ゼロ トラストと OT ネットワーク
ゼロ トラストとは、次の一連のセキュリティ原則を設計および実装するためのセキュリティ戦略です。
| 明示的に検証する | 最小限の特権アクセスを使用する | 侵害を想定する |
|---|---|---|
| すべての使用可能なデータ ポイントに基づいて、常に認証と承認を行います。 | Just-In-Time および Just-Enough-Access (JIT/JEA)、リスクベースの適応型ポリシー、データ保護を使用して、ユーザーのアクセスを制限します。 | 影響範囲を最小限に抑えるために、アクセスをセグメント化します。 エンドツーエンドで暗号化されていることを確認し、分析を使用して可視化し、脅威検出を推進し、防御を強化します。 |
運用テクノロジ (OT) ネットワーク全体にゼロ トラスト原則を実装すると、次のような課題に対処するのに役立ちます。
OT システムへのリモート接続の制御、ネットワーク ジャンプ ポストのセキュリティ保護、ネットワーク全体の横移動の防止
依存システム間の相互接続の確認と削減、ネットワークにサインインする請負業者などの ID プロセスの簡素化
ネットワーク内の単一障害点の検出、特定のネットワーク セグメントでの問題の特定、遅延と帯域幅のボトルネックの削減
OT ネットワーク固有のリスクと課題
多くの場合、OT ネットワーク アーキテクチャは従来の IT インフラストラクチャとは異なります。 OT システムでは、専用プロトコルを用いた独自の技術が使用されており、プラットフォームが老朽化していたり、接続や電源が限られていたりする可能性があります。 また、OT ネットワークには、安全性に関して特定の要件が設けられていたり、物理的またはローカルの攻撃に対して特有の露出 (お使いのネットワークにサインインする外部請負業者を介した露出など) が発生したりする可能性があります。
OT システムは重要なネットワーク インフラストラクチャをサポートすることが多いため、多くの場合、安全なアクセスや監視よりも物理的な安全性や可用性を優先するように設計されています。 たとえば、OT ネットワークは、定期的なメンテナンスのダウンタイムを回避したり、セキュリティ上の特定の問題を軽減したりするために、他のエンタープライズ ネットワーク トラフィックとは別に機能する場合があります。
クラウドベースの環境に移行する OT ネットワークが増えるに従って、ゼロ トラストの原則を適用することで特定の課題が生じる可能性があります。 次に例を示します。
- OT システムは、複数のユーザーおよびロールベースのアクセス ポリシー用に設計されておらず、単純な認証プロセスのみが使用されている可能性があります。
- OT システムには、安全なアクセス ポリシーを完全に適用するために使用できる処理能力がないため、受信したすべてのトラフィックが安全なものとして信頼される可能性があります。
- 老朽化したテクノロジによって、組織の知識の保持、更新プログラムの適用、可視性を取得し、脅威の検出を推進するための標準のセキュリティ分析ツールの使用に課題が生じます。
ただし、ミッション クリティカルなシステムのセキュリティ侵害は、従来の IT インシデントを超えた現実世界の結果につながる可能性があり、コンプライアンス違反は、組織が政府や業界の規制に準拠する能力に影響を与える可能性があります。
OT ネットワークへのゼロ トラスト原則の適用
従来の IT ネットワークと同様に OT ネットワークでもゼロ トラスト原則を引き続き適用しますが、必要に応じていくつかのロジスティック変更を加えます。 次に例を示します。
ネットワークとデバイス間のすべての接続が識別および管理されていることを確認し、システム間の不明な相互依存関係を防ぎ、メンテナンス手順中に予期しないダウンタイムが発生しないようにします。
一部の OT システムでは、必要なすべてのセキュリティ プラクティスがサポートされない可能性があるため、ネットワークとデバイス間の接続を、限られた数のジャンプ ホストに制限することをお勧めします。 その後、ジャンプ ホストを使用して、他のデバイスでリモート セッションを開始できます。
ジャンプ ホストに、多要素認証や特権アクセス管理システムなど、より強力なセキュリティ対策と認証プラクティスが設定されていることを確認します。
ネットワークをセグメント化してデータ アクセスを制限して、デバイスとセグメント間のすべての通信が確実に暗号化され、セキュリティで保護されるようにし、さらにシステム間の横移動を防ぎます。 たとえば、ネットワークにアクセスするすべてのデバイスが、組織のポリシーに従って事前に承認され、セキュリティで保護されていることを確認します。
産業制御システムおよび安全情報システム (ICS および SIS) 全体の通信を信頼することが必要な場合があります。 ただし、多くの場合、ネットワークをさらに小さな領域にセグメント化できるため、セキュリティとメンテナンスの監視が容易になります。
デバイスの場所、正常性、動作などのシグナルを評価し、正常性データを使用して、アクセスを制御したり、修復のフラグを付けたりします。 アクセスするにはデバイスを最新の状態にする必要があり、分析を使用して、自動応答による防御を可視化し、スケーリングを行います。
承認されたデバイスやネットワーク トラフィックのベースラインなどのセキュリティ メトリックを継続的に監視して、セキュリティ境界の整合性が確実に維持され、時間の経過と共に組織の変更が確実に行われるようにします。 たとえば、ユーザー、デバイス、システムの変更に応じて、セグメントとアクセス ポリシーを変更することが必要な場合があります。
Defender for IoT によるゼロ トラスト
Microsoft Defender for IoT ネットワーク センサーをデプロイして、OT ネットワーク全体でデバイスの検出やトラフィックの監視を行います。 Defender for IoT では、デバイスの脆弱性を評価し、リスクベースの軽減手順を提供し、異常な動作や承認されていない動作についてデバイスを継続的に監視します。
OT ネットワーク センサーをデプロイする場合、"サイト" と "ゾーン" を使用してネットワークをセグメント化します。
- サイト には、特定の住所にあるオフィスなど、特定の地理的な場所によってグループ化された多くのデバイスが反映されます。
- ゾーン は、特定の生産ラインなどの機能領域を定義するために、サイト内の論理セグメントを反映します。
各 OT センサーを特定のサイトとゾーンに割り当てて、各 OT センサーがネットワークの特定の領域を確実にカバーするようにします。 サイトおよびゾーン間でセンサーをセグメント化すると、セグメント間を通過するトラフィックを監視し、各ゾーンにセキュリティ ポリシーを適用するのに役立ちます。
Defender for IoT データとアクティビティへの最小特権アクセスを提供できるように、必ずサイトベースのアクセス ポリシー を割り当てるようにしてください。
たとえば、成長中の企業の工場やオフィスがパリ、ラゴス、ドバイ、天津にある場合、ネットワークを次のようにセグメント化できます。
| サイト | ゾーン |
|---|---|
| パリのオフィス | - グラウンド フロア (ゲスト) - 1 階 (営業) - 2 階 (役員) |
| ラゴスのオフィス | - グラウンド フロア (事務所) - 1 から 2 階 (工場) |
| ドバイのオフィス | - グラウンド フロア (コンベンション センター) - 1 階 (営業) - 2 階 (事務所) |
| 天津のオフィス | - グラウンド フロア (事務所) - 1 から 2 階 (工場) |
次のステップ
Azure portal で OT センサーをオンボードするときにサイトとゾーンを作成し、Azure ユーザーにサイトベースのアクセス ポリシーを割り当てます。
オンプレミス管理コンソールを使用してエアギャップ環境で作業している場合は、オンプレミス管理コンソールで直接 OT サイトとゾーンを作成します。
組み込みの Defender for IoT ブックを使用し、独自のカスタム ブックを作成して、時間の経過と共にセキュリティ境界を監視します。
詳細については、次を参照してください。
詳細については、次を参照してください。