Cisco Japan Blog
Share

ビデオ会議のセキュリティその1 – IP アドレス発着信そろそろやめませんか?


2018年2月2日


昨今、セキュリティの実装不備によるインシデントが多発しています。これはコラボレーション分野も例外ではありません。過去に インターネットまる見えビデオ会議システムはあり得るのか「第三者による IP 電話等の不正利用」予防策 でコラボレーションとセキュリティに関連する記事を投稿しました。それらの記事で触れたようにインフラや設定の見直しで取れる対策もあります。今回は、日本国内のビデオ会議でありがちな展開について一歩踏み込んで解説します。

どんなに製品がセキュリティ機能を実装していても、「展開の容易さ」を優先してしまい、思わぬセキュリティの穴を開けたままサービスインするケースが多くあります。その一つがビデオ会議端末の IP アドレスによる発着信です。これは、ビデオ会議端末に固定の IP アドレスを設定しておき、端末に通信相手の IP アドレスを登録あるいは入力すること通話を開始するという展開方法です。2000 年前後の H.323 プロトコルによるビデオ会議端末では少なくとも一般的に展開され始めていました。

そして、残念ながらこの方法は、簡単に「攻撃」を受けてしまいます。攻撃には端末が踏み台にされ自社や他社の機器にも迷惑をかけることも含みます。その原理はインターネットまる見えビデオ会議システムはあり得るのか「第三者による IP 電話等の不正利用」予防策 で解説しました。

どの端末がインターネット上にサービスを意図的にあるいは意図せず公開してしまっているのかは、SHODAN  やCensys を使って簡単に検索することができます。また、特定のベンダーの端末の”ふり”をして世界各国の IP アドレスからアクセスしにくる Bot もあり Polycom 社は SECURITY BULLETIN を発行しています。

インターネットに出れないようにしているから安心、と考えてはいないでしょうか?社内からの攻撃の可能性は考慮していないのでしょうか?nmap や派生するツールはファイアウォールの内側で、簡単に社内のビデオ会議システムを発見してくれます。

そこで登場するのがセキュリティ対策としての呼制御サーバです。シスコ製品では Cisco Unified Communications Manager または Cisco Expressway が該当します。ビデオ会議の端末には、呼制御サーバに登録しておけば呼制御サーバ経由の着信しか受け付けない機能があります。また、呼制御サーバを利用することで、端末を固定ではなく、動的 IP アドレスで運用できるメリットもあります。部屋の移動やネットワーク アドレスの再設定が容易になるからです。また、帯域の管理を集中できるため、拠点間にそれぞれ最適な画質を提供できます。Cisco Unified Communications Manager を使った場合、端末の設定管理・ファームウェアのアップデートも可能です。

 

 

 

呼制御サーバを使った展開は、海外の企業利用では一般的なものですが、残念ながら日本国内ではさまざまな理由から広く浸透していません。その理由の一つが導入コストの高さです。例えば、長距離移動を削減するために多くの端末を導入、あるいは企業間の B2B ビデオ会議が一般的な海外と比較して、東京と大阪だけの 2 拠点、役員だけが利用できるビデオ会議など展開端末数が少ない日本では、数台の端末のためにサーバを導入するというのは敷居が高いように見られていました。

これを解決するソリューションが、シスコのクラウドによる端末登録 Cisco Spark ルームデバイスです。現行のオンプレミスにも利用可能なシスコのビデオ会議端末の登録・管理・呼制御を、暗号化のための証明書管理などをクラウドで一手に引き受け、最初から高水準のセキュリティ機能が利用可能となります。また、Cisco WebEx と組み合わせることにより、音声会議、Web 会議、既存のビデオ会議端末の接続、Microsoft 社の Skype for Business との接続も可能になります。

Cisco Spark の利点として、ビデオ会議端末がファイアウォールの内側にいても、トラフィックが内から外への方向性で管理できることがあります。従来のビデオ会議端末はファイアウォールに着信用の特定ポートの穴あけが必要でしたが、クラウドに向いたシグナリング、すなわち HTTPS をベースとした呼制御を利用することで、この制限を回避できます。

ビデオ会議についても、セキュリティ上、しっかりとどういったリスクがあり、どのような対策が取れるのかを検討する必要があります。ビデオ会議を IP アドレス発着信で運用をしているのであれば、セキュリティ観点で運用を見直してみてはいかがでしょうか。そして、それは簡単に誰でもどこからでも使える環境になるための条件でもあります。なお、相互接続性の観点から引き続きシスコはビデオ会議製品に IP アドレス発着信の実装を残し続けます。この点は誤解なきよう書き加えておきます。

 

Tags:
コメントを書く