放送設備に最大限のセキュリティを施すことは、どのような危機が発生しても事業を継続できるようにするための最も簡単な方法の一つです。COVID-19大流行の影響を強く受けたニュース制作の現場では、分散した従業員をサポートするリモートワークフローを保護すると同時に、入力、ユーザー、出力が増加するリソースをどのように保護すればよいでしょうか。

この18ヶ月間の影響により、放送局は日々変化する課題に取り組まなければならなくなりました。パンデミックの予測不可能性に加え、ランサムウェアやその他のサイバー攻撃の急増、放送局やデータセンターに対する気候関連の脅威などの懸念は、災害復旧計画と安全なインフラの必要性を浮き彫りにしています。

Avidは常に、リスクを最小限に抑え、さまざまな機能レベルでビジネスの継続性を確保することを念頭に置いて、災害復旧ソリューションを設計してきました。新たな脅威の一歩先を行くには、継続的なイノベーションが不可欠です。しかし、ニュース制作の分散化によりリモートアクセスが急増する中、データの安全性確保はチーム全体で取り組むべき課題です。つまり、セキュリティは全員の責任であり、継続的な監視と改善が必要なのです。

放送局にとって重要な8つのセキュリティ上の質問

ニュースは、その性質上、多くの社員やフリーランサーの貢献によって、速いペースで高度に反応する環境です。ユーザー（ユーザー作成コンテンツ）、IPカメラ、アプリ、エンコーダー、従来の衛星や光ファイバーなど、ニュースソースが増加する一方で、従業員が分散し、リソースを争う従業員デバイスの数が増えているため、セキュリティ上の課題が次々と発生しています。そのため、サーバーへのアクセスやコンテンツ交換に関連するようなセキュリティ・リスクに対して、放送業界の他の分野よりも脆弱な状態になっています。Avidのアーキテクチャ担当副社長であるShailendra Mathurは、最近のウェビナーで、セキュリティ・チームが自問自答すべき8つの質問を提示しました。

• 本番環境を侵入から確実に守るには？
• データを安全に交換・保管するには？
• データにアクセスできるユーザーを特定するには？
• 情報漏えいが発生した場合、根本的な原因を特定するにはどうすればよいのでしょうか？
• 管理者がセキュリティを一元管理するには？
• 自社ブランドを不正操作や偽造から守るには？
• アプリケーションのセキュリティを確保するには
• 情報セキュリティ担当者やクライアントの厳しいセキュリティ要件に合格するにはどうすればよいでしょうか？

責任の共有とゼロ・トラスト・モデル

これらの考慮事項のそれぞれの比重は、必然的に組織によって異なりますが、リモートアクセスのためのセキュリティのベストプラクティスは、普遍的に高い優先順位であるべきです。特に、リモート・ワーカーが組織のネットワークやアプリケーションにアクセスするために、長年、仮想プライベート・ネットワーク（VPN）に依存してきたことは、もはや目的に適わないという認識が一般的になってきています。米国の国立標準技術研究所（National Institute of Standards and Technology）も、リモートデバイス、内部ネットワーク、クラウドサービスの複雑な網目を保護するにはVPNでは不十分であると警告しています。

現代の放送局の基準から見ても、ニュース制作には多くの人材が関わっているのが普通です。プロデューサー、編集者、現場記者などが混在している場合、正しいログインをする人が誠実に行動していると仮定した境界セキュリティを使用するVPNモデルは、このタスクに適していません。また、帯域幅が変動するため、一部のユーザーにとってVPNが現実的な選択肢ではないことも指摘すべき点です。

したがって、報道機関がゼロ・トラスト・セキュリティ戦略を採用するようになってきているのは、驚くべきことではありません。その代わり、違法行為に対抗するために、できるだけ多くの変数を評価することが必要です。リスクを軽減するために、アクセスは役割や状況に応じて割り当てられます。例えば、プロデューサーは自宅のネットワークから資産管理システムにアクセスすることができますが、公共スペースからアクセスする場合はさらなる認証が必要になるということです。

このことを認識することは、完全に安全なZero Trustインフラストラクチャを実現するための長い道のりの第一歩となるかもしれません。例えば、Avidのポートフォリオである「MediaCentral」は、含まれるすべてのアプリとサービスに対して、ユーザーとグループのアクセス権を集中的に管理するセキュリティ・コントロールを提供します。Zero TrustはすべてのAPIとメッセージに認証を要求するため、サードパーティのIDプロバイダを統合することも可能です。

「MediaCentral」のプラットフォームでは、よりきめ細かいアクセス制御を行うことも可能です。このプラットフォームは複数のロールをサポートし、それぞれに制限を設けることができ、コンテンツベースのアクセスやリーガルリスト機能を提供します。つまり、シニア報道プロデューサーは、記者や編集者の特定の責任に基づいて、アプリケーションやリソースへのアクセスを制限することが非常に簡単にできるのです。

多くの場所でコンプライアンスへの期待が高まる中、この種の機能は、放送局がセキュリティ規制を満たし、報道チームを保護するための基盤作りに役立っています。

ゼロ・トラスト・セキュリティ・モデル構築のための5つのステップ

メディアのセキュリティは、万能なアプローチは決して適切ではない分野の一つです。報道機関の中には、より専門的になったり、特定の視聴者のプロファイルを重視したりするところもあるため、セキュリティ戦略もそのような独自のニーズに合わせて調整する必要があります。しかし、Avidの戦略的ソリューション担当リード・ソリューション・アーキテクトであるGurparkash Saini氏は、最近、あらゆる企業にとって有用な出発点となる、信頼ゼロのセキュリティのベストプラクティスを5つ定義しました。

• 1.技術的なアーキテクチャを調査する。
• 2.アイデンティティ・ポリシーを定義する。
• 3.良い行動を定義するための戦略を策定する。
• 4.体系的かつ反復的に再アーキテクチャを行う。
• 5.ネットワーク内の活動を積極的に監視する。

放送局が次の時代のニュース制作に備えるには、役割と責任の厳格な理解、継続的な改善への取り組み、優れた行動と優れたテクノロジーは両立しなければならないという認識、つまり安全でありながら限りなく流動的で柔軟なインフラストラクチャを実現する余地があるということが、業界では優先されるようになります。