Enterprise動画を「どの様に”安全”にかつ”セキュア”に配信するか!」 【米国Streaming Media記事より】

 企業におけるビデオの利用は(大規模な全社会議、カスタマーサービス、研究、分析に至るまで)今後大きく伸び、その製品&サービスの市場規模は、複数のマーケット予測で”今後6年間、年率11%以上の成長をする”と予測されています。そしてその市場規模は2020年までに約370億ドル(日本円で約4兆円)になると予測されています。
その中、Enterprise動画においても、”コンテンツ・セキュリティ”は非常に重要な問題となってきています。Streaming Mediaはこの記事で、”コンテンツ・セキュリティ”を3つの切り口「Encryption(暗号化)- 配信経路の暗号化 -」「Rights Management – DRMによるコンテンツの権利管理 -」「Rights Management – DRMによるコンテンツの権利管理 -」からスポットライトをあて解説しています。また、EVPのカスタマイズについても解説しています。

>>>>> Streaming Media http://www.streamingmedia.com <<<<<


s-media

Lock it Down: How to Keep Enterprise Video Safe and Secure

From pipes to pixels, enterprise video security is becoming big business. This article puts a spotlight on three types of content security solutions: encryption, rights management, and content management.

By Tim Siglin
For the rest of the July/August 2017 issue of Streaming Media magazine

 

 

ロックする:Enterprise動画を「どの様に”安全”にかつ”セキュア”に配信するか!」

エンタープライズ・ビデオのセキュリティは Big Business になってきています。この記事では、「encryption(暗号化)」、「rights management(著作権管理)」、「contents management(コンテンツ管理)」の3つの切り口で企業向けコンテンツ・セキュリティ・ソリューションにスポットライトをあてています。

企業におけるビデオの利用(大規模な全社会議、カスタマーサービス、研究、分析等)は今後大きく伸び、その製品&サービスの市場規模は、様々なマーケット予測で”これからの6年間、年率11%以上の成長をする”と予測されています。そしてその市場規模は2020年までに約370億ドル(日本円で約4兆円)になると予測されています。

この様なエンタープライズ・ビデオの急激な普及により、“企業でどの様にビデオ・セキュリティを確保していくか”の問題が今注目されています。

例えば発売前の製品情報のビデオコンテンツは、社内ネットワークの中でも外でも発売前は情報が漏れるのを防ぐために公開を禁止する必要があります。また、他社との競争上重要で機密性の高い情報を含むビデオは更に高度にコンテンツを保護する必要があります。
そこで本記事では、EVP(Enterprise Video Platform: 企業向けの動画プラットフォーム)のこの問題へのアプローチを「encryption(暗号化)」、「rights management(著作権管理)」、「contents management(コンテンツ管理)」の3つの切り口で解説します。また、カスタマイズしたEVPと一般的なEVPの違いについても解説していきます。

Encryption(暗号化) - 配信経路の暗号化 –

この記事のテーマであるEVPと、商用の動画配信プラットフォームのOVP(Online Video Platform: 商用の動画配信プラットフォーム)とはその機能は多少ことなりますが、ここではOVPの“HLSの暗号化”を紹介します。

大手OVPサービスプロバイダのBrightcoveは、HLSの暗号化で、HLSeと呼ばれるHLSとAESを組合せた手法を使っています。(Brightcoveによると「HLSeと標準的なHLSと比較して、両者のビデオ再生には差はない」とのことです。)

HLSeの暗号化はセグメントレベルで動作します。
長さが2〜10秒の標準HLSセグメントを作りパッケージングする際に、各セグメントファイルを暗号化します。HTTPベースの配信では、マニフェストファイル(Appleの場合は.m3u8拡張子で指定されたファイル)を利用しますが、このファイルがセグメントファイルの暗号化のロックを解除するキーになります。マニフェストファイルには各セグメントのキーへのリンクが含まれており、キーは10分ごとに切り替わります(なお、APIでデフォルトの10分以外のキーローテーション期間の設定ができます)。コンテンツがHLS対応デバイスに到着すると、相手がiPhone、iPad、Mac、Androidデバイスに関わらず、ライセンスキーは特定のメディアセグメントファイルの復号化を承認します。これは、セグメントファイルがなくなるまで、またはキーが無効になるまで続きます。

HLSeの主な注意点としては次の事が挙げられます。
その一つはHTML5でHLSeのセグメントが正しく動作する保証がされていない事です。Brightcoveは、サポートドキュメントの中で、HTML5プレイヤーでの再生について「HLSeがサポートされているかは、OS、デバイスによって決まります。」と記載しています。また、iOSデバイスであっても、ユーザがHLSeのビデオを視聴すると、「有効期間が終了後、間違って再生したり、ユーザにメッセージを表示したりはしませんが、再生をしようと繰り返します。」と記載しています。
もう一つの注意点として、利用するクラウドのアカウント単位で、“すべて暗号化する”か“全て暗号化しない”の二者択一になる事を忘れないでください。
Brightcoveは次の様に記載しています。「HLS暗号化はアカウント全体に適用されるため、暗号化せずに配信するプロモーションやその他の動画がある場合、HLS暗号化を有効にしない別のVideo Cloudアカウントにアップロードしてください。」

Rights Management – DRMによるコンテンツの権利管理 –

セキュリティ・レベルを上げる方法として、Rights Managementがあります。
コンテンツホルダーがDRM(Digital Rights Management)で暗号化したコンテンツは、視聴者のデバイスでコンテンツのキーを使ってロックを解除する必要があります。

Stream Media Eastのインタビューで、BuyDRMの創設者であるChristopher Levy氏は、このDRMの”暗号化コンポーネント”について次の様にいっています。
「暗号化はDRM開発において最初のステップでしたが、それは単なるステップではありませんでした。この“暗号化コンポーネント”は、コンテンツに“権利”という新しい価値を加ました。その“権利”は、デバイスからの再生のリクエストをもとにデバイスに送信される“ライセンスキー”によって提供されます。そして、その“ライセンスキー”は、再生プラットフォーム上にあるセキュリティのソフトウェアもしくはハードウェアにタップされ、その“権利”はコンテンツが再生できるデバイスを選び、そのデバイスで動画を再生する事ができます。
Rights Managementでは、暗号化されていないコンテンツも、暗号化されたコンテンツと同様にデバイスで再生する事ができます。(HLSeではできない。)
また、初期のApple’s iTunes music downloadsでは、コンテンツは暗号化されていましたが、最近はコンテンツ自体は暗号化されていません。そのかわり、iTunes StoreからダウンロードされたコンテンツにはRights Managementコンポーネントがついており、ダウンロードしたコンテンツを再配布できないようにしています。(これによって暗号化・複合化の負荷を小さくする事ができる)
更にオプションでコンテンツを暗号化する事もでき、“ライセンスキー”に、ルールの解説書を添付してライセンス料を徴収する事ができます。(コンテンツの有料化ができる)」

一方、DRMサービスのプロバイダーのEZDRMは、MPEG-DASHメディアプレーヤースタンダードの一つである“Common Encryption Schemeの共通暗号を使用するメリット“について次の様にいっています。(EZDRM CEO&共同設立者 David Eisenbacher / Stream Media Eastのインタビューの中での談話)
「DRM関連の事業者全員が合意した共通の枠組みを持つことで、コンテンツオーナーの業務がシンプルになりました。」Common Encryption Schemeがない状態では複数の暗号化の方式に対応するためにコンテンツオーナーは、一つのコンテンツにたいして7つのDRM方式のコンテンツ及び仕組みをもつ必要があります。しかし、Common Encryption Schemeによって一つだけで良くなりました。「エンドポイントとデバイスは、共通の暗号で結び付けられ、各々の固有の能力で動作するのです」

Asset Management - コンテンツの保存管理 –

ライブイベントの録画や、追っかけ再生等の機能を提供するためにはその動画を保存しなければなりませんが、その保存した動画は視聴者が勝手にいじる事が出来ない様にする必要があります。
多くの国(特にヨーロッパ)では動画は個人データであるため、EVPソリューションは安全な方法で保存するオプションをもっている必要があります。
また、多国籍企業は、コンプライアンスとガバナンスの理由で特定のデータを特定の国に保存する事が求められています。

これらのビジネスニーズに満たすためにEVPは、各々の利用ケースに対応したストレージ・オプションを提供する必要があります。また、監査プロセスの一環として、データ処理の仕組みやファイルのサンプルサブセットの保存場所に関する法的文書をクライアントに提示する必要もあります。

BoxやDropBoxの様なストレージを主要サービスとして位置付けている企業は、さまざまなレベルのセキュリティを備えたクラウドベースのストレージソリューションを提供しています。例えばBoxは、ISO 27001、ISO 27018、SOC 1(SSAE 16)、PCI DSS、FedRAMPなど対応するのと同様に国内のストレージを提供しています。
一方、利用者側の企業ITグループは、クラウド・ストレージのアカウントで、ビデオを簡単に投稿・共有することができる様にするため、クラウドベースのストレージソリューションがビデオコンテンツへのアクセスを限られたサークルでしか利用できないように制限できるかどうか(言い換えると、ユーザ毎、動画毎にきめ細かいアクセス制御が可能か)を確認する必要があります。

様々なクラウドベースのストレージが大きな推進となり、”データ損失の防止”、”コンテンツ保護”、”認証、ID、ネットワークのセキュリティ・コントロールのクラウドへの拡張“は進歩しています。これによりセキュリティ分野で今広がっているものに「セキュリティ情報とイベントの管理(SIEM)」のコントロールがあります。

SIEMは、”エンタープライズセキュリティに関する関連データを複数の場所から収集する方法として情報管理(IM)とイベント管理(EM)を組み合わせる”、”その情報を一か所で表示しするとともに、異常や通常とは異なる使用パターンの傾向をみつける”といったものです。

Mobility - BYODへの対応 –

もう1つの重要な分野モバイルセキュリティがあります。BYOD(bring-your-own-device)が一般的になり、従業員は個人のタブレットやその他のモバイルデバイスを仕事に使用しています。
BYODのアプローチは、“会社のデータ(アプリ、ドキュメント、動画等)を、セキュアでないコンシューマ・デバイスの他のデータやAPIから保護する”ものです。

2016年の調査報告によると、世界最大のビジネスSNS のLinkedInの情報セキュリティコミュニティで、800人以上のサイバーセキュリティ専門家によってBYODとモバイルセキュリティの話題が取り上げられました。これらの専門家の間では、BYODセキュリティに対する恐怖は、他の懸念(従業員のプライバシー等)の、3倍以上(39%対12%)となっていました。一方、調査では「2017年には、世界の雇用者の半分はBYODを必要としている」との結果となっており、BYODはITチームやCIOにとって、非常に大きな心配事なっています。調査対象のCIOの回答の約3分の2が「BYODとモバイルが、1990年代にインターネットが及ぼしたインパクトより大きな影響を労働者に与えている」といっています。

Buy Versus Build – “サービス利用”vs “自社構築” –

EVPソリューションの“サービス利用”vs “自社構築”に関してここでは詳しい解説はしませんが、どちらにするかを選択する際、セキュリティの視点を見逃さない様にしなければなりません。(”購入する” vs “構築する”は、2017年Streaming Media Industry Sourcebook buyer’s guide参照ください)

Streaming Media Eastのインタビューの中のMovingImageのmarketing and communicationsのglobal vice presidentであるOliver Jägerは次の様にいっています。
「専用EVPソリューションはエンタープライズ・アプリケーションと同様に基本設計を行います。そしてエンタープライズ・アプリケーションが、EVPにきめ細かい、システム権限、視聴サポート、APIアクセスを提供します。」
エンタープライズ・アプリケーションとEVPソリューション視聴との接点がセキュアなEVPソリューションの評価基準になります。認証(authentication)と認可(authorization)です。
エンタープライズ・アプリケーションとEVPは「SAMLの様なシングル・サイン・オン(SSO)で連携します。そしてユーザ、グループ、権限情報を、AD(ActiveDirectory)またはLDAPでマップします」
エンタープライズ環境ではユーザ認証と同様に、コンテンツ認証、DRM機能は非常に重要です。TV Everywhereのようなライブ・リニア・ソリューションではこのニーズは顕著で、CATVの視聴契約では一般的な事です。企業向けではコンテンツ認証はもっと大きな意味をもちます。
社内動画は社外に流出してはいけないため、これらの基本の認証でイントラネットのユーザだけが特定の動画を見る事ができる様にします。

サイトに埋め込まれたビデオを許可された人だけが見れる“認証されたストリーミング”が必要で、これはストリーミングが暗号化され、“暗号化”、“権利管理”、“資産管理”のセキュリティオプションでカバーされたた場合に実現できます。

OVPソリューションを企業内システムのソリューションとして導入すると、自社システムに新たに”セキュリティの様な「テーブルステークス」機能を追加する事“となりITチームの負荷を増やす事になります。また機能として導入できてもソフトウェア全体のアクセス制御などの対応はできません。

MovingImageの創設者兼CEOであるRainer Zugehoer氏は次のように述べています。「OVPの機能を調整して企業のセキュリティ要件を満たそうとしているEVPでは不十分です。スケーラビリティ、セキュリティ、およびアプリケーションの統合を念頭に置いて、適切なEVPを最初から企業向けに構築する必要があります。」