IEEE 802.1AE MACsecに準拠したAxisネットワークカメラにより、ネットワークセキュリティとゼロトラストネットワークアーキテクチャーの統合の強化が実現

AXIS OS 11.8では、MACsec（EAP-TLS/ダイナミックCAKモードを使用）がデフォルトで有効化されています。これにより、AxisデバイスとMACsec対応イーサネットスイッチ間で転送されるデータの整合性が保護されます。 MACsecにより、データ通信とネットワークプロトコルが基礎レベルで保護されるため、DoS攻撃、侵入、中間者攻撃によるデータ挿入、盗聴といった下位レベルの攻撃の防御能力を大幅に強化することができます。  

AXIS OSのグローバルプロダクトマネージャーを担うアンドレ・バステルト（Andre Bastert）氏は、「顧客にとっては、セキュリティ機能がデフォルトで有効化されているという利点、また事前設定が必要ないというメリットがあります」とし、「これにより、設置の複雑性が軽減され、文字通り時間と費用を節約することができます。 こうしたセキュリティ機能は、顧客の時間を割くことなくゼロトラストセキュリティを実現できる良好な例となります。 OT（制御・運用技術）と IT（情報技術）の統合が進む中、ITプロフェッショナルはスマートIoT製品として、こうした標準的なセキュリティメカニズムを望んでいます。当社は、Axisネットワーク製品を安全かつゼロタッチでゼロトラストネットワークに統合できるようにすることを目指すAxisの長期戦略の一環として、このニーズを満たすことに取り組んでいます」と述べています。

IEEE 802.1AE MACsecの採用は、AxisによるIEEE 802.1AR Secure Device Identity（DevID）規格の実装およびIEEE 802.1X EAP-TLS ネットワークアクセスコントロールを基盤として構築されています。 Axisデバイスはデフォルトで3つのIEEE規格に準拠しているため、デバイスのオンボーディング、認証、エンドツーエンドの暗号化の自動化が可能となります。これにより、ITプロフェッショナルは標準メカニズムを用いて、Axisデバイスを企業ネットワークに効率的かつ安全に統合することができます。  

MACsecにより、MACsec対応デバイスとスイッチ間における暗号化キーの交換と検証が可能になります。 各イーサネットフレームのデータがAES-GCM 128ビットでリアルタイムに暗号化および復号化されるため、高速かつ安全なデータ転送が実現します。 AXIS OS 11.8では、デフォルトで有効化されている自動的な動的CAK（EAP-TLS）および手動構成に用いられる静的CAK（事前共有キー）という2つの標準IEEE 802.1AEセキュリティモードがサポートされています。

IEEE 802.1X EAP-TLSポートベースのネットワークアクセスコントロールとAxisデバイスのIEEE 802.1ARのサポートの組み合わせにより、Axisデバイスの安全なオンボーディングが実現します。IEEE 802.1ARは、サイバーセキュリティプラットフォーム Axis Edge Vault の一部です。これにより、IEEE 802.1Xネットワークにおける自動認証が可能となります。Axisは製品製造時に、Axis IoT製品に組み込まれている耐タンパー性のハードウェア暗号コンピューティングモジュールに、IEEE 802.1AR準拠の固有の初期デバイス識別子（IDevID）を組み込んでいます。これにより、IDevIDが不正な探査から保護されます。

IEEE規格に準拠したネットワークなら、シームレスなオンボーディングが実現します。一例として、HPE Aruba Networking のClearPass Policy Managerが挙げられます。これについては、インテグレーションガイドが提供されています。