アクシスコミュニケーションズ、米国CISAの「Secure by Design」誓約に署名

2025年12月2日（ルンド・スウェーデン）/ 12月3日（東京・日本） ―　ネットワークおよびセキュリティソリューションのグローバルリーダー、Axis Communications（以下 Axis）はこのたび、米国国土安全保障省の外局機関であるサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が推進する「Secure by Design（セキュア・バイ・デザイン）誓約」に署名したことを発表しました。本誓約は、製品のサイバーセキュリティ対策について透明性をもって情報開示し、利用者の安全確保を企業の中核的責務として位置づけることを求めるものです。

CISAの任意誓約である「Secure by Design」は、以下の7つの重要項目に取り組むことをメーカーに求めています。

• 多要素認証（MFA）の利用 デフォルトパスワードの削減

• 既知の脆弱性のクラス・種類の削減

• 顧客によるセキュリティパッチの容易な適用

• 脆弱性開示ポリシーの公開

• 脆弱性報告における透明性向上

• 製品に影響するサイバーセキュリティ侵害の際、痕跡を顧客が収集できる能力の向上

AxisのCTOであるヨハン・ポールソン（Johan Paulsson）は次のように述べています。

「CISAのSecure by Design誓約は、当社が提供するすべてのソリューションにおいてサイバーセキュリティを中核に据える、という当社の取り組みと完全に合致します。本誓約への署名は、当社が今後も業界の透明性と説明責任を高め、顧客がサイバーセキュリティのベストプラクティスに確実に取り組めるよう支援し続けるという意思表示です。」

以下では、AXIS OS搭載ネットワーク製品、映像管理・デバイス管理ソフトウェア、Axis Cloud Connectなど、Axisの製品ポートフォリオにおけるSecure by Design誓約への取り組みについて紹介します。

Axisの製品ポートフォリオにおける取り組み

Axisでは、ソフトウェア脆弱性のリスク低減を開発工程の重要事項としています。開発者は製品ライフサイクル全体を通じたセキュリティリスク低減のために、Axis Security Development Model（ASDM）に基づいて開発を行っています。このセキュリティフレームワークは、プロセスとツールに加え、外部リソースの活用も含みます。具体的には、バグ報奨金プログラムを通じた脆弱性報告受付、Axis Product Security Teamへの報告体制の整備などです。

AxisはCVE Numbering Authority（CNA）として、脆弱性のパッチ適用および開示も実施しており、脆弱性管理ポリシーにおいて開示の内容・タイミング・方法を明示しています。Axis Trust Centerでは、Axisの企業情報およびAXIS OS搭載デバイスに関するサイバーセキュリティ・コンプライアンス情報を提供しており、今後はその他の製品やサービスにも対象を拡大していく予定です。

AXIS OS搭載製品におけるセキュリティ実装
Axisのネットワークカメラ、インターコム、スピーカー、アクセスコントロール製品などのIPベースデバイスは、すべてAXIS OSで動作します。AXIS OSにはデフォルトパスワードが存在せず、中央集約型のIDおよびアクセス管理（IAM）を用いた多要素認証に対応しています。
また、出荷時点からゼロトラストネットワークを前提とした設計となっており、IEEE 802.1XおよびIEEE 802.1AR準拠のセキュアデバイスIDによりネットワーク製品の自動認証を可能にします。さらに、IEEE 802.1AE（MACsec）による強力な暗号化をサポートし、NTPやDHCPのような非暗号化プロトコルを保護するとともに、HTTPSなどTLSベースのプロトコルの二重暗号化にも対応します。
加えて、AXIS OS搭載デバイスはFIPS 140-3 Level 3およびCommon Criteria EAL6+認定を取得したハードウェアベースのセキュアキー保管機能を備えています。

AXIS Camera Station
映像管理ソフトウェアであるAXIS Camera Station ProおよびAXIS Camera Station Edgeは、スマートフォン、タブレット、ブラウザ、PCクライアントとAxisネットワークカメラ間の外部通信を、Axis Secure Remote Access v2を使用したAES 256ビット暗号化により保護します。クライアント・サーバー間およびAxisデバイスとの間の通信も、AES 256ビット暗号化とTLS 1.2以上により安全に保護されています。
また、複数のユーザーアクセスレベルと詳細な権限設定に対応しており、AXIS Camera Station ProではローカルユーザーまたはWindows Active Directoryユーザーによるデバイスのパスワード保護、AXIS Camera Station Edgeでは二要素認証（2FA）をサポートします。さらに、アラーム、イベント、監査ログによるリアルタイム通知とシステムアクティビティ追跡により、アカウンタビリティを確保します。

Axisデバイス管理ソフトウェア
Axisは、カメラ、オーディオ製品、アクセスコントロール製品などのエッジデバイスを管理する専用ソフトウェアとして、AXIS Device Manager、AXIS Device Manager Edge、AXIS Device Manager Extendを提供しています。これらにより、数千台規模のデバイスに対し、効率的なソフトウェア更新やセキュリティ強化を低コストで実施できます。

その他の機能として、TLS証明書プロビジョニングのライフサイクル自動化、設定ミスを最小限に抑えるための簡易なデバイス設定のバックアップ／リストア機能、さらにパスワード変更、HTTPS、IEEE 802.1Xなどの各種サービスの一元管理にも対応しています。

Axis Cloud Connect
Axis Cloud Connectは、Axis製デバイスを管理するためのオープンなハイブリッドクラウドプラットフォームです。Axisネットワーク製品のセキュリティパッチを含む新しいソフトウェア更新を自動的に適用する機能を備えています。
デバイスとクラウド間の通信はHTTPSおよびTLS 1.2/1.3といった安全なチャネルのみで行われ、サービスアクセスに利用されるMy Axisアカウントはシングルサインオン（SSO）および多要素認証に対応しています。また、ツールによる自動検知や監査ログモニタリングにより、サイバーセキュリティに関わる重要な活動の痕跡収集を支援します。

Axisは、CISA誓約の一環として、製品のサイバーセキュリティ対策や改善状況に関する情報を継続的に共有し、顧客がその内容を確認できる透明性を確保していきます。これにより、Axis製品への信頼強化に努めてまいります。

詳細は https://www.axis.com/ja-jp/about-axis/cybersecurity をご覧ください。

Axis Communicationsについて
Axisは、セキュリティ、安全性、運用効率、ビジネスインテリジェンスを向上させることで、よりスマートでより安全な世界の実現を目指しています。ネットワークテクノロジー企業として、また業界をけん引するリーダーとして、Axisは映像監視、アクセスコントロール、インターコム、音声ソリューションを提供しています。これらのソリューションは、インテリジェントアプリケーションによって強化され、質の高いトレーニングによってサポートされています。
Axisは50ヶ国以上に5,000人を超える熱意にあふれた従業員を擁し、世界中のテクノロジーパートナーやシステムインテグレーションパートナーと連携することで、カスタマーソリューションをお届けしています。Axisは1984年に創業し、本社はスウェーデン・ルンドにあります。