セキュリティカメラはCRAの「重要製品」に該当するか
要約
物理的セキュリティ用途で販売される接続型スマートホームカメラは、計画上の前提として重要製品クラスIとして扱うべきです。同じカメラハードウェアが別の用途(ビデオ通話、業務用CCTV、録画インフラ、アクセス制御、または別のセキュリティ製品)として販売される場合、クラスは変わり得ます。
最初に作成すべき記録は、正確なカメラバリアントについての分類および境界メモです。メモには、想定セキュリティ機能、販売文脈、供給されるデジタル要素、サポート期間、ルート選定の根拠を明示します。
サポート期間記録は、カメラの予想使用期間、合理的なユーザー期待、製品の性質、用途、関連コンポーネントのサポートから策定します。CRAの下限は最低5年ですが、製品が5年未満の使用を想定する場合はその限りではなく、終了日(少なくとも年月)は購入時点で明確に表示する必要があります。
カメラリリースをどう分類するか
カメラの筐体ではなく、提供形態から始めます。ルートは販売主張、買い手が依拠する機能、およびそのリリースとともに供給されるデジタル要素によって決まります。
ビデオ通話、会議、または一般的なコミュニケーション用途で販売されるもの。
通信用周辺機器であり、家庭内セキュリティ監視ではありません。
デバイスファームウェア、ドライバー、または会議アプリ統合。供給される監視クラウドやアラームワークフローはありません。
家庭監視、ベビーモニタリング、ドアベルセキュリティ、またはアラーム連携用途で販売されるもの。
買い手が依拠するのは家庭内セキュリティまたは監視機能です。
当該機能のために供給される範囲のファームウェア、ローカルストレージ、アプリ、メーカークラウド、アップデートサービス、脆弱性ハンドリング。
業務用監視、録画インフラ、または別のセキュリティ製品の一部として販売されるもの。
レコーダー、VMS、ファイアウォール、VPN、アクセス制御、生体認証、またはアイデンティティ機能が実際の製品となり得ます。
カメラに加えてレコーダー、管理サーバー、施工業者向けクラウド、アクセス制御サービス、またはセキュリティアプライアンス。
この図はルート選択の補助であり、最終的な分類記録ではありません。書面の記録には、依然として正確な主張、用途、出荷境界を記載する必要があります。スマートホームカメラの場合、鍵となる用語はセキュリティ機能を持つスマートホーム製品です。家庭監視、侵入監視、ベビーモニタリング、またはアラーム連携用途で販売されるカメラはそのカテゴリーに属します。汎用ウェブカメラは通常該当しません。
次に、別のリスト掲載機能が実質を担っていないかを確認します。重要製品の分類は製品の中核機能に従うものであり、たまたま中に含まれているパーツに従うものではありません。セキュリティ関連のコンポーネントを組み込んでいるという事実だけで、提供全体が重要ルートに移ることはありません。レンズを含むに過ぎないファイアウォール、VPNゲートウェイ、アクセス制御リーダー、生体認証デバイス、アイデンティティ管理システム、または特権アクセス管理製品として実際に販売されているのであれば、その中核機能をまず分類してください。
業務用監視の場合、スマートホームカテゴリーに無理に当てはめないでください。業務用CCTVカメラ、VMS、またはNVRも、CRAの下でデジタル要素を含む製品となり得、セキュリティ要件、サポート期間計画、脆弱性ハンドリング、技術文書を必要とします。クラスは用途、出荷境界、中核機能に依存します。
分類メモは、次の4つの問いに答えるべきです。
- カメラは家庭内セキュリティ、ベビーモニタリング、ドアベルセキュリティ、またはアラーム連携用途で販売されているか。
- カメラが製品の中核機能か、それともファイアウォール、VPN、アクセス制御、生体認証、またはアイデンティティ機能が実質を担っているか。
- 想定機能のためにどのデジタル要素が供給されるか。ファームウェア、ローカルストレージ、アプリ、メーカークラウド、アップデートサービス、脆弱性ハンドリング。
- メーカーの提供範囲外にあるシステムはどれか。顧客のルーター、サードパーティのレコーダー、施工業者ネットワーク、外部のアイデンティティプロバイダー、または監視センター。
製品境界と出荷要素
カメラメーカーにとって、コンプライアンス境界がプラスチック筐体に限定されることはまずありません。境界は、上市された製品と、想定セキュリティ機能のために必要なデジタル要素に従って引きます。
カメラメーカーの境界に標準で含まれるもの:デバイスファームウェアとその上で動作する全サービス、ネットワークインターフェーススタック、オンデバイスストレージ、買い手にインストールを案内するコンパニオンアプリ、製品の文書化された機能を供給するメーカーホスト型クラウド、OTAアップデートインフラ、およびその背後にある脆弱性ハンドリングプロセス。
メーカーが実際にそのレイヤーを販売しない限り、境界の外となるもの:買い手の家庭用ルーター、顧客が選択したサードパーティのVMSまたはNVR、施工業者の現場ネットワーク、SSO用の外部アイデンティティプロバイダー、別契約下にある業務用監視センター。
これらが他メーカー製の場合は不要です。カメラメーカーがレコーダー、VMS、アイデンティティサービス、クラウドブリッジを自社の提供の一部として販売する場合、それぞれが固有の製品ファイルを持つ別個のCRA製品となり得ます。
サイバーセキュリティリスクファイル · コンポーネント目録 · 脆弱性ハンドリングプロセス · 開示ポリシー · セキュアアップデート機構
公表された単一連絡窓口、セキュアデフォルトのテスト証拠、署名付きアップデート検証、サポート期間の根拠を含めます。
コンポーネントデューデリジェンス記録 · サプライヤー適合性主張 · ベンダーセキュリティアドバイザリー
チップ選定の責任はカメラメーカーが負います。チップ、モジュール、またはセキュアエレメントそのものがCRA製品である場合、サプライヤーの適合性主張およびアドバイザリーは、メーカーのデューデリジェンスを置き換えるものではなく、補強するものです。
コンポーネント目録は新規脆弱性に対して監視され、脆弱性プロセスは発見をトリアージし、無償セキュリティアップデートは可能な限り自動でアドバイザリーとともに修正を配信します。
積極的に悪用されているカメラの脆弱性は時間制限を発生させます。24時間以内に早期警告、72時間以内に脆弱性通知、是正措置または緩和措置が利用可能になってから14日以内に最終的な脆弱性報告を行います。重大なセキュリティインシデントは、同じ24時間および72時間のステップと、インシデント通知から1か月以内の最終インシデント報告を含む別の時間制限で動きます。
影響を受けるカメラを稼働させている家庭にもメーカーから連絡が届きます。メーカーは、影響を受けたオーナーと、必要に応じてより広い顧客基盤に対し、何が問題で、どのような対応を取れるかを伝えます。強制ファームウェアアップデート、アプリのアップグレード、パスワードリセット、オプションサービスの停止、転売前の工場出荷時リセットなどです。
カメラアーキテクチャのチェックポイント
カメラリリースファイルは、汎用IoTチェックリストではなく、実際のビデオ製品に従います。バッテリー駆動Wi-Fiカメラ、PoEドームカメラ、セルラー屋外カメラ、NVRと一緒に販売されるカメラは、クラスの議論を共有できますが、必要となるエンジニアリング記録は異なります。
この図は、必要な導入パターンではなく、リリースファイルマップとして読みます。メーカーは依然として、自社のカメラ、アプリ、クラウドサービス、アップデート経路、サポートモデルについて、正確なバリアント境界を書面化する必要があります。
- ビデオおよび制御経路。 ビデオを閲覧、保存、エクスポート、制御できるすべての経路を特定します。ローカルストリーム、Web UI、アプリセッション、クラウドリレー、共有リンク、サポートエクスポート、NVRまたはVMS互換性主張です。
- ローカル露出。 セットアップ後とアップデート後にカメラをスキャンします。到達可能なサービス、認証を必要とするサービス、無効のまま残るストリームまたは管理経路を示します。
- 顧客側システム。 ルーター、施工業者ネットワーク、サードパーティレコーダー、外部アイデンティティプロバイダー、監視センターは、メーカーがそのレイヤーを提供の一部として供給しない限り、カメラメーカーの製品の外として扱います。
- メーカーが供給するバックエンド。 アカウントサービス、署名パイプライン、イベントまたは通知サービス、サポートポータル、有料機能フラグサービス、クラウドML経路を判別します。
- アップデート権限。 アップデート権限は双方向の交換として扱います。カメラはアップデートメタデータを確認または受信し、アップデートサービスは正確なバリアント向けの署名付きファームウェアまたはアプリパッケージを返します。署名付きアップデート、リカバリースロット、ダウングレード拒否、ユーザー通知の記録はリリースとともに保管します。
- サプライヤー入力。 SoC、Wi-Fiモジュール、メディアスタック、AIモデル、P2P SDK、ブートローダーに、担当者、バージョン、アドバイザリー監視、リリース判断を割り当てます。
- 市販後ループ。 脆弱性報告、重大インシデント、サプライヤーアドバイザリー、現場故障は、脅威モデル、残存リスク記録、技術ファイル、次回リリースゲートを更新すべきです。
カメラリスクアセスメント実例
本節以降は、コピーすべきチェックリストではなく、ひとつのカメラ実例として読みます。意図は、ひとつの具体的バリアントについて、カメラメーカーが弁明できるべき判断の深さを示すことです。チップセットとモジュールの選定、ファームウェアビルド、クラウドリレー、OTAチャネル、実際に監視するサプライヤーアドバイザリー、契約した販売チャネル、コミットしたサポートウィンドウなどです。
どの製品を評価するか
実在の機器ではなく例示用の製品です。ExampleCo IndoorCam X1、EU内で家庭セキュリティ監視向けに販売される屋内スマートホームカメラ。1080pの映像と音声を録画し、microSDカードにクリップを保存し、モバイルアプリを通じてオーナーへライブ映像をストリーミングし、セットアップ時にローカルWeb管理インターフェースを提示し、初回設定でBLEを使い、Wi-Fi接続で、メーカーから署名付きファームウェアアップデートを受け取ります。
この例の製品境界には、カメラハードウェア、組込みファームウェア、microSD録画、モバイルアプリのペアリングフロー、メーカークラウドリレー、アカウントサービス、OTAアップデートサービス、セキュリティアドバイザリープロセス、脆弱性報告窓口が含まれます。顧客のルーター、サードパーティのVMS/NVR、ホームオートメーションプラットフォーム、業務用監視センターは含まれません。
製品は、屋内家庭環境にいる非技術者である家庭ユーザーを対象とします。業務用CCTV、公共空間監視、アクセス制御、生体認証、アイデンティティ検証、職場監視、または重要インフラのセキュリティ運用は対象外です。
脅威表を書く前に、リスクアセスメントを通常駆動するカメラの3つの経路(映像のカストディ、デバイスアイデンティティ、セットアップ後の露出)をテストします。これらの図は、ワークドエグザンプルを汎用脅威リストではなくエンジニアリング上の問いに変換します。
映像カストディの詳細:ソースは、カメラセンサー、マイク、エンコーダーで、画像チューニングブロブ、音声経路、プライバシーマスク、AI検出入力、ストリームプロファイルがファームウェアビルドに紐づきます。ローカル閲覧経路にはONVIF、RTSP、Webプレビュー、またはブラウザが含まれ、認証および露出スキャンで検証します。リモート閲覧経路にはクラウドリレー、P2P SDK、またはオーナーアプリが含まれ、トークンスコープおよびリレーテストで検証します。ローカルメディア経路にはmicroSDクリップとリムーバブルストレージが含まれ、リセットおよびカード取り外しテストで検証します。サポート経路にはサポートバンドルと診断エクスポートが含まれ、リダクションチェックリストで検証します。
リセット、バインド解除、RMAワイプの各テストは、転売、リファービッシュメント、サポート引き継ぎの前に、どの映像、トークン、アカウントリンクが削除されるかを証明します。
オーナーシップは映像カストディとは別のチェックです。カメラがストリームを保護していても、譲渡後に旧オーナー、共有ユーザー、または復旧された電話がアクセスを保持し続ければ失敗となります。
アイデンティティライフサイクルの詳細:プロビジョニングではカメラ鍵または証明書を作成し、ハードウェアアイデンティティを記録し、製造デバッグアクセスをロックします。オーナーセットアップでは、検証済みアカウントと、単回使用かつ短期有効のQR、BLE、またはアプリ請求トークンを使用し、カメラがバインドされた後に初回使用ウィンドウを閉じます。通常運用では、パスワードリセット、アカウントリカバリー、紛失した電話のリカバリー、ファミリー共有、ゲスト閲覧者、ブラウザセッションについて同じ失効モデルを使用します。オーナー譲渡には認可されたバインド解除経路が必要であり、旧アカウントを削除し、共有ユーザーを失効させ、アクティブセッションを終了してから、カメラが再度請求可能になります。工場出荷時リセット、RMA、リファービッシュメントは、製品設計に従って、アカウントリンク、認証情報、クリップ、診断を削除します。RMAハンドリングは盗品ロンダリング経路となってはなりません。
悪用テスト:セットアップトークンは失効し、単回使用であり、オーナー請求後に近傍の攻撃者が再利用できないこと。旧電話、ゲストユーザー、またはブラウザセッションがリカバリー後にライブまたは録画アクセスを保持できないこと。ローカルリセットがクラウドバインディング、アカウントトークン、クリップを残さないこと。
オーナーシップをテストしたら、ネットワーク、アプリ、リムーバブルメディア、サポートワークフローからまだ到達可能なものを確認します。これにより、露出レビューは、汎用ポートスキャン結果ではなく、実際の出荷挙動と紐づけられます。
アクセスサーフェスの詳細:ローカルLANサービスにはRTSP、ONVIF、Web UI、検出エンドポイントが含まれ、リリース記録は露出スキャンです。リモート閲覧にはクラウドリレー、共有、デバイスアイデンティティが含まれ、リリース記録はクラウドトークンスコープテストです。リムーバブルメディアにはmicroSDクリップ、リセット挙動、ストレージ判断が含まれ、リリース記録はmicroSDリセット結果です。サポート診断にはログ、クラッシュダンプ、サポートモードが含まれ、リリース記録はサポートモード監査サンプルです。
保護すべきアセットは何か
カメラは、同じ筐体の中で全く異なるものを守ります。子ども部屋を録画したクリップ、レンズをパン操作できるオーナーアカウント、今年出荷されたすべてのデバイスを制御するファームウェア署名鍵は、いずれも一つの製品の背後に存在します。コントロールセット、テスト証拠、リリース記録はこれらの間で大きく異なるため、まず別個のアセットとして列挙します。
| アセット | なぜ重要か | どこに存在するか |
|---|---|---|
| ライブおよび録画の映像・音声 | プライベートな部屋、日課、訪問者、子ども、ペット、会話を露出する | センサー、RAM、エンコーダー、microSD、ストリームバッファ、クラウドリレー |
| オーナーアカウントおよびリカバリー要素 | 乗っ取りはリモート閲覧、デバイスリセット、共有変更を可能にする | モバイルアプリ、アイデンティティサービス、メール・SMSリカバリー経路 |
| デバイス・クラウド間認証情報 | 永続的信頼トークン。配備された機器群全体でローテーションが困難 | セキュアエレメントまたは保護されたストレージ、アカウントバインディングサービス |
| ファームウェア署名のトラストアンカー | 破られると、アップデートチャネルがマルウェアチャネルになり得る | ブートチェーン、キーストア、署名サービス、リリースパイプライン |
| ローカルネットワーク上の位置 | カメラは家庭LAN内に存在し、ローカルピアを観察できる | Wi-Fiインターフェース、DHCPリース、mDNS/SSDPビュー |
| 診断およびサポートバンドル | シリアル番号、アカウントID、ネットワーク名、クラッシュトレースを漏洩し得る | デバイスログ、サポートポータル、社内サポートツール |
| ユーザー指示およびサポート期日 | 安全なセットアップ、アップデート期待、サポート終了時の取り扱いを左右する | パッケージ、Webマニュアル、アプリUI、製品リスティング |
主要な信頼境界はどこか
カメラは同時に5つの場所に存在します。デバイスそのもの、室内の誰もが取り外せるmicroSDカード、電話や未知のIoTピアと共有する家庭ネットワーク、現場のすべてのカメラに触れるメーカーバックエンド、ライブセッションを保持するオーナーの電話やブラウザです。それぞれが攻撃機会を変え、異なるコントロール面を要求するため、互いに接続していても、信頼境界モデルではこれらを個別に列挙します。
| 環境 | 想定される保護 | 可能性が変わる理由 |
|---|---|---|
| カメラ内部 | 物理アクセスは制限されるが、修理、盗難、転売、デバッグパッドは存在する | リモートの可能性は低いが、鍵が抽出可能であれば影響は大きい |
| microSD・ローカルメディア | 室内アクセスを持つ者は誰でもカードを取り外したり複製したりし得る | 来客、清掃員、賃借人、転売のある家庭ではローカルアクセスは現実的 |
| 家庭ネットワーク | ノートPC、電話、テレビ、プリンター、未知のIoTデバイスと共有される | 侵害されたピアがローカル管理、検出、ストリームサービスを攻撃し得る |
| メーカーバックエンド | インターネット接続され、配備されたデバイス群全体で共有される | バックエンドの誤りは、1家庭から多数の家庭にスケールする |
| オーナー端末 | 電話とブラウザはフィッシング、マルウェア、アカウント再利用に晒される | アカウント侵害はしばしばデバイス防御をバイパスする |
最初に評価すべき脅威は
この例では16の製品固有の脅威から始めます。網羅性を狙うのではなく、メーカーが弁明できるべきトレーサビリティのレベルを示すことが目的です。
| ID | 脅威シナリオ | リスクにさらされるアセット | 侵入点 |
|---|---|---|---|
| T1 | 共有または予測可能な初回使用シークレットによって、オーナーがセットアップを終える前に攻撃者がカメラを請求し得る | オーナーアカウント、映像ストリーム | BLEオンボーディング / ローカルセットアップ |
| T2 | ローカルWeb管理インターフェースが脆弱な認証情報を受け入れる、またはセットアップ後も開いたまま残る | 設定、ストリームアクセス | 家庭ネットワーク |
| T3 | 盗難されたモバイルアプリトークンがパスワードリセット後も有効であり続け、カメラ映像を開き続ける | オーナーアカウント、ライブ映像・音声 | オーナー端末 / クラウドリレー |
| T4 | P2Pフォールバック、STUN/TURN/ICEハンドリング、UPnP、またはホールパンチングが、リレー経路が失敗または遮断された際にカメラを直接露出する | ファームウェアサービス、ストリームアクセス | インターネット隣接のリレー経路 |
| T5 | ONVIF/RTSPがLAN上で脆弱な認証または検出可能なストリームURLで応答する | ライブ映像・音声 | 家庭ネットワーク |
| T6 | リカバリースロットが未署名、古い、またはダウングレードされたファームウェアイメージを受け入れる | ファームウェア完全性、署名トラストアンカー | OTA / リカバリー経路 |
| T7 | UART/JTAGパッドが盗難、修理、転売時にブート時アクセスを許す | デバイスシークレット、ファームウェア、ログ | 物理デバッグアクセス |
| T8 | カード取り外し後、またはカメラ転売後にmicroSDクリップが読み取り可能 | 録画映像・音声 | ローカルメディア |
| T9 | BLEオンボーディングが近傍の攻撃者にWi-Fi認証情報またはデバイスペアリングシークレットを露出する | Wi-Fi認証情報、オーナーアカウント | BLEセットアップウィンドウ |
| T10 | サポートバンドルがシリアル、アカウント、SSID、トークンフラグメント、または非公開クラッシュトレースを含む | 診断データ、アカウント関連性 | サポートアップロード |
| T11 | Wi-Fiモジュールまたはメディアスタックのサプライヤー脆弱性がサポート期間中に検出されない | ファームウェア、可用性、ストリーム機密性 | サプライヤーアドバイザリーのギャップ |
| T12 | RMAまたは転売時のリセットが、アカウントバインディング、クリップ、デバイス認証情報のワイプに失敗する | オーナーアカウント、録画メディア、デバイス・クラウド間認証情報 | 返却経路 |
| T13 | 検出サービスがモデル、ファームウェア、シリアル、ストリームメタデータをLAN上のすべてのデバイスに公開する | デバイスフィンガープリント、ストリーム露出 | ONVIF / WS-Discovery / mDNS |
| T14 | RTSPストリーマーがWeb UIと異なる方法で保護され、管理硬化後もライブストリームが到達可能のまま残る | ライブ映像・音声 | ローカルストリームサービス |
| T15 | サードパーティのP2PまたはメディアSDKの欠陥が、デバイスUID予測または列挙、デバイスなりすまし、またはストリームセッション侵害を可能にする | ライブ映像・音声、デバイス認証情報 | クラウドリレー / SDK |
| T16 | カメラファームウェアが、SBOM監視プロセスにないサプライヤーのISP、Wi-Fi、またはAIブロブを使用する | ファームウェア完全性、脆弱性ハンドリング | サプライヤーファームウェア |
初期リスクをどう順位付けするか
コントロールを選択する前に、シンプルな内部ルーブリックを使用します。この例では、可能性は露出と攻撃者の機会に基づき、影響はプライバシー被害、機器群の規模、永続性、脅威がセキュリティ機構を侵害するかどうかに基づきます。正確なラベルよりも、各判断の横に記載される根拠の方が重要です。
すべてのカメラリスクが同じ判断を受けないよう、リリースゲートの段階を使用します。
| ゲート判断 | このカメラリリースにとっての意味 |
|---|---|
| リリース阻止 | 不合格テストが合格するまでカメラは出荷されません。ペアリング、ストリーム認証、署名付きアップデート検証、RMAワイプ、またはセットアップ後のサービス露出スキャンなど、脅威に応じて該当します。 |
| 文書化なしには阻止 | 補償的コントロール、バリアント固有の制限、または施工業者モード上の根拠が書面化、レビュー、カメラリリースファイルに固定された場合に限り、リリースを進められます。 |
| 監視付きで出荷 | カメラは出荷しますが、リリースファイルにはアクティブな監視シグナル(サプライヤーのCVEフィード、P2P SDKのアドバイザリー、悪用テレメトリ)と、サポート期間中にそれを所有するエンジニアを明記します。 |
| ガイダンスに移行 | 露出が、家庭ネットワーク、オーナー電話、カメラメーカーの提供範囲外のサードパーティレコーダーに依存する場合、ファイルは顧客側を制御しようとするのではなく、施工業者またはユーザー向けガイダンスを保持します。 |
| 受容 | 一部のカメラサーフェス(文書化された検出応答、LANメタデータ)には固有の残存リスクがあるため、ファイルは最小化の証拠と、残るリスクを受容する根拠を記録します。 |
| ID | 可能性 | 影響 | ゲート判断 | 理由 |
|---|---|---|---|---|
| T1 | 中 | 高 | リリース阻止 | 初回使用時の乗っ取りは現実的であり、所有権を損なう |
| T2 | 高 | 中 | リリース阻止 | 家庭LANには信頼されないピアと使い回しパスワードが存在する |
| T3 | 中 | 高 | リリース阻止 | アカウントトークン盗難はカメラに触れずにリモート閲覧を可能にする |
| T4 | 低 | 高 | 文書化なしには阻止 | 稀な経路だが直接露出はスケールし得る。出荷製品には文書化されたリレーおよびNAT越え判断が必要 |
| T5 | 中 | 高 | リリース阻止 | ローカルストリーム露出は直接的なプライバシー失敗 |
| T6 | 低 | 高 | リリース阻止 | アップデート侵害は永続的かつ機器群全体に及ぶ |
| T7 | 中 | 中 | 文書化なしには阻止 | 物理デバッグは盗難、修理、転売時に現実的。リリースにはデバッグロックまたはサービス上の根拠が必要 |
| T8 | 高 | 中 | 文書化なしには阻止 | ローカルでのカード取り外しは一般的。クリップを保護するか、リムーバブルメディアの制限を明確に文書化する |
| T9 | 中 | 高 | リリース阻止 | オンボーディングは短期間だが、家庭ネットワーク認証情報を露出する |
| T10 | 中 | 中 | 文書化なしには阻止 | サポートデータの漏洩は気づきにくい。サポートエクスポートは最小化、リダクション、または明示的に無効化する必要がある |
| T11 | 中 | 高 | 監視付きで出荷 | サポート期間中にサプライヤーCVEは想定される。リリースには担当者とアドバイザリー監視が必要 |
| T12 | 中 | 高 | リリース阻止 | 返却および転売経路は消費者デバイスでは予見可能 |
| T13 | 中 | 中 | 受容 | 一部のLANメタデータは文書化された検出プロトコルに固有。残存リスクは、露出最小化と、対応する場合の任意検出向けユーザーガイダンスを前提に受容される |
| T14 | 中 | 高 | リリース阻止 | ストリーム認証は文書化されたアクセスモデルより弱くてはならない |
| T15 | 低 | 高 | 監視付きで出荷 | SDKまたはリレーの弱点は多くのデバイスに影響し得る。リリースにはバージョン担当者と悪用監視が必要 |
| T16 | 中 | 高 | 文書化なしには阻止 | クローズドまたはサプライヤー保守のブロブには、リリース担当者、アドバイザリーチャネル、アップデート経路、または書面の残存リスク判断が必要 |
どの設計管理策がリスクを変えるか
各管理策行を、汎用のセキュア開発チェックリストではなく、具体的なカメラテストと紐づけます。リリースファイルは、脅威IDから、出荷カメラビルド上で管理策が動作していることを証明する正確なペアリングテスト、ストリーム認証スキャン、署名付きアップデート検証ログ、セットアップ後サービス目録、またはRMAワイプ記録を指し示せるべきです。
| 脅威 | 設計管理策 | メーカーが保持すべき証拠 |
|---|---|---|
| T1, T2 | デバイスごとのセットアップシークレット、強制オーナー登録、共有デフォルトパスワードなし、登録後にセットアップインターフェースをクローズ | セットアップテストログ、認証情報ポリシー、認証なし管理アクセスの陰性テスト |
| T3 | 短期有効のアプリトークン、デバイス紐づけセッション、パスワードリセット時のサーバー側失効、ログイン異常監視 | トークン有効期間ポリシー、失効テスト、アカウントリカバリー悪用テスト |
| T4, T5 | 標準でUPnPを無効化、認証付きリレー、認証付きONVIF/RTSP、セットアップ後のサービス目録 | ネットワーク露出スキャン、ストリーム認証テスト、リレー設定レビュー |
| T6 | セキュアブート、署名付きOTA、単調増加バージョンカウンタ、リカバリースロット署名検証、ロールバックポリシー | ブートチェーン証拠、アップデート検証テスト、ダウングレード拒否テスト |
| T7 | デバッグ用の製造ヒューズ、封印または文書化されたデバッグパッド、読み取り可能なUART出力にシークレットなし | ハードウェア製造チェックリスト、デバッグロック検証、分解時リスクメモ |
| T8 | カメラバリアントが対応する場合は暗号化microSD録画(対応モデルにおけるEufy、TP-Link Tapoなど)、工場出荷時リセットでのセキュア消去、暗号化なしで録画するバリアントについては、マニュアルおよびアプリ内に印字された明確なユーザー警告 | ストレージ設計メモ、リセットテスト、ユーザー指示スクリーンショット、アプリ内警告キャプチャ |
| T9 | 認証付きBLEペアリング、短期間のペアリングウィンドウ、Wi-Fiシークレットの平文送信なし、ペアリングのレート制限 | ペアリングプロトコルレビュー、RFテスト、失敗モードテスト |
| T10 | サポートバンドルの最小化、トークンのリダクション、アップロード前のユーザー同意、保持期限 | サポートスキーマ、リダクションテスト、サポートワークフロー証拠 |
| T11 | SBOM監視、ベンダーアドバイザリー監視、影響を受けるコンポーネントのトリアージ、署名付きアップデートのリリースプロセス | SBOM差分ログ、サプライヤーアドバイザリー記録、トリアージ判断 |
| T12 | RMAワイプワークフロー、クラウドバインド解除、リセット時の認証情報ローテーション、リファービッシュメントデバイスチェックリスト | 返却ラインチェックリスト、リセット証拠、クラウドバインド解除監査 |
| T13, T14 | セットアップ後のサービス目録、認証付きストリームURL、検出応答の最小化、プロファイル・バージョンテスト証拠 | 露出スキャン、ONVIF/RTSP認証テスト、検出応答監査 |
| T15 | P2P SDK目録、セッショントークンスコープ、デバイスUIDエントロピー、SDKアドバイザリー監視、なりすましおよび悪用ケーステスト | SDKバージョン記録、UID列挙テスト、デバイスなりすましテスト |
| T16 | ISP、Wi-Fi、エンコーダー、AIコンポーネントについてのサプライヤーファームウェア目録、コンポーネント担当者、アップデート経路 | サプライヤー部品表、アドバイザリー監視記録、リリース判断ログ |
管理策後に残る残存リスクは
コントロールがファイルを閉じるわけではありません。カメラが出荷された後も、メーカーは積極的に管理するリスクを運用し続けます。ファームウェアアップデートチャネル、オーナーアカウント乗っ取り経路、サポート期間中にWi-Fiスタック、メディアライブラリ、P2P SDKで継続的に表面化するサプライヤーCVEのロングテールです。残存リスク記録は、メーカーがそれらのシグナルのライブ監視、新規アドバイザリーのトリアージ判断、配備済みカメラに実際に到達した署名付きアップデート、配信されたオーナー通知、各々の背後にある記録された是正措置を指し示せるときに初めて信頼に足るものとなります。
| 残存領域 | 残る理由 | 運用上の証拠 |
|---|---|---|
| 侵害されたオーナー端末 | メーカーはユーザーの電話、ブラウザ、メール、パスワード衛生を完全には制御できない | MFAサポート、トークン失効、不審ログインのアラート、ユーザーガイダンス |
| リリース後に発見されるサプライヤー脆弱性 | メディアライブラリ、Wi-Fiファームウェア、カーネル、TLSライブラリは今後もCVEを受け続ける | SBOM監視、サプライヤーアドバイザリー受領、影響分析、パッチ記録 |
| ローカル物理アクセス | 家庭にあるカメラは盗難、転売、修理、来客アクセスに晒され得る | リセットワークフロー、デバッグロック証拠、ストレージ警告、RMAワイプ記録 |
| ネットワーク露出のドリフト | ファームウェアアップデート、リレー変更、機能フラグはサービスを再開させ得る | リリースごとの露出スキャン、サービス目録、変更承認 |
リリースゲートはリスクレジスタそのものです。同じ作業を再記述する「セキュリティレビュー済み」カードを別に追加してはいけません。承認時には、リリース担当者が、阻止または条件付きの脅威から、クロージング証拠(T1/T2/T5/T14のペアリングおよびストリームテスト、T3のトークン失効、T6の署名付きアップデートテスト、T8のストレージ・リセット証拠、T12のRMAワイプ証拠、T11/T16のサプライヤー監視)を指し示せるべきです。
コンセプトからサポートまでのカメラ開発オーナーシップ
リード担当は、カメラが製品定義からライブサポートに進むにつれて移動します。この引き渡しを使用して、製品が変わる間、各段階で1人のリード、1つの維持される記録、1つのレビューゲートを割り当てます。
オーナーシップ詳細:製品とセキュリティはコンセプトでバリアント境界メモを所有します。製品セキュリティはファームウェアおよびクラウドとともに、アーキテクチャで信頼境界マップ、脅威レジスタ、ゲートラダーを所有します。ファームウェア、クラウド、アプリ、サプライヤー担当者は、実装中に署名付きアップデートルール、トークンおよびセッション管理、コンポーネントマニフェスト、サプライヤーアドバイザリーフィード、機能フラグ判断を維持します。QAは製品セキュリティとともに、検証中に露出スキャン、ストリーム認証テスト、映像カストディテスト、リセットまたはRMAワイプドリル、残存リスク判断を維持します。コンプライアンスとリリース担当者は、リリースパック、技術ファイル目次、指示、サポート期間表明、署名付き宣言、輸入業者パック、報告体制を維持します。PSIRT、サポート、エンジニアリングは、リリース後に受付、サプライヤーアドバイザリートリアージ、ユーザー通知、署名付き修正、エンドポイント廃止、回帰テスト、是正措置記録を維持します。
引き渡し詳細:アーキテクチャ作業の前に境界を凍結し、実装の前に設計意図を凍結し、検証の前に候補を凍結し、リリースの前に判断を凍結し、サポート期間中はリリースを稼働させ続けます。受領した報告、サプライヤーアドバイザリー、インシデント結果、回帰結果は、次の境界メモ、脅威レジスタ、コンポーネントマニフェストを再開させます。
メーカー証拠マップ
レビューアまたは認証機関のアセッサーは、カメラの技術ファイルを、ラベル付き製品から始まり、供給されるデジタル要素を経て、買い手に約束されたサポート証拠に至る、施工業者が箱を確認するのと同じ順序で読みます。下の各行は、カメラメーカーがそのウォークスルーのために最新状態に保つ記録を示します。各行は、承認前にプルされたサンプリングのスクリーンショットではなく、製品フォルダー内の維持されるファイルであるべきです。
| 証拠領域 | セキュリティカメラで記録すべき内容 |
|---|---|
| 製品アイデンティティ | モデル、ファームウェアバージョン、コンパニオンアプリ、クラウドサービス、ハードウェアリビジョン |
| 用途 | 製品が家庭セキュリティ、ベビーモニタリング、ドアベルセキュリティ、または業務用監視のいずれで販売されるか |
| リスクアセスメント | カメラアクセス、映像機密性、認証情報セットアップ、ローカルネットワーク露出、クラウドAPI露出 |
| SBOMおよびハードウェアコンポーネント証拠 | ファームウェアパッケージ、組込みLinux/RTOSコンポーネント、画像処理ライブラリ、Wi-Fi/イーサネットモジュールファームウェア、SoC、存在する場合はセキュアエレメント |
| セキュアデフォルト | 共有デフォルトパスワードなし、セキュアな初回使用セットアップ、認証付き管理アクセス、保護されたリモートアクセス |
| アップデート機構 | 署名付きファームウェアアップデート、ロールバック戦略、サポート期間中のアップデート可用性 |
| 脆弱性ハンドリング | CVDポリシー、報告窓口、トリアージワークフロー、セキュリティアドバイザリープロセス |
| ユーザー指示 | セキュアなインストール、アカウントセットアップ、アップデート設定、サポート終了の開示 |
| トレーサビリティおよび連絡先 | カメラのモデル・シリアル体系、バッチ識別子、パッケージ表記、EUのメーカーまたは輸入業者の連絡先、購入前に買い手が読める場所に表記されたサポート期間終了日、人間のセキュリティチームが応答する公表された脆弱性報告アドレス |
適合性評価ルート
適合性ルートは、カメラ境界、リスクアセスメント、管理策、残存リスクが明確になってから選択します。さもないと、ルート判断がエンジニアリング記録を追い越してしまいます。
重要製品クラスIだからといって、すべての場合に自動的に認証機関が必要となるわけではありません。内部管理ルートは、適用される要件について必要な規格、共通仕様、またはスキームが完全に適用される場合に限り利用可能です。
少なくとも「相当(substantial)」以上の保証レベルの関連整合規格、共通仕様、またはEU認証スキームが存在し、適用される必須要件をカバーしているかを確認します。存在しない、部分的にしか適用されない、またはすべての関連要件をカバーしない場合は、モジュールB+CまたはモジュールHを使用します。
実際のカメラリリースでは、第三者レビューが必要となる可能性があるかのように準備し、正確なカメラ製品について適用規格およびスキームが明確になった時点でルートを確定します。
選択したルートは、リリース承認記録とともに、依拠した参照、それらがカバーする要件、第三者ルートを強いたギャップを含めて保管します。
メーカーのリリース承認
EU市場向けにカメラがリリースされる前に、承認は分類、境界、脅威モデル、管理策、アップデート経路、市販後プロセスを一つの判断に集約すべきです。下の表は、レビューアがそこから移動できる短いリリースファイルです。
| リリース上の問い | カメラ固有の証拠 |
|---|---|
| なぜこの製品はスマートホームセキュリティカメラとして分類されるのか | 用途記述、販売チャネル、設置コンテキスト、製品バリアント、分類根拠 |
| デジタル要素を含む製品とは厳密に何か | カメラ本体、ファームウェア、ローカルインターフェース、モバイルアプリ、製品とともに供給されるクラウド処理、アップデートサービス、除外されたサードパーティの導入システム |
| 最も高リスクなアクセス経路は | 管理UI、ONVIF/RTSP、ローカルネットワーク検出、クラウドAPI、アカウントリカバリー、リモート閲覧、microSDアクセス、デバッグポート、サービス認証情報 |
| 何が標準でセキュアになっているか | 共有デフォルトパスワードなし、保護された初回使用セットアップ、認証付き管理アクセス、露出サービスのレビュー、暗号化判断、セキュアなリモートアクセス |
| カメラをどう安全にアップデートするか | 署名付きファームウェア、鍵保管、ロールバック挙動、部分フラッシュリカバリー、アップデート可用性、ユーザー通知、サポート期間中の無償セキュリティアップデート |
| 出荷後の脆弱性をどう扱うか | 公開窓口、CVDポリシー、トリアージワークフロー、SBOM監視、サプライヤーアドバイザリー監視、セキュリティアドバイザリープロセス、24時間以内の早期警告体制、72時間以内の通知体制、最終報告の証拠 |
経済主体引き渡しチェック
リリースファイルは、メーカーから輸入業者、販売業者、自社ブランドの再販業者への引き渡しを検証可能にすべきです。カメラの場合、弱点は通常CEマーキング単体ではなく、出荷物、リスティング、アプリ、クラウドサービス、アップデートチャネルが、評価されたリリースと一致し続けているかどうかです。
経済主体引き渡し詳細:メーカーまたは自社ブランドメーカーは、正確なカメラリリースのメーカーファイルを所有します。輸入業者は、出荷物をEU市場に上市する前に、分類根拠、宣言、CEマーキング管理、技術ファイル目次、サポート期間表明、脆弱性報告窓口、コンポーネント目録の取り扱い、仕向地言語の指示、輸入業者の身元を検証します。販売業者は、販売前に可視のデューケアシグナルを確認します。CEマーキング、供給文書、メーカーおよび輸入業者のトレーサビリティ、仕向地言語の指示、サポートおよびアップデート表明、オンラインリスティングの整合性、既知の不適合シグナルです。
停止条件:リリースファイル、トレーサビリティ、サポート表明、アプリまたはクラウド依存性、アップデートチャネル、または既知の脆弱性によって、リリースが不適合であると信ずるに足る理由がある場合、出荷またはリスティングを一時停止します。認定代理人マンデートは、輸入業者または販売業者のデューケアとは別に読みます。製造業者ロールトリガー:自社ブランディング、ファームウェア、アプリ、クラウド、アップデートチャネル、ブリッジ、NVRバンドル、用途のいずれかが適合性または用途に影響し得る変更を加える場合は、新しい製造業者ロール分析を実行します。GDPR、無線機器指令のサイバーセキュリティ、生体認証、AI法、NIS2の問いは、CRA分類の答えとは別に扱います。
次の図はロールチェックリストとして使用します。最初の引き渡し図は出荷とリスティングのフローを示しました。この図は、輸入業者、販売業者、認定代理人、自社ブランド再販業者、隣接規制のレビューアが所有するチェックを分離します。
各ロールパネルは、運営者が実行すべき検証と、出荷、リスティング、またはリリースを一時停止する停止条件を組み合わせます。輸入業者と販売業者は、CRAフローそのものに位置します。認定代理人は、メーカーがEU域外である場合にのみ適用され、輸入業者または販売業者のデューケアとは別に読みます。自社ブランド再販業者のチェックは、変更が適合性または用途に影響し得る場合に製造業者ロールを生み出し得ます。分類、適合宣言、技術文書、報告プロセス、サポート期間計画は、非公式のサプライヤー約束として継承することはできません。隣接規制(GDPR、無線機器指令のサイバーセキュリティ、AI法、NIS2)はCRA分類の答えの外に留まり、それぞれ別個のアセスメントを必要とします。
よくある質問
スマートセキュリティカメラはCRAの下でクラスIか「重要度の高い製品」か
スマートホームセキュリティカメラは、その中核機能がスマートホーム物理セキュリティであるとき、通常は重要製品クラスIとなります。カメラが映像を処理する、または機密ネットワーク上に存在するという理由だけで「重要度の高い製品」になるわけではありません。
分類記録: 正確なカメラバリアント、販売主張、想定セキュリティ機能、供給されるデジタル要素、ルート選定の根拠を記載したメモ。
スマートホームセキュリティカメラに認証機関は必要か
常に必要というわけではありません。実務上の判定基準は、メーカーがカメラの必須サイバーセキュリティ要件について、適用規格、共通仕様、または該当するサイバーセキュリティ認証スキームのカバレッジに完全に依拠できるかどうかです。そのカバレッジが欠落している、または部分的である場合は、内部管理を前提とせず、第三者ルートを計画します。
適合性ルート記録: 正確なカメラ製品について依拠する参照、それらがカバーする要件、ギャップ、選択されたルートを列挙します。
業務用CCTVカメラまたはNVRは自動的に同じカテゴリーになるか
なりません。「カメラ」という語だけで業務用監視を分類しないでください。CCTVカメラ、VMS、またはNVRも、デジタル要素を含む製品となり得、CRAのセキュリティ作業を依然として必要とし得ますが、ルートは用途、供給される要素、顧客が依拠する機能に依存します。
境界記録: 業務用監視バリアントメモ。カメラ、レコーダー、VMS、施工業者クラウド、リモートアクセス経路、提供と一緒に供給される別個の製品をカバーします。
カメラに顔認証、アクセス制御、ファイアウォール、VPN機能が含まれる場合は
分類上の警告サインとして扱います。カメラが主にスマートホームセキュリティカメラであれば、それらの機能はカメラのリスクアセスメントの一部となり得ます。製品が主にアクセス制御リーダー、生体認証デバイス、VPNゲートウェイ、ファイアウォール、IDS/IPS、またはリスト掲載されたその他のサイバーセキュリティ製品である場合は、まずその中核機能を分類し、製品をカメラカテゴリーに無理に当てはめないでください。一部のカテゴリーはより厳格なルートを伴うため、これは重要な区別です。例えば、ファイアウォールとIDS/IPSはクラスIIです。
再チェックトリガー: カメラが映像監視だけでなく、アイデンティティ、アクセス、ネットワークフィルタリング、VPNアクセス、または侵入検知を制御する場合、別個の中核機能チェックを開始します。
クラウドビデオストレージは製品境界を変えるか
クラウドストレージが自動的にクラスを変えることはありません。メーカー供給のクラウド処理が、メーカーによって、またはメーカーの責任のもとで設計され、それなしにはカメラがその機能のひとつを実行できない場合、その処理は製品境界、証拠、リスクアセスメントの一部として扱います。製品分類は、別のリスト掲載機能が主体である場合を除き、依然としてカメラの中核機能に従います。
境界記録: クラウド依存マップ。カメラとともに供給されるクラウドサービス、それなしには動作しない機能、処理するデータ、メーカーの提供範囲外のシステムを示します。
ONVIF、RTSP、またはローカルWeb管理はセットアップ後も有効のままにすべきか
そのサーフェスについて文書化されたアクセスモデルがリリースにある場合に限ります。コンシューマー向けカメラは、正当なセットアップ、施工業者、またはレコーダーの用途のためにローカルストリーミングまたは管理を露出し得ますが、リリースファイルには、登録後もそのサーフェスが到達可能のまま残るか、どの認証で保護されるか、転送暗号化が使用されるか、どのユーザー設定またはバリアント主張がそれを正当化するかを示すべきです。
テスト成果物: セットアップ後およびアップデート後のサービススキャン、ONVIF/RTSP認証テスト、検出応答レビュー、各ローカルサーフェスについてのリリース判断。
リスクアセスメントはいつ更新すべきか
リリースされたカメラ状態が信頼に影響するかたちで変わる際は常に更新します。新しいONVIFプロファイル、リモート閲覧モード、アカウントリカバリーフロー、クラウドリレー、OTAチャネル、チップセット、ファームウェアベース、モバイルアプリ認証の変更、サポートバンドルフィールド、工場出荷時リセット挙動の変更です。変更された機能が攻撃経路を再開させるのであれば、リリースノートでは不十分です。
再チェックトリガー: アクセス、アップデート権限、保存映像、アカウントバインディング、サポートデータ、リセット挙動を変える機能またはサプライヤーの変更は、境界およびリスクアセスメントを再開させます。