えば、Nest社はセキュリティカメラNest Camのメーカーであるだけでなく、クラウドを利用した録画サービスを提供するサービス事業者でもあります。

IP監視カメラによる監視システムは様々なもので構成されていますが、サイバーセキュリティについて特に重要な役割を担うのは、下記のような立場の人々です。

・デバイスメーカー
デバイスメーカーは、設計および提供するデバイスの機能すべてにおいてセキュリティへの配慮を行う責任があります。デバイスメーカーが利用者が基本的なセキュリティ対策を無視したり、その導入を怠ったりすることが、世界中に蔓延するマルウェアの根本的原因である、という主張もあります。各国政府も本件を注視しており、関係機関とともに一定レベルのセキュリティ対策の実施に取り組んでいます。

米国政府が運営するICS-CERT(Industrial Control Systems Cyber Emergency Response Team)は、サイバーセキュリティ問題についての認知度を高めるため、既存のIP監視カメラ製品に関するシステム脆弱性を適宜公開しています。

また、全世界で出荷されているIP監視カメラの4分の1を生産している台湾の政府機関では、デバイスの安全性確保を目指して、一連の規制を策定中です。米国UL社など、製品、技術、サービスの安全性試験を行い評価・認証を行う企業も、サイバーセキュリティについての認知度を増すため、それぞれにサイバーセキュリティ検証プログラムの作成に取り組んでいます。


・サービス事業者
IP監視カメラを使ってシステムを構築し、サービスを運営する企業は、システムレベルでのサイバーセキュリティに対する責任を果たさなくてはいけません。一般的にサービス事業者は、IP監視カメラの基本的な機能と付加的なサービスを統合することで、デバイス、ネットワーク、クラウドからなるシステム全体を構築します。サービス事業者は、システムの設計と実装だけでなく、サービス提供の全期間中、デバイスを含むシステム全体を想定どおりに稼動させることを請け負っています。サービス事業者は、提供サービスの安定稼働という視点で、サイバーセキュリティを重視しなければなりません。


・システムインテグレータ
デバイスメーカー、サービス事業者とともに、ハードウェアとソフトウェアの設定からサービス開始に必要な作業をするシステムインテグレータも、セキュリティに関して役割を果たす必要があります。ここで鍵となる指針は最小機能の原則であり、必要な機能だけを有効にすることが目標となります。使われない機能、特に開かれたポートなどネットワーク関連のものは、多くの場合、サイバー攻撃者の侵入口となります。


・一般利用者
通常、IP監視カメラ製品にはセキュリティガイドラインもしくは利用者向けのマニュアルが付属しています。これらに目を通し、指示どおりにカメラを設定することは、サイバーセキュリティにおいて重要な意味を持ちます。例えば、Miraiが大きな被害をもたらした主な原因の一つは、利用者が製品に初期設定されたパスワードの変更を怠っていたことにあります。


サイバーセキュリティ対策のコストとメリット

セキュリティはIoTデバイスメーカーに共通する課題であり、IP監視カメラのハードウェアメーカーもそれを免れることはできません。確かに、サイバーセキュリティ機能の導入が増えるにつれ、部品表(BOM)に羅列されるコストも明らかに増えていくでしょう。

一方で、IP監視カメラに対するサイバーセキュリティは、業界関係者に限らず、一般利用者の間でも広く知られた話題となっています。したがって、IP監視カメラメーカーは終わりのない価格競争に見切りをつけ、この状況を利用して、市場における独自の価値を生み出すこともできるのです。

サイバーセキュリティを組み込むことは、見積依頼書(RFQ)における決定要因となり得ます。公共にかかわる事業領域では、特にこの傾向があります。というのも、今では政府もサイバーセキュリティに対する警戒を強めているからです。サービス事業者とシステムインテグレータにとって、ここにかかるコストの問題はあまり重要ではなくなるかもしれません。なぜなら、セキュリティの実施は任意の選択項目にできるため、セキュリティに強い関心を持つ利用者の月額料金に転嫁可能だからです。

サイバーセキュリティを向上させるとき、複雑性が増してしまうことも1つのコストと言えます。もっとも簡単な設定は、コストが最もかからないうえに安全性が損なわれます。サイバーセキュリティのために利便性を犠牲にすることは、IT専門家にとっては常識ですが、一般利用者にとってはそうではありません。例えば、監視システムがインターネット越しのリモートアクセスを許可するとき、セキュリティ上の提案として真っ先に挙げるべきものの中にVPNの導入が含まれます。しかし、VPNを使ってデバイスにアクセスするのは、一般利用者、特にスマートフォンの利用者にとってはまだ馴染みのない習慣です。

サイバーセキュリティのコストとメリットのどちらを優先するか、という終わりのない議論が直近で解決されることは難しいですが、企業は、規模の大小を問わず、IoTのシステムのリスク評価を継続し、機能性とセキュリティを保てるよう努める必要があります。

IP監視カメラ業界の次なる課題

IP監視カメラはIoT製品として分類されていますが、IoT(モノのインターネット)という言葉が生まれる前からすでに市場に存在していました。しかし、IP監視カメラ市場が成熟しているにもかかわらず、製品を取り巻くサイバーセキュリティ上の懸案事項は、依然として業界全体にとっての重要な課題です。他のIoTデバイスやサービスと同様、IP監視カメラにおける情報の流れは、いわゆる長い鎖のようになっており、悪意のある攻撃者はその鎖のどの部分からも現れる可能性があるのです。

IoTビジネスで成果をあげている企業は、長い時間をかけて、クラウドセキュリティと、ネットワーク接続にまつわるサイバーセキュリティ問題への認知を高めてきました。

デバイスに対してサイバーセキュリティが十分に実施されていない問題が、IoTの世界で次に解決すべきポイントです。そしてこれは、IP監視カメラの業界だけではなく、IoT事業者全体で取り組むべき事項です。何もかもが互いに接続している世界は素晴らしく思えるかもしれませんが、十分なサイバーセキュリティがなければ、そのスマートさに見合うだけの安全性は確保できないでしょう。

JEFFREY CHENG

JEFFREY CHENG

Senior Manager

Global Consumer Sales Enablement and Business Development

Trend Micro

国立台湾科技大学でMBAを取得。情報セキュリティソフトウェア業界でのプロダクトマネージャのキャリアを経て、現在はIoTセキュリティ関連の製品開発およびテクノロジーエバンジェリストとして活躍。サイバーセキュリティに関する台湾の複数の政府プロジェクトのコンサルタントを務める。

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop