物理的セキュリティの安心のためにサイバーセキュリティが不可欠な理由

接続されたデバイスの時代は多くのことを約束します。以前は接続されていなかったアナログシステムからのデジタルデータを組み合わせることで、新しい洞察と革新を提供し、家庭や職場の効率と安全性を向上させることができます。ただし、イノベーションの最初のルールは「害を及ぼさない」ことである必要があります。これは、モノのインターネット（IoT）の場合、サイバーセキュリティの基本を最初に正しく理解することを意味します。

ビデオ監視と物理的セキュリティの分野では、勢いが急速に変化しています。クラウドへの移行は他のセクターよりも遅かったものの、CCTV、アクセス制御、オーディオシステムがネットワークに接続されるようになり、ITネットワークとプロセスに統合されて、よりインテリジェントな物理的保護を実現しています。

しかし、このクラウドへの移行は、さらに多くのビジネスチャンスを生み出します。たとえば、ネットワークに接続されたカメラからのリアルタイムビデオデータを他のシステムからの情報と組み合わせて、クラウド分析を介してビジネス価値の新しいソースを開発できます。

これは、万引き犯を防止または識別するためにネットワーク監視カメラを一般的に配備している小売店で見られます。これらの同じカメラをクラウド分析スイートに接続すると、小売店のマネージャーはキューの蓄積を自動的に検出してアラートを生成したり、店舗周辺の交通流をよりよく理解したりすることができます。

接続されたシステムの常に存在するリスク

しかし、企業が接続されたカメラに警戒しているのであれば、そうする正当な理由があります。 2016年後半にDropbox、Netflix、Uberなどの多くの一般的なインターネットアプリケーションを無効にした世界最大の分散型サービス拒否（DDoS）攻撃は、数十万台の侵害されたネットワーク監視カメラから部分的に開始されました。攻撃を仕掛けたMiraiマルウェアは、admin：adminなどの一般的なデフォルトのユーザー名とパスワードの組み合わせをテストすることでネットワークデバイスを制御しました。

これらの重大な事件から2年半経った今でも、サイバーセキュリティのベストプラクティスをほとんどまたはまったく考慮せずに販売されているプロフェッショナルグレードの物理的セキュリティ製品が多すぎて、デフォルトのクレデンシャルなどの基本的な監視テストに失敗しています。市場投入までのスピードとコスト削減に引き続き重点が置かれています。品質管理、「設計による安全性」のある製品開発、およびファームウェアの更新と資産管理による販売後のサポートのための効果的なプロセスに十分な注意が払われていません。

これは、これらのデバイスが提供する可能性を著しく損ないます。物理的セキュリティにおけるIoTの約束が、より良い、より安全な世界の約束である場合、機器がクライアントのネットワークに新しい脆弱性を導入する可能性がある場合、それは達成できません。

OEMは、デバイスが目的に適合し、革新に対して信頼できることを保証するために多くの努力を払う必要があります。社内のスキルとプロセスへの投資、およびサプライチェーン全体にわたる明確なコミュニケーションと透明性が必要です。すべてのコンポーネントは、顧客が期待する権利がある厳格な基準を満たしていますか？

ただし、同様に重要なのは、エンドユーザー教育に投資する必要があることです。市場は価格に非常に敏感であり、顧客は、正しく構成されていない未知のベンダーから機器を購入する際のリスクを理解するための明確なガイダンスを必要としています。

そしてそれを超えて、意識はIT部門を超えて推進されなければなりません。組織内のすべての人は、正しい調達プロセスの重要性を理解する必要があります。これは、コストの低下と最新のIoTデバイスの使用の単純さが、それらの制御を困難にしているためです。 CIOが最善の戦略を立てているかもしれませんが、ビジネスマネージャーがクレジットカードで機器を購入し、それらを企業ネットワークに追加する場合、製品の安全性を確保する責任は誰にありますか？

規制により意識が高まっています

とはいえ、企業はネットワークに接続されたデバイスがもたらすサイバーセキュリティのリスクをより認識し始めており、2018年には脅威に対抗するために多くの規制が変更されました。ネットワークおよび情報システムのセキュリティに関する指令（NIS指令）と同様に、一般データ保護規則（GDPR）が施行され始めました。

どちらの指令も、違反に対して同じ実質的な罰金を課します。巨額の罰金は企業を衰弱させる可能性があるため、関連する企業がその要件を満たすためにデューデリジェンスを実施することが不可欠です。

CCTVシステムの導入に関連して、英国とEU全体でGDPRの罰金が科せられるのをすでに目撃しています。最近、英国のハッカーが学校のCCTVシステムに侵入し、インターネット上でライブの生徒の映像をストリーミング配信したことが報告されました。当然のことながら、これは多くの否定的な評判を得ました。結局のところ、私たちは子供たちが安全であることを期待して子供たちを学校に送ります。セキュリティシステムは、子供たちを危険にさらすのではなく保護するためにあります。

適切なテクノロジーパートナーを選択することが重要です

収束するセキュリティ環境では、適切なテクノロジーパートナーを選択することがこれまでになく重要になっています。セキュリティの専門家は、サイバーセキュリティが単なるITの問題ではないことを認識し、物理的および電子的なセキュリティシステムの導入に関連するビジネスに関連するサイバーセキュリティのリスクを理解する必要があります。物理的セキュリティのデジタル化は、現時点では非常にエキサイティングな分野ですが、それを継続するには、業界として、サイバーセキュリティの問題により適切に対処する必要があります。