ネットワークカメラ推進会

Network camera promotion and communication

筆者のサイバーセキュリティ対策

システム設計

筆者のサイバーセキュリティ対策について

 

  あまり公にサイバーセキュリティに関する情報を掲載することは、弱点を晒すことになるため望ましいことではないが、参考までに筆者のネットワーク環境について説明しておこう。

 

 以前別の記事でも記載したように、残念ながらネットワークカメラとウィルス対策ソフトはあまり相性が良いとは言えない。ウィルス対策ソフトがネットワークカメラの大容量の通信を不正な通信として遮断してしまったり、検閲が間に合わず、動作遅延が起こるリスクがあるためだ。

 また、外出先からカメラシステムに接続する場合、あまりにもガチガチにセキュリティ対策を施してしまうと、うまく接続ができなくなるリスクがある。そのため、筆者のネットワーク環境は以下のような対策を行っている。

 

守るべきところ、守らないところ

 

f:id:networkcamera:20190316161659j:plain

 

 まず、上記のイメージ画像をご覧頂きたい。これはあくまでもイメージとなっており、実際の物理環境とは異なるが理論上の構成は上記のとおりだ。

 

 筆者の場合、守るエリアと守らないエリア(DMZ)に分けてシステムを構築している。まず、ネットワークカメラであるが、筆者の場合、外出先やスマートフォンからブラウザーでカメラに接続したいため、カメラ本体はファイアウォールよりも上位に設置している。これはいわゆる<守らないエリア>であり、乱暴な言い方をすると、ネットワークカメラは多少のサイバー攻撃を受けるリスクを受け入れているのだ。映像自体もプライバシーを侵害されるような被写体は撮影していないため、最悪、攻撃を受けてもよい。

 

 一方でレコーダーや閲覧用のPCは、ファイアウォールの配下に設置している。まず、PCについては当然であるが、様々な情報が記録されているため、守るべきものである。このPCはカメラの閲覧だけではなく、通常の利用をしている。

 また、レコーダーについても、さすがにプライバシーを侵害しない映像しか残していないとはいえ、録画映像が外部に流出したり、不正なプログラム(ランサムウェアなど)で暗号化されてしまうと非常にやっかいだ。

 レコーダー本体には仕様上、ウィルス対策ソフトのインストールができないため、上位のファイアウォール(正確にはUTM)で検閲させている状況である。ただし、やはりUTMがあると、ネットワークカメラとレコーダーの間の通信がうまくいかないことがあり、この二つのデバイス間のみ除外設定を入れている。

 セキュリティの観点より、これ以上、詳しく書くことはできないが、ユーザーの利用環境によって、守るべきところと守らなくてもよいところを定義してネットワークの設計を考えて欲しい。

 なお、最悪の場合、守るべきところもサイバー攻撃の被害に遭う可能性も十分に考えられるため、重要なデータはクラウド上にバックアップファイルを残しておくとよいだろう。ワーム型のランサムウェアに感染した場合、社内ネットワークのあらゆるファイルが暗号化されてしまうリスクがある。

 

リモートアクセスする場合の参考構成

 ネットワークカメラシステムにおいては、ルーター固定IPアドレス(またはダイナミックDNS)を割り当てて、他拠点や外出先から閲覧するケースも多い。カメラ本体にはマルウェアの対策ソフトをインストールできないほか、録画サーバーや閲覧用PCなどにもウィルス対策ソフトをインストールすることが推奨されないケースも多いため、他の手段を用いて対策を行う必要がある。以下のネットワーク図のようにONU配下で完全に基幹ネットワークとカメラのネットワークを分けるケースも多い。

 また、イントラ内やオフライン環境で、インターネットには接続せずに導入することも一つの対策と言える。

 

f:id:networkcamera:20190316162453j:plain

 ※なお、ONU配下にHUBを設置して2つのセッションを張ることが契約上、できない場合もあるため、本構成を組む場合は契約先に確認をして欲しい。また、上記の構成の場合、プロバイダーとのインターネット接続に関する契約(PPPoE接続)は2つ締結する必要があることも注意が必要だ。 

 しかし、光ケーブルをもう1本引き直しすると工事費などのコストがかかる場合もあるため、この構成が組める場合は、初期コストを抑えながら、比較的、セキュアな環境でカメラシステムを導入することが可能となる。

 

クラウドサービスを利用する場合も

 ネットワークカメラシステムを遠隔地から利用する場合の構成として、ルーター固定IPアドレス(またはダイナミックDNS)を割り当てて、配下のカメラやレコーダーにポートフォワードさせる方法以外にも、最近では、クラウドサービスを利用するケースも増えている。

 クラウドサービスの中には固定IPアドレスを不要とし、LAN→WAN環境のみポートを空ければよいのでセキュアな環境で導入ができるというメリットがある。WAN→LANの通信を許可することになると、理論上、どうしてもサイバー攻撃を受けるリスクがあるため、近年では、セキュアな環境での導入を目的としてクラウドを選択するケースもある。

 以下は、Safie社のサービスであるが、通信の流れはLAN→WANのみで、固定IPアドレスを不要としている。httpsにより通信も暗号化されているため安全である。

safie.link

 ※ただし、クラウドサービスも弱点は存在する。それはユーザー名とパスワードの管理である。クラウドサービスは原則として、場所や端末を選ばずに自由に接続ができるというメリットがある一方で、クラウドサービスにログインするためのパスワード自体が漏れてしまうと、どこからでもクラウドサービスに接続されてしまうというリスクがある。パスワードを定期的に変更するなどの対策を行えば特に問題となるものではないが、完全な対策ではないことをご理解いただきたい。

 

 

 今後、ネットワークカメラはもちろん、ありとあらゆるモノがインターネットに接続される。機器を導入するユーザーは、どこまで守るのか、またどのように守るのか、是非、検討してほしい。