コンテンツにスキップ

ネットワークセキュリティの概要

Disguise は、ビデオ再生とリアルタイムレンダリングのアプリケーションに特化したメディアプラットフォームです。このページでは、企業ネットワークなどのセキュアな IT 環境での Disguise の使用について扱い、両システムの目標を満たすための推奨プラクティスと緩和策を提供します。

Disguise は、工場出荷時の構成で定義された特定のパフォーマンスベンチマークを満たすように最適化された、高性能なメディアプラットフォームを提供します。この構成を変更すると、システムの整合性が損なわれ、パフォーマンスが低下し、設計された特性から逸脱する可能性があります。このため、パフォーマンス関連の問題のトラブルシューティングの過程で、サポートチームがシステムを工場出荷時の設定に復元するよう求めることがあります。

Disguise とネットワークセキュリティ

Section titled “Disguise とネットワークセキュリティ”

Disguise のようなメディア再生ツールは、最小限のレイテンシとシステムパフォーマンスを重視して、グラフィックをリアルタイムで画面に表示するように設計されています。一方、企業ネットワークなどのセキュアな IT 環境は、機密情報の交換と保存のための閉じた安全な環境を提供することを目的としています。

これら 2 つの目標は、互いに対立しているように見えることがあります。セキュアな IT 環境に通常適用されるセキュリティ戦略には、アンチウイルスソフトウェアの使用、システムコンポーネントの定期的なパッチ適用、非常に制限的なネットワーク動作が含まれます。しかし、Disguise のようなリアルタイムメディア再生システムは、これらの戦略がメディアシステムのリアルタイム性を損なう大幅なパフォーマンス低下を引き起こすため、その使用を積極的に推奨しません。以下では、Disguise をセキュアな IT 環境に展開する際に考慮すべき具体的な事項を説明します。

Disguise は、リアルタイムメディア再生システムを、メインの IT ネットワークからエアギャップされた専用 LAN ネットワークに常にインストールすることを強く推奨します。この分離は、Disguise システムのパフォーマンスと整合性を維持しつつ、メインネットワークへの潜在的なセキュリティリスクを防ぐために極めて重要です。専用 LAN ネットワークとメイン IT ネットワーク間で必要なデータ交換には、中間として DMZ ネットワークを使うことを推奨します。このアプローチは、システムパフォーマンスの維持とセキュリティプロトコルの順守のバランスを取ります。

Disguise は、提供するメディアプラットフォームへの常駐型アンチウイルスソフトウェアのインストールや展開を推奨しません。そのようなソフトウェアのインストールは、一貫性のない予測不能なパフォーマンスへの影響を引き起こし、システムが設計されたパフォーマンス特性を発揮する能力を著しく妨げます。ただし、セキュリティの重要性は理解しており、システムメンテナンスの時間帯にウイルススキャンを実施することを推奨できます。これらのスキャンは、メディアプラットフォームにインストールせずに実行するか、インストールが必要な場合はスキャン完了後すぐにアンインストールすべきです。このアプローチにより、運用中のパフォーマンスを損なうことなく、定期的なセキュリティチェックが可能になります。

Disguise サーバーは、Windows 10 SACWindows 11 IoT Enterprise GAC エディションなどの長期サポートされる Windows ビルドを搭載して出荷されます。Windows Update やその他のパッチ適用メカニズムによる更新は、デフォルトで無効になっています。Disguise が提供する OS イメージは、パッチ、ドライバー、OS 更新の完全なセットを 1 つのユニットとしてテストしたファームウェアと考えるべきです。Disguise は OS に断続的な更新を発行しますが、選択された OS バージョンはパフォーマンスのために選ばれており、利用可能な最新のパッチセットではない場合がある点に注意してください。配布される OS イメージから逸脱すると、システムの設計・販売された特性に未知のパフォーマンス影響を及ぼす可能性があるため、強く推奨しません。このアプローチにより、すべての Disguise システムで一貫したパフォーマンスが確保されます。

Disguise は、システム内のコンポーネントドライバーのインストールや更新を推奨もサポートもしません。当社の開発チームはドライバーを相互に綿密にテストし、さまざまなベンダーの相互運用可能なバージョンを使って、完全な OS イメージの一部として発行します。新しいドライバーが依存している機能を無効化または破壊することがあるため、必ずしも最新のドライバーバージョンを選択するわけではありません。Disguise から明示的に指示されない限り、Disguise システムでドライバーを手動でインストールまたは更新すべきではありません。このポリシーは、システムの安定性を維持し、すべてのコンポーネントが意図したとおりに連携することを保証し、システムが設計・販売されたパフォーマンス特性を保ちます。

Disguise メディアサーバーは、高性能なメディア再生とリアルタイムレンダリング向けに最適化されており、最高の状態で機能するには特定のネットワーク環境が必要です。最適なパフォーマンスとセキュリティのために、これらのシステムは専用の分離されたネットワークで運用することを推奨します。このアプローチにより、Disguise システムは企業ネットワークのセキュリティ対策との潜在的な競合なしに、その能力を最大限に発揮できます。当社のシステムは、コアのメディア再生とレンダリング機能に集中して、オフラインで効果的に動作するように設計されています。インターネット接続が必要な場合は、メインの企業ネットワークに直接接続するのではなく、別の制御されたネットワーク環境を使うことを推奨します。この戦略は、Disguise システムとセキュアな企業ネットワークの両方の整合性とパフォーマンスを維持するのに役立ちます。

Disguise システムは分離された環境で動作するように設計されており、Windows ファイアウォールが 無効 の状態で出荷されますが、ネットワークアクティビティと必要なポートを理解することは、適切なシステム構成とトラブルシューティングに不可欠です。ファイアウォールは Disguise ネットワークの保護に役立ちますが、システムパフォーマンスに影響を与えないよう正しく構成する必要があります。

Disguise が使うポートと予想されるネットワークアクティビティの詳細な内訳については、Network Ports and Activity ページを参照してください。このリソースは、Disguise システムを扱うネットワーク管理者や IT 専門家に不可欠な情報を提供し、適切なセキュリティ対策を維持しつつスムーズな運用を確保するのに役立ちます。

ファイアウォールの実装は、不適切な構成が Disguise セットアップのリアルタイムパフォーマンスに大きな影響を与える可能性があるため、ライブシステムに適用する前に非本番環境で十分にテストすべきである点に注意してください。最終的に、ローカルファイアウォール構成に加えた変更は、必要に応じてポートを追加または削除することがあるため、ソフトウェア更新後に有効でなくなる可能性があります。

Disguise は企業ネットワークに接続することを意図していないため、ドメイン参加を行ったり、より広範なグループ IT ポリシーの一部として Disguise をインストールしたりすることは想定していません。当社の Windows イメージは、当社の環境でシステムのパフォーマンスベンチマークを達成できるよう、特定の機能を無効化・有効化しています。これらの構成をドメインポリシーや手動調整で変更すると、システムの設計された特性に未知のパフォーマンス影響を及ぼす可能性があります。Disguise システムをドメインポリシーから分離しておくことで、すべてのインストールで一貫したパフォーマンスと動作を確保できます。

Disguise システムは、マシン上に 1 人のアクティブユーザー(管理者権限を持つ root ユーザー、「d3」と呼ばれる)を含むデフォルト構成で出荷されます。外部ネットワークから完全に分離されたエアギャップシステムでは、このデフォルト設定を維持することで、特に迅速なシステムアクセスが重要なマルチマシンセットアップやライブイベントのシナリオで、スムーズな運用と迅速なトラブルシューティングが容易になります。

ただし、完全にエアギャップされていない、またはシステムへの物理アクセスが制限・監視されていないシステムでは、可能な限りゼロトラストセキュリティのベストプラクティスを採用することを強く推奨します。次のようなセキュリティ対策の実装を検討してください:

  1. デフォルトの「d3」ユーザーパスワードを、強力で一意のパスワードに変更する。
  2. 可能な場合は多要素認証を実装する。
  3. 定期的に認証情報を監査・ローテーションする。

Disguise システムの最も堅牢なセキュリティは、ネットワークの分離によって達成されることを覚えておいてください。接続が必要な場合は、運用効率を維持しつつ、常に厳格なセキュリティ対策を実装してください。このアプローチにより、Disguise システムが誇る高性能機能を損なうことなく、最適な保護が確保されます。

Disguise アプリケーションは、当社の実行可能ファイルと DLL ファイルを暗号化し、サーバー内のライセンスキーで復号するセキュアなライセンスシステムを使用します。ただし、Disguise システムはパフォーマンスのために設計されているため、再生に関わるメディアの暗号化と併用してはなりません。システムでこれ以上の暗号化を有効にすると、パフォーマンスに影響し、マシンが設計されたパフォーマンス特性を満たせなくなるため、強く推奨しません。このアプローチにより、システムは設計されたリアルタイムパフォーマンスを発揮できます。

Disguise は、サポートやトラブルシューティングのシナリオで顧客から要求された場合に、サードパーティのリモートアクセスツール(TeamViewer、SimpleHelp、Parsec など)を介してリモート支援を提供することがあります。これへの参加は任意ですが、特定のケースで診断とサポートを効率化するのに役立ちます。可能な限り、システムを恒久的にリモートアクセスに開放するのではなく、これらのリモートセッションにはポータブルクライアントの使用を推奨します。このアプローチにより、潜在的なセキュリティリスクを最小限に抑えつつ必要なサポートが可能になります。

上記で概説したとおり、メインの IT ネットワークからエアギャップされた専用 LAN ネットワークでない限り、Disguise メディアサーバーをネットワークに接続しないでください。専用 LAN ネットワークとメイン IT ネットワーク間でデータ交換が必要な場合は、DMZ ネットワークを介して行うべきです。このアプローチは、Disguise システムのパフォーマンスニーズと企業環境のセキュリティ要件のバランスを取ります。