ニューノーマルに適したポストプロダクション・セキュリティ・プロトコルを作成する

By in ニュース・トピックス, ビデオ
image_pdfimage_print

リモート・ワークフローは事業の継続性を確保する一方で、貴重な独自メディア、ネットワーク上のリソース、業界での名声や評価などを守る重要な防衛ラインであるポストプロダクションのセキュリティに新たな脆弱性をもたらす恐れもあります。ほとんどの場合、既存のセキュリティ対策はオンプレミスの仕事環境に合わせて設計されていて、数人の熟練したIPプロフェッショナルが維持、監視しています。

 

新しい働き方は、数々の相互接続されたネットワーク、デバイス、ロケーション、アプリケーション、およびそれらが機能するために必要なクラウド・サービスを通じて、新たな脆弱性を露呈します。これにより、ポストプロダクション・セキュリティの責任は、訓練を受けることなく、潜在的に安全性が確保されていない自宅ネットワークから仕事をする個々のエンドユーザーに委ねられます。

 

どうしたら貴重なネットワークや独自メディアを安全に保つことができるでしょう?それは、ポストプロダクションのセキュリティ教育を充実させること、リモート・アクセス環境におけるサイバー・セキュリティの様相の違いに注視することに尽きます。

 

オンプレミスvsリモートのポストプロダクション・ワークフロー

オンプレミスのセキュリティは、主に物理的なセキュリティ・プロトコルに依拠しますが、その全てをリモート・ワークフローで自動的に適用できるわけではありません。

 

従来、ポストプロダクション施設では、外部ネットワークから遮断したシステムや、ドアロックや安全なユーザー・ログインなどでデバイスへのアクセスを直接制限して、厳重なセキュリティを維持しました。このような物理的なセキュリティは、ほとんどの施設でリモート・アクセスのセキュリティ対策が優先されなかったことの現れです。独立系ポストハウス『The Farm』のオペレーション・ディレクターであるジャック・エドニー(Jack Edney)氏は2020年にIBCのインタビューで次のように語っています。「The Farmは、物理的境界の中では全てを制御できます。しかし、コンテンツがそこから出てしまうと、必然的に、安全ではなくなります。」

 

多要素認証などの基本的な予防策は、簡単に利用できます。仮想プライベート・ネットワーク(VPN)の多くは、リモートの協力者をオンプレミス・ネットワークに接続するために広く利用されています。施設の既存ネットワークを囲む単純な境界フェンスのように機能して、正しいユーザー名とパスワードにより、誰でもリモート・アクセスが可能になります。しかし、このようなツールを使っても、悪意ある者がメールによるフィッシング攻撃で正規の認証情報を盗んだり、VPNの設定ミスやパッチの未適用があったり、不正アクセスに対して脆弱だったりする可能性があります。機会があれば、攻撃者はログインして、ネットワーク全体を好き勝手に動き回ることができます。

 

モーション・ピクチャー・アソシエーション(MPA)のセキュリティ・ベストプラクティス・ドキュメントでは、「少なくとも6か月毎(3か月毎を推奨)に、コンテンツが移動する組織内のすべてのポイント・ツー・ポイント(VPN、自社ファイバーなど)接続を確認し、使用状況と業務上の有効性を点検しなければならない」とされています。

 

アクション:リモート・アクセス・ワークフローにおいて既存のVPNを運用しているポストプロダクション施設は、定期的に以下の事柄を確認する必要があります

  • VPNのセキュリティ証明書と暗号化が業界標準を満たす(MPAはAES-256を推奨)
  • VPNが正しく設定され、全ての不要なポートとプロトコルを無効にする
  • 接続されたすべてのユーザーが最新のソフトウェア・アップデートおよびパッチを実行している
  • 全てのユーザー・アカウントに対して多要素認証が導入されている。ユーザー・アカウントは、特定の役割を持つすべてのユーザーではなく、認可された1人のユーザーに限定されなければならない

 

業界がますますリモート・コラボレーションに移行している中、VPNは本当に安全な方法なのでしょうか?ゼロトラストと呼ばれる考え方は、ユーザーのアクセスと認証について、はるかに慎重で考え抜かれたアプローチを前提としています。

 

ゼロトラスト・セキュリティ・パラダイムへの移行

ゼロトラスト・セキュリティの考え方は、VPNの境界をベースとした方法論を本質的に覆します。システムは、ユーザーが境界内に入ればすべてを信頼するのではなく、ユーザーが必要なものだけにアクセスできるようにします。全リモート・ユーザーのアカウント認証は、仕事の遂行に必要なシステムとメディア・リソースだけに限定されます。これにより、ユーザー本人、あるいはユーザーのログインを乗っ取った者が、他の重要なメディアまたはネットワーク上のリソースへアクセスすることができなくなります。

 

ゼロトラスト・セキュリティ・プロトコルは、ユーザーの身分証明についての洞察も深めます。正しいユーザー名とパスワードを問うだけでなく、以下のような要素も問う場合があります

  • デバイスID
  • ロケーション
  • ネットワーク・アドレス
  • ポート範囲

 

ゼロトラスト・アプローチでは、ネットワークの監視と応答も考慮します。ネットワークの自動監視機能は、ユーザーのログインやネットワーク・アクティビティの危険信号をシステム管理者に警告し、確立された対応手順を起動して、施設管理者に状況をエスカレートします。

 

アクション:ゼロトラスト・セキュリティへの転換を始めるにあたり、この考え方への移行に必要な幾つかのステップについて考える

  • 技術的アーキテクチャを調査し、既存ネットワーク、デバイス、クラウド・サービス、メディア・ストレージ、ユーザーのリストを作成する
  • 許可されたユーザーを認証するためのアイデンティティ・ポリシーを定義する
  • 「通常のネットワーク・アクティビティ」と「悪い」動作を監視することの意味を明確にする
  • ビジネス機能が許す限り、体系的かつ反復的にポストプロダクション・セキュリティを再構築する
  • ネットワーク・アクティビティを積極的に監視し、対応する

 

ゼロトラストへの完全転換が実現不可能な場合、サイバー・セキュリティの基本に立ち戻ることを検討します。脅威評価とセキュリティ意識向上トレーニングは常に重要です。見掛け倒しの技術や方法論では対応できない、サイバー・セキュリティ上の悪しき問題、すなわちスクリーンの向こう側にいる完璧でない人間のユーザーという問題に取り組みます。

 

脅威評価を定期的に実施する(次の侵害の前に)

組織の状態を定期的に査定することは、セキュリティ対策全体を見直す際に役立つだけでなく、サイバー・セキュリティ対策の微調整や裂け目の発見にも大いに有効です。攻撃者は、そんな裂け目を一度見つければ良いのです。最も大切なメディアが盗まれた時、何が起こったのか、誰が関与したのか、再発を防ぐにはどうすればよいのかをどのように見定めますか?

 

このような査定を行う、さらには攻撃される前に査定を行う利点は、弱点となるリンクについて警戒しながら、サイバー・セキュリティとリモート・アクセスの保護を継続的に改善できることです。すべての組織は、事業コスト、運用の柔軟性、セキュリティ・レベルの間で妥協しなければなりません、脅威を査定することで、リソースの配分をより戦略的に選択することができます。

 

業界で承認されたTrusted Partner Networkの審査により、ポストプロダクション施設とその顧客は、必要なセキュリティ基準を満たしているかどうかを検証することができます。メディアを保護する場合、ファイルの転送、アクセス、削除などの追跡記録を導入することで、漏洩や不注意によるアクセスの原因特定に役立ちます。

 

また、可視のウォーターマークや不可視のファイル・フィンガープリント(指紋採取)などの目立たない対策により、画面のキャプチャや盗難を防止し、必要に応じて貴重な法的情報を提供します。在宅勤務への移行が進む中、リモート・ワークフローの保全にはこのような対策が重要になります。

 

アクション:定期的な脅威評価と脆弱性スキャンを実施して、以下を確認する

  • ローカルおよびリモートのストレージ内で、およびファイル転送中に、メディアが適切に暗号化されている
  • メディア管理と転送の追跡記録が存在する
  • メディアには、可視および不可視のウォーターマークが施されている
  • フリーランスおよび従業員が、画面共有セキュリティのベストプラクティス(最良の慣行)を理解する
  • エンドユーザーのセキュリティ意識と教育を優先する

 

従来のオンプレミス型ポストプロダクション施設のIT部門でセキュリティと監視の対象となるオフィス・ネットワークは1つが通常で、多くても2~3程度でしょう。分散型リモート・ワークフローへの長期的な移行は、数十台のデバイスからアクセスされる、潜在的に数千もの保護されていないリモート・ネットワークの管理、維持、監視を意味します。エンドユーザーがサイバー・セキュリティとリモート・アクセスのベストプラクティスをより深く理解すればするほど、エコシステム全体の脆弱性は低減します。サイバー・セキュリティ教育は、全てのスタッフ・メンバーとフリーランスに共通して重要です。

 

MPAが作成したような業界標準を採用することで、誰もが遵守できるポストプロダクション・セキュリティのベストプラクティスの基準を確立できます。膨大なドキュメントは、気が遠くなるほど詳細で広範囲ですが、サイバー・セキュリティとリモート・アクセスの能力を迅速に向上させるためのロードマップを示します。

 

従業員は、疑わしいメールの添付ファイルを開かない、悪意あるリンクをクリックしない、信頼できないウェブサイトにアクセスしないなど、サイバー・セキュリティのベストプラクティスについて定期的に教育する必要があります。IT部門からのシンプルなメールだけでなく、セキュリティ・トレーニングをゲーム化したり、実際のシナリオでリモート・スタッフの興味を引くようなワークショップをしたりするなど、方法を検討してみましょう。

 

アクション:定期的にすべてのエンドユーザーにセキュリティ意識向上トレーニングを実施する。一方で、リモートのワークスペースが適切に保護されていることを確認する

  • 全てのホームルーターを保護し、リモート・デバイス用のファイアウォールとウィルス対策ソフトウェアに投資する
  • リモート・アクセスには最新の暗号化されたVPNを使用する
  • 自宅ネットワークを分離して、ポストプロダクション施設のネットワークに接続されている不必要なデバイスやユーザーの“脅威にさらされる面”を減らす。例えば、仕事用デバイスは、オンプレミス環境にリモート接続する別のネットワークで使用するようユーザーに指導する。それにより、サイバー攻撃を受けやすいIoTデバイスなどの個人用デバイスと、はっきり分けることができる
  • エンドユーザーのマシンにインストールされたソフトウェアのパッチやアップグレード、サードパーティ製ソフトウェアをリモートで管理する

 

人的要素と技術的要素を組み合わせて、全体的なセキュリティ文化を構築

サイバー攻撃から完全に安全なシステムはありません。しかし、一つ一つの防御策は積み重なっています。ポストプロダクション施設は、最先端技術によるものであれ、実績のあるセキュリティ対策であれ、セキュリティを最大限に向上させるためには、限られたリソースをどこに配分するかを戦略的に判断する必要があります。

 

ゼロトラスト・アプローチがもたらす全体的なセキュリティ文化は、目指すべき方向を示す良い指標です。その実現には、間違いなく多くの時間と労力を必要とします。しかし、セキュリティの向上は、ハッキングによる潜在的な事業損失に比べて、長期的にはずっと安上がりです。

 

この取り組みでは、シンプルなツールと基本的なセキュリティ対策が大きな役割を果たします。正しく設定されたVPN、多要素認証、自宅と仕事のネットワークやデバイスの分離、ファイル追跡記録などのロギング機能および監視機能の開発は、すべてネットワークの安全性向上に役立ちます。

 

防御の最前線と最後の砦の両方で、リモート・ワークフローの中で移動するユーザーは依然として、ポストプロダクション・セキュリティに最も大きな影響を及ぼす要素です。適切なツールとそれをサポートする知識があれば、サイバー・セキュリティに目を向けたポスプロのプロフェッショナルは、この新しいリモート志向の環境において、自身と他者を守ることができます。

関連情報もご覧ください


座談会:クラウドベースのポストプロダクション・ソリューションについて

この座談会では、早い時期からクラウドベース制作を導入した3名をお迎えし、経験と今後の展望について伺っています。

ブログを読む(日本語)

セットに入れるか、セットにしないか? エディターにとって、それは重要な質問です

オンまたはオフセットでの作業に関しては、ビデオエディターやその他の映画製作者は、さまざまな理由で柔軟性を必要としています。 今やテクノロジーは、この自由を提供しています。

ブログを読む(英語)

メディアストレージの「隠れたコスト」内訳

ポストプロダクション組織にとって、メディアストレージはビジネスの基盤であり、ポストハウスが強固な基盤を持っていることが重要です。

eBookをダウンロード(英語)

© 2021 Avid Technology, Inc. All rights reserved. Avid、Avidのロゴ、Avid Everywhere、iNEWS、Interplay、ISIS、AirSpeed、MediaCentral、Media Composer、Avid NEXIS、Pro Tools、Sibeliusは、米国とその他の国またはそのいずれかにおけるAvid Technology, Inc.またはその子会社の商標または登録商標です。「Interplay」の名称は、Interplay Entertainment Corp.の許可に基づいて使用しています。Interplay Entertainment Corp.は、Avid製品に関していかなる責務も負いません。その他の商標はすべて、各社が所有権を有します。製品の機能、仕様、システム要件および販売形態は予告なく変更されることがあります。

メディア・エンタープライズのクラウド導入

どのようなワークフローがクラウドに移行できますか?また、その方法は?早速見てみましょう。