ハイブリッドまたはエアギャップ OT センサー管理をデプロイする

Microsoft Defender for IoT は、並列ネットワーク全体のカバレッジなど、脅威の検出および管理のための包括的なソリューションを提供して、組織が OT 環境のコンプライアンスを達成し、維持するのに役立ちます。 Defender for IoT は、工業、エネルギー、ユーティリティの各分野の組織と、NERC CIP や IEC62443 などのコンプライアンス組織をサポートしています。

重要

レガシのオンプレミス管理コンソール は、2025 年 1 月 1 日以降、サポートされず、ダウンロードできなくなります。 この日付になる前に、オンプレミスおよびクラウドのすべての API を使用した新しいアーキテクチャに移行することをお勧めします。 詳細については、「オンプレミスの管理コンソールの廃止」を参照してください。

政府機関、金融サービス、原子力発電事業者、工業製造業などの特定の業界では、エアギャップ ネットワークが維持されています。 エアギャップ ネットワークは、エンタープライズ ネットワーク、ゲスト ネットワーク、インターネットなど、セキュリティで保護されていない他の外部ネットワークから物理的に分離されています。 Defender for IoT は、これらの組織が脅威の検出と管理、ネットワークのセグメント化などのグローバル標準に準拠するのに役立ちます。

デジタル変革は企業が業務を効率化し、収益を向上するのに役立っていますが、エアギャップ ネットワークとの摩擦に直面することも少なくありません。 エアギャップ ネットワークでの分離はセキュリティを提供しますが、デジタル変革を複雑にもします。 たとえば、多要素認証の使用を含むゼロ トラストなどのアーキテクチャ設計を、エアギャップ ネットワーク全体に適用するのは困難です。

エアギャップ ネットワークは、多くの場合、機密データの格納や、外部ネットワークに接続されていないサイバー物理システムの制御に使用され、サイバー攻撃に対する脆弱性を低減します。 ただし、エアギャップ ネットワークは完全に安全というわけではなく、依然として侵入される可能性があります。 そのため、エアギャップ ネットワークを監視して、潜在的な脅威を検出し、対応することが不可欠です。

この記事では、ハイブリッドおよびエアギャップ ネットワークのセキュリティ保護と監視に関する課題とベスト プラクティスを含め、ハイブリッドおよびエアギャップ セキュリティ ソリューションをデプロイするアーキテクチャについて説明します。 Defender for IoT のすべてのメンテナンス インフラストラクチャをクローズド アーキテクチャ内に保持するのではなく、オンサイトまたはリモートのリソースなど、既存の IT インフラストラクチャに Defender for IoT センサーを統合することをお勧めします。 この方法により、セキュリティ オペレーションを円滑かつ効率的に運営でき、保守も容易になります。

アーキテクチャに関する推奨事項

次の図は、Defender for IoT システムの監視と保守に関する推奨事項のサンプルの概要アーキテクチャを示しています。ここでは、各 OT センサーが、クラウドまたはオンプレミスの複数のセキュリティ管理システムに接続しています。

このサンプル アーキテクチャでは、3 つのセンサーが、組織全体の異なる論理ゾーンにある 4 つのルーターに接続されています。 センサーはファイアウォールの内側に配置され、ローカル バックアップ サーバー、SASE 経由のリモート アクセス接続、オンプレミスのセキュリティ情報イベント管理 (SIEM) システムへのアラートの転送など、ローカルのオンプレミスの IT インフラストラクチャと統合されます。

このサンプル画像では、アラート、syslog メッセージ、API の通信が黒の実線で示されています。 オンプレミスの管理通信は紫の実線で示され、クラウド/ハイブリッド管理通信は黒の点線で示されています。

ハイブリッドおよびエアギャップ ネットワークの Defender for IoT アーキテクチャ ガイダンスは、次の場合に役立ちます。

• 既存の組織インフラストラクチャを使用して、OT センサーを監視および管理し、追加のハードウェアまたはソフトウェアの必要性を低減する
• クラウドまたはオンプレミスのどちらでも、信頼性と堅牢性を向上する組織のセキュリティ スタック統合を使用する
• クラウドとオンプレミスのリソースへのアクセスを監査および制御して、グローバル セキュリティ チームと共同で作業し、OT 環境全体で一貫した可視性と保護を確保する
• 脅威インテリジェンス、分析、自動化などの既存の機能を拡張および強化するクラウドベースのリソースを追加して、OT セキュリティ システムを強化する

デプロイメントの手順

エアギャップまたはハイブリッド環境に Defender for IoT システムをデプロイするには、次の手順に従います。

1. 「OT 監視のために Defender for IoT をデプロイする」で説明しているように、計画に従って各 OT ネットワーク センサーのデプロイを完了します。

2. 各センサーで、次の手順を実行します。

   • 電子メールによる通知の設定など、パートナーの SIEM および sysylog サーバーと統合します。 次に例を示します。

     • Microsoft Defender for IoT を Microsoft Sentinel に接続する
     • IoT デバイスの脅威を調査して検出する
     • オンプレミスの OT アラート情報を転送する

   • Defender for IoT API を使用して管理ダッシュボードを作成します。 詳細については、「Defender for IoT API リファレンス」を参照してください。

   • プロキシまたはチェーン プロキシを管理環境に設定します。

   • SNMP MIB サーバーまたは CLI を使用して、稼働状況の監視を設定します。 詳細については、以下を参照してください:

     • OT センサーで SNMP MIB の正常性監視を設定する
     • Defender for IoT CLI ユーザーとアクセス

   • iDRAC、iLO など、サーバー管理インターフェイスへのアクセスを構成します。

   • バックアップを外部サーバーに保存するための構成など、バックアップ サーバーを構成します。 詳しくは、「センサー コンソールから OT ネットワーク センサーをバックアップおよび復元する」をご覧ください。

次のステップ

レガシのオンプレミス管理コンソールからクラウドへ移行する