本文へスキップ

Supremaデバイスの強化

BioStar Xに接続されたSupremaの入退室制御デバイスに対するセキュリティ強化の推奨事項を案内します。

BioStar Xサーバーとアプリケーションのセキュリティ強化は中央システムを保護しますが、入退室制御デバイスは物理的な出入口に設置されるため、ローカルネットワークへのアクセス、物理的な損傷、不正操作、または古いファームウェアにさらされる可能性があります。 そのため、デバイスレベルのセキュリティ強化は、全体のセキュリティ体制の必須要素として扱う必要があります。

この文書では、次の内容を扱います。

  • BioStar Xに接続されたSuprema入退室制御デバイスに適用されます。

  • ファームウェアの保守、デバイスイベントログの処理、管理者の設定、デバイス側の運用制御を扱います。

  • デバイスの機能は、モデルとファームウェアバージョンによって異なる場合があります。

デバイスファームウェアを最新の状態に保つ

Supremaデバイスのファームウェアを、顧客環境で承認された最新のサポート対象バージョンに更新してください。

一般的なベストプラクティス

  • 接続されているすべてのデバイスの一覧(モデル名、デバイスID、ファームウェアバージョン、設置場所、役割)を管理してください。

  • アップグレード前にSupremaのファームウェアリリースノートを確認してください。

  • 広く展開する前に、本番環境ではないデバイスでファームウェアアップグレードをテストしてください。

  • ファームウェアアップグレードは、保守時間帯に予約してください。

  • アップグレード中はデバイスに安定した電源を供給し、電源とネットワーク接続を維持するよう管理してください。

  • アップグレード後、デバイスがBioStar Xに再接続されるか、すべての機能が正常に動作するかを確認してください。

ソフトウェアからファームウェアをアップグレード

可能であれば、デバイスから直接アップグレードする代わりに、管理ソフトウェアからファームウェアをアップグレードしてください。

  1. Supremaダウンロードセンターから、対象デバイスモデルに合ったファームウェアファイルをダウンロードしてください。

  2. リリースノートと互換性情報を確認してください。

  3. デバイスがオンラインで、正常に通信していることを確認してください。

  4. ユーザー、Credential、ログ、デバイスの設定をバックアップするか、同期を確認してください。

  5. 対象デバイスを選択し、ファームウェアアップグレードを実行してください。

  6. アップグレードが完了し、デバイスが再起動するまで待機してください。

  7. 再起動後にファームウェアバージョンを確認してください。

デバイスがBioStar Xに再接続されたか、認証、ドア制御、イベントログのアップロードが正常に動作しているか、セキュア通信とハッシュキーの設定が想定どおり維持されているかを確認してください。

注意

  • 他のデバイスモデル向けに作成されたファームウェアを適用しないでください。

  • アップグレード手順を中断しないでください。

  • 一部のファームウェアアップグレードではファームウェアのダウングレードが制限される場合があるため、アップグレード前に必ずリリースノートを確認してください。

デバイス/USBから直接ファームウェアをアップグレード

一部のSupremaデバイスは、USBメモリをデバイスに直接接続してファームウェアをアップグレードできます。

  1. ファームウェアアップグレードファイルを対応USBメモリに保存してください。

    USBメモリにはファイルを1つだけ保存することを推奨します。

  2. USBメモリをデバイスに接続してください。

  3. メッセージが表示されたら、管理者権限で認証してください。

  4. ファームウェアファイルがデバイスに転送されるまで待機してください。

  5. 案内に従って、デバイスからUSBメモリを取り外してください。

  6. ファームウェアアップグレードが完了し、デバイスが自動的に再起動するまで待機してください。

  7. ファームウェアバージョンを確認し、デバイスが正常に動作することを確認してください。

注意

デバイスからファームウェアをアップグレードする前に、デバイス管理者を設定しておく必要があります。 ファームウェアアップグレード中は電源を切らないでください。

デバイスイベントログの保全と保護

デバイスイベントログを保全し、BioStar Xに定期的にアップロードするよう設定してください。

デバイスログポリシー

  • デバイスログは、削除または上書きされない限り、デバイスがサポートする容量までローカルに保存されます。

  • 管理者は、長期監査の保全をデバイスのローカルストレージだけに依存してはいけません。

  • 可能な場合は、BioStar Xへの自動ログアップロードを有効にしてください。

  • イベントログは、組織の監査およびコンプライアンス方針に従って確認し、バックアップしてください。

  • デバイスの日付、時刻、タイムゾーン、サマータイムの設定が正しく構成されていることを確認してください。 対応している場合は、時刻同期を有効にしてください。

セキュリティタンパーの考慮事項

一部のSupremaデバイスは、セキュリティタンパー動作をサポートします。 タンパーイベントが発生すると、デバイスはユーザー、ログ、暗号化キー、SSL証明書を含む機密データを削除する場合があります。 そのため、自動ログアップロードを有効にして、タンパー前のログをBioStar Xに安全に保存することが重要です。

運用ベストプラクティス

  • デバイスタンパーイベントをセキュリティインシデントとして扱ってください。

  • タンパーイベント発生後は、再登録または再展開の前にデバイスを物理的に点検してください。

  • 文書化されたセキュリティ承認なしに、タンパー関連の保護機能を無効にしないでください。

デバイス管理者の設定

対応するSupremaデバイスにデバイス管理者を設定し、デバイス管理者メニューへのアクセスを制限してください。 管理者保護なしでデバイスを本番環境に展開してはいけません。

情報

デバイス管理者権限は、BioStar Xのユーザー権限とは別です。

ベストプラクティス

  • 本番環境に展開する前に、少なくとも1人のデバイス管理者をenrollしてください。

  • 権限のある従業員にのみ割り当てられた一意の管理者Credentialを使用してください。

  • 強力な認証方法(カード + PIN、生体認証 + PIN、または複数Credentialによる管理者認証)を使用してください。

  • デバイス管理者の割り当てを定期的に確認してください。

  • 従業員の役割が変わったら、管理者アクセス権をすぐに削除してください。

  • 管理者Credentialを紛失した場合に備えた緊急復旧手順を文書化してください。

ソフトウェアからデバイス管理者を設定

  1. 管理者アカウントでBioStar Xにログインします。

  2. デバイス管理者の役割を果たすユーザーを作成するか、選択してください。

  3. 必要なCredential(カード、PIN、Fingerprint、または顔認証)をenrollしてください。

  4. 管理者権限、または適切なデバイス管理者の役割を割り当ててください。

  5. ユーザーを対象デバイスに送信するか、同期してください。

  6. 対象デバイスで、管理者Credentialを使って管理者メニューに移動できることを確認してください。

デバイスから直接デバイス管理者を設定

  1. デバイスメニューに移動してください。

  2. ユーザー登録または管理者設定メニューを実行してください。

  3. ユーザーとCredentialを管理者としてenrollしてください。

  4. 管理者権限を割り当ててください。

  5. 設定を保存してください。

  6. 管理者メニューに戻り、管理者認証をテストしてください。

デバイスのネットワークとローカルサービスのセキュリティ強化

最小機能の原則に従い、デバイスのネットワークとローカルサービスの設定を構成してください。

推奨アクション

  • デバイスIPアドレスを安定して運用するため、文書化してください。 DHCPでIPアドレスを予約するか、サブネットマスク、ゲートウェイ、DNS、ポート、デバイスID、設置場所とともに固定IPアドレスを文書化してください。

  • デバイスで使用するBioStar Xサーバーアドレスとサーバーポートを確認してください。

  • 必要のないデバイスの機能は無効にしてください。

    例: RTSP、IPインターホン

  • RTSP、インターホン、またはその他のオプションサービスが必要な場合は、強力なCredentialを構成し、信頼できるシステムからのみアクセスできるよう制限してください。

  • 対応している場合は、時刻同期を有効にしてください。

  • デフォルト設定の復元または工場出荷時設定への初期化後は、ネットワーク設定、管理者権限、ルート証明書、セキュア通信、およびBioStar X接続を再確認してください。

デバイス運用強化チェックリスト

  • ファームウェアをサポート対象の最新バージョンに更新してください。

  • デバイスモデル、デバイスID、ファームウェアバージョン、設置場所、役割のインベントリを管理してください。

  • 実運用前にデバイス管理者のアクセス権を設定してください。

  • 管理者権限は、承認された従業員にのみ付与してください。

  • 対応している場合は、BioStar Xとのセキュア通信を有効にしてください。

  • 展開リスクレベルに応じて、端末ハッシュキー管理セキュア タンパー機能を有効にしてください。

  • 可能な場合は、ログのアップロード自動に設定してください。

  • デバイスイベントログがBioStar Xに定期的にアップロードされることを確認してください。

  • デバイスの設置場所とケーブル接続を物理的に安全に保護してください。

  • タンパーイベント、予期しない再起動、ファームウェア変更、ログ欠落をセキュリティ関連イベントとして扱ってください。

  • ファームウェアアップグレード、デバイス交換、または復元作業の後に、デバイスの設定を確認してください。

  • 実運用デバイスには、安定した文書化済みのネットワークアドレスを使用してください。

  • 展開に必要のないデバイスの機能は無効にしてください。

  • システムのデフォルト設定の復元と工場出荷時設定への初期化は、承認された管理者だけが実行できるよう制限してください。

このページは役に立ちましたか?