Aロンドンにあるジョセフ・ブラマーの店の前に丸い錠前が置かれており、窓には挑戦状が表示されていた。ブラマー・プレシジョン錠を引き当てることができた人は200ギニー(今日で約3万ドル)を獲得できるというものだった。この課題は、アメリカの鍵屋である A.C. ホブズが挑戦するまで 67 年間続きました。

ホッブズは多くの経験をもたらしました。彼は、銀行の経営者に対し、錠前がピッキングされる可能性があるため、自分が発明した錠前に取り替えるべきであると実証したことで、アメリカでの知名度を得た。

1851 年にロンドンで開催された万国博覧会で、ホブズはチャブの「探知機」錠のピッキングに成功した後、ブラマーの作品を開けると発表しました。ブラマーさんの息子たちは、ホブズの店の上にワークスペースを設けました。ホブズさんは、鍵の解錠に成功するまで、52 時間にわたって錠前で働きました。

ホッブズの成功は大ロック論争として知られるようになり、イングランド銀行を含め、これまでブラマー水門を使用していた人々の心に恐怖を植え付けました。なぜなら、ブラマ水門は開けられないと信じていたからです。彼らの安心感は打ち砕かれた。]

それ以来、ドアの施錠やアクセスの制御方法は時代と技術の進歩とともに変化してきました。現在、施設内でドアのロックが解除されて開けられたときを警備員が監視して記録し、その個人がそれを許可されていることを確認する代わりに、ほとんどの組織はアクセス制御システムに依存しています。そして多くの場合、これらのシステムはインターネットに接続されているため、サイバー侵入に対して脆弱になります。

「古いアクセス制御システムは、建物のネットワークや組織のネットワークに結び付けられることを意図したものではありませんでした」と、Environmental Systems Design, Inc. (ESD) のシニア セキュリティ コンサルタントであり、カジノサイト 国際 IT セキュリティ評議会のメンバーである CISSP、CPP、Coleman Wolf 氏は述べています。 「これらをネットワークに接続するために使用できるアダプターがあります。それらは問題なく機能します。デスクからコントロール パネルにアクセスできますが、セキュリティが常に最高であるとは限りません。」

アクセス制御システムは「機能を提供することを目的としていますが、デバイスがパスワード保護を備えて構築されていなかったか、インストールした人がそれを稼働させたかったため、セキュリティをインストールする努力をしなかったかのどちらかです。」と Wolf 氏は付け加えました。

基本

アクセス制御システムをインターネットに接続すると、システムはモノのインターネット (IoT) の一部になります。典型的な IoT デバイスには、サーモスタット、コンセント、照明スイッチ、冷蔵庫、スマート スピーカー、ドアベルなどがあります。デロイトの CPP、PMP (プロジェクト管理プロフェッショナル)、およびサイバーおよび物理セキュリティ リスク サービスのアドバイザリー マネージャーであるデイビッド フィーニー氏は、セキュリティの分野では、現在ではカメラ、警報システム、煙感知器、錠、その他のアクセス制御デバイスも含まれていると述べています。

「IoT が登場する前は、ネットワークに接続されているものはすべて、伝統的な意味でのネットワーク デバイスでした」と カジノサイト 物理セキュリティ評議会の元議長であるフィーニー氏は説明します。 「今では、ほとんどすべてのものをネットワーク デバイスにすることができます。また、コンピューター業界は製品、サービス、そして全体的な DNA にセキュリティを組み込むのに数十年を費やしてきましたが、IoT は本質的に幼児に過ぎず、急速に成長していますが、その成熟のほとんどはまだ先です。」

これらの IoT デバイスはすべて、マルウェア、中間者攻撃、ブルート フォース攻撃、辞書攻撃、IP スプーフィング、サービス妨害および分散型サービス妨害 (DDoS) 攻撃、セッション ハイジャックなどを含む「サイバー脅威の難題」に直面しているとフィーニー氏は言います。

「IoT がもたらす違いは、アクセス制御やその他の IoT デバイスがネットワークに追加されると、攻撃対象領域 (攻撃者がアクセスできるすべてのポイントの集合体) が飛躍的に大きくなることです。」とフィーニー氏は付け加えます。

なぜ誰かがアクセス制御システムを侵害しようとするのか、明白に思えるかもしれません。建物のドアのロックを解除して侵入するためです。

「システムに入ると、人々が最初に考えるのは、システムを制御できるため、ドアのロックを解除したり、センサーを無効にしたりできるということです。これは、アクセス制御システム自体の実際の使命の一部です。」とウルフ氏は言います。

たとえば、病院のような高度に管理された環境での最悪のシナリオでは、侵害されたアクセス制御システムが外科医を手術室から閉め出したり、薬局へのドアを開けたりするために使用される可能性があります。

しかし、誰かがアクセス制御システムをハッキングしようとするのと同じくらい憂慮すべき理由がもう一つある、とフィーニー氏は付け加えた。

「アクセス制御システムが攻撃されるのは、攻撃者があるエリアへのアクセスを望んでおり、そのシステムが彼らの邪魔をしているからだと考えるのが自然かもしれません」とフィーニー氏は説明します。 「それは理由の 1 つです。しかし、多くの場合、その理由は、攻撃者が単にネットワークへのアクセスを望んでおり、アクセス制御システムは他のシステムと同様に優れたエントリ ポイントであるということです。」

組織に侵入する方法に関係なく、攻撃者は多くの場合、ネットワークに侵入し、ネットワーク内を移動して、より機密性の高い情報や貴重な情報にアクセスしようとします。

2013 年の悪名高い Target 侵害の際、ハッカーはこの手法を使用しました。ハッカーはサードパーティ ベンダーを侵害し、認識されていない承認ユーザーから有効な認証情報を取得し、ベンダー ポータル プロセスを使用して Target のネットワークに接続しました。その後、悪意のある攻撃者はこのアクセスを利用して、支払いカード データとターゲット顧客に関する個人識別情報を取得しました。

「情報を盗むことができる従業員のデータベースがあるかもしれません」とウルフ氏は言います。 「あるいは、そのアクセスを利用してランサムウェアを拡散し、ファイルやシステムを暗号化して人質に取り、その情報を解放するために組織に支払いを強制する可能性があります。」

組織の建物システムへのアクセス制御システムへの侵入を悪用すると、火災警報器が作動するなど、従業員や設備に安全上のリスクが生じる可能性もあります。

「HVAC システムを制御できれば、データ センター スペースの冷却を防ぐことができるため、サーバーが過熱して障害が発生し始めます」と Wolf 氏は言います。 「そしてそれはビジネスや業務の中断を引き起こす可能性があります。」

既存のリスクの軽減

多数の脆弱性が存在するにもかかわらず、アクセス制御システムへの侵害のリスクを軽減する方法は無数にあります。

「私は、デバイスがどこにあるのか図面を持っていない多くのクライアントと仕事をしています。彼らは盲目で飛んでいます」と Wolf 氏は言います。 「何か問題が発生した場合、どこに行けばよいのか、どのコンポーネントを調べればよいのかがわかりません。」

ネットワークに接続された既存のアクセス制御システムを使用するセキュリティ専門家にとっての最初のステップは、システムを完全に理解することです。読み取り装置がどこにあるのか、どのように機能するのか、どのようにネットワークに接続されているのか、誰がシステムにアクセスできるのか、誰がシステムに対する管理特権を持っているのかを理解することです。その後、そのすべての情報を文書化する必要があります。

「すべてがどこにあるのか、そしておそらく最も重要なこととして、それらのデバイスが相互に、また外界とどのように相互通信するのかを特定します」と Wolf 氏は付け加えます。 「インターネット接続は 1 つのことですが、古いシステムでは DSL 回線またはダイヤルアップ モデムでシステムに接続するため、請負業者がログインしてシステムに変更を加えることができます。」

これらのシステムは数十年前に設置された可能性があります。人々はこれらの接続を忘れがちですが、悪意のある攻撃者がアクセスに侵入するために使用する可能性があります。

Wolf はまた、ネットワークに接続されている既存のアクセス制御システムを扱うセキュリティ専門家が、組織の現在のセキュリティ要件を満たしているかどうかを評価することを推奨しています。

ゼロから始める

新しいアクセス制御システムを導入するという幸運な立場にある人にとって、そのプロセスは、そのシステムをインターネットに接続することのリスクと利点についての「徹底的な議論」から始める必要がある、とフィーニー氏は言います。

「本質的にネットワークにドアを追加することに大きな魅力的なメリットがないのであれば、おそらくそれを行う価値はありません。」と彼は説明します。 「アクセス制御の場合、特に望ましい最終目標がクラウドに移行する場合には、これを実行するのが有力なケースとなる可能性があります。この場合は、必ずベスト プラクティスを活用して、新しいネットワーク アーキテクチャにセキュリティを組み込んでください。」

組織は、アクセス制御システムを他の資産から分離したネットワーク上に配置する必要があるかどうかを検討する必要があります。これにより、侵入者がアクセス制御ネットワークを使用して企業情報を取得するリスクを軽減できます。

「最終的な目標がアクセス制御システムをクラウドに移行することである場合でも、このネットワーク分離は組織レベルで行うことができます」とフィーニー氏は言います。 「別個のアクセス制御または IoT ネットワークがクラウド インフラストラクチャに接続されます。元の企業ネットワークは他のすべての資産を個別に保護します。そのため、アクセス制御ネットワークの接続が侵害された場合、攻撃者は企業ネットワークにアクセスできなくなります。」

システムをどのネットワークに常駐させるかを決定したら、組織はそのネットワークと日常の管理の責任者を指定する必要があります。新たなセキュリティ脅威を軽減するためにシステムには定期的なパッチ適用とアップデートが必要となるため、これは非常に重要です。

「組織の IT 部門は、優れた IT 組織であれば、ネットワーク スイッチとすべてのネットワーク サーバーが最新であることを確認するためのパッチ管理プロセスを導入しているため、システムを保守するための設備が整っていることがよくあります。」と Wolf 氏は言います。

実際のアクセス コントロール システムを購入する場合、担当者 (物理担当者や IT セキュリティ担当者など) は、リーダーからマスター コンソールまでのデータがどのように保護されるかをベンダーに尋ねるべきだと、La-Z-Boy Incorporated の情報セキュリティ プログラム マネージャーであり IT セキュリティ評議会のメンバーである CISSP のダレル ブラウン氏は述べています。

「転送中のデータは暗号化されていますか?どのレベルで暗号化されていますか?そして、うちの会社に適しているのはどれですか?」ブラウンは付け加えます。

組織は、ベンダー自体がその製品にパッチを発行する頻度と、それらのパッチを発行するためのプロセスがどのようなものかを尋ねる必要もあります。

「ハードウェアのパッチやセキュリティ アップデートについてプロバイダに積極的に問い合わせる」とフィーニー氏は推奨します。 「従来、多くのアクセス制御デバイスは、顧客がパッチを必要とする機能をリクエストしたり、エラーを報告したりするためにパッチを取得しています。代わりに、包括的なセキュリティ戦略の一環として、コンピュータと同様にこれらのデバイスにもパッチを積極的に適用してください。」

組織は、ベンダーが組織に対して負う期待と責任を概説する堅牢なマスター サービス契約も締結する必要があります。

「システムのどの部分を誰が所有しているかを明確に線引きします」と Brown 氏は付け加えます。 「責任者は誰ですか? バックアップはどこにありますか? バックアップはありますか? バックアップへのフェイルオーバーを確実にするにはどうすればよいですか?」

システムがインストールおよび実装されている間、セキュリティ専門家は、プロセスが良好なサイバー衛生状態を維持するためのベスト プラクティスに従っていることを確認する必要があります。これは、デフォルトのパスワードを無効にしてシステム用の強力で固有のパスワードを作成し、管理者権限を制限することから始まります。

ESD は、すべてのユーザーに管理者権限を自動的に与えるように設定されたオペレーティング システムに頻繁に遭遇します。

「ほとんどの人はそんなことは必要ありません。そしてそれを制限することで、たとえ悪者が一人の資格情報を使ってアクセスしたとしても、オペレーティング システム全体に対する管理者権限を持たないようにすることになります。」と Wolf 氏は言います。

アクセス制御システムは、すべてのロックと同様、適切な状況があれば、動機のある攻撃者によって侵害される可能性があります。セキュリティ担当者は、システム自体が安全であると想定すべきではありません。

「セキュリティは理想的には消費者とプロバイダーの間で責任を共有するものです」とフィーニー氏は言います。 「通常はこれに当てはまることがわかります。しかし、責任の分離がどこにあるのかは大きく異なる場合があります。そのため、常にサービス レベル契約を確認して、プロバイダーがどのようなセキュリティ責任を負い、消費者として何が残されているかを理解してください。」

ミーガン・ゲイツはの上級編集者ですセキュリティ管理。彼女に連絡するには[email protected]。 Twitter で彼女をフォローしてください.