ハイブリッドまたはエアギャップ OT センサー管理をデプロイする

Microsoft Defender for IoT は、並列ネットワーク全体のカバレッジなど、脅威の検出および管理のための包括的なソリューションを提供して、組織が OT 環境のコンプライアンスを達成し、維持するのに役立ちます。 Defender for IoT は、工業、エネルギー、ユーティリティの各分野の組織と、NERC CIP や IEC62443 などのコンプライアンス組織をサポートしています。

政府機関、金融サービス、原子力発電事業者、工業製造業などの特定の業界では、エアギャップ ネットワークが維持されています。 エアギャップ ネットワークは、エンタープライズ ネットワーク、ゲスト ネットワーク、インターネットなど、セキュリティで保護されていない他の外部ネットワークから物理的に分離されています。 Defender for IoT は、これらの組織が脅威の検出と管理、ネットワークのセグメント化などのグローバル標準に準拠するのに役立ちます。

デジタル変革は企業が業務を効率化し、収益を向上するのに役立っていますが、エアギャップ ネットワークとの摩擦に直面することも少なくありません。 エアギャップ ネットワークでの分離はセキュリティを提供しますが、デジタル変革を複雑にもします。 たとえば、多要素認証の使用を含むゼロ トラストなどのアーキテクチャ設計を、エアギャップ ネットワーク全体に適用するのは困難です。

エアギャップ ネットワークは、多くの場合、機密データの格納や、外部ネットワークに接続されていないサイバー物理システムの制御に使用され、サイバー攻撃に対する脆弱性を低減します。 ただし、エアギャップ ネットワークは完全に安全というわけではなく、依然として侵入される可能性があります。 そのため、エアギャップ ネットワークを監視して、潜在的な脅威を検出し、対応することが不可欠です。

この記事では、ハイブリッドおよびエアギャップ ネットワークのセキュリティ保護と監視に関する課題とベスト プラクティスを含め、ハイブリッドおよびエアギャップ セキュリティ ソリューションをデプロイするアーキテクチャについて説明します。 Defender for IoT のすべてのメンテナンス インフラストラクチャをクローズド アーキテクチャ内に保持するのではなく、オンサイトまたはリモートのリソースなど、既存の IT インフラストラクチャに Defender for IoT センサーを統合することをお勧めします。 この方法により、セキュリティ オペレーションを円滑かつ効率的に運営でき、保守も容易になります。

アーキテクチャに関する推奨事項

次の図は、Defender for IoT システムの監視と保守に関する推奨事項のサンプルの概要アーキテクチャを示しています。ここでは、各 OT センサーが、クラウドまたはオンプレミスの複数のセキュリティ管理システムに接続しています。

このサンプル アーキテクチャでは、3 つのセンサーが、組織全体の異なる論理ゾーンにある 4 つのルーターに接続されています。 センサーはファイアウォールの内側に配置され、ローカル バックアップ サーバー、SASE 経由のリモート アクセス接続、オンプレミスのセキュリティ情報イベント管理 (SIEM) システムへのアラートの転送など、ローカルのオンプレミスの IT インフラストラクチャと統合されます。

このサンプル画像では、アラート、syslog メッセージ、API の通信が黒の実線で示されています。 オンプレミスの管理通信は紫の実線で示され、クラウド/ハイブリッド管理通信は黒の点線で示されています。

ハイブリッドおよびエアギャップ ネットワークの Defender for IoT アーキテクチャ ガイダンスは、次の場合に役立ちます。

• 既存の組織インフラストラクチャを使用して、OT センサーを監視および管理し、追加のハードウェアまたはソフトウェアの必要性を低減する
• クラウドまたはオンプレミスのどちらでも、信頼性と堅牢性を向上する組織のセキュリティ スタック統合を使用する
• クラウドとオンプレミスのリソースへのアクセスを監査および制御して、グローバル セキュリティ チームと共同で作業し、OT 環境全体で一貫した可視性と保護を確保する
• 脅威インテリジェンス、分析、自動化などの既存の機能を拡張および強化するクラウドベースのリソースを追加して、OT セキュリティ システムを強化する

デプロイメントの手順

エアギャップまたはハイブリッド環境に Defender for IoT システムをデプロイするには、次の手順に従います。

1. 「OT 監視のために Defender for IoT をデプロイする」で説明しているように、計画に従って各 OT ネットワーク センサーのデプロイを完了します。

2. 各センサーで、次の手順を実行します。

   • 電子メールによる通知の設定など、パートナーの SIEM および sysylog サーバーと統合します。 次に例を示します。

     • Microsoft Defender for IoT を Microsoft Sentinel に接続する
     • IoT デバイスの脅威を調査して検出する
     • オンプレミスの OT アラート情報を転送する

   • Defender for IoT API を使用して管理ダッシュボードを作成します。 詳細については、「Defender for IoT API リファレンス」を参照してください。

   • プロキシまたはチェーン プロキシを管理環境に設定します。

   • SNMP MIB サーバーまたは CLI を使用して、稼働状況の監視を設定します。 詳細については、以下を参照してください:

     • OT センサーで SNMP MIB の正常性監視を設定する
     • Defender for IoT CLI ユーザーとアクセス

   • iDRAC、iLO など、サーバー管理インターフェイスへのアクセスを構成します。

   • バックアップを外部サーバーに保存するための構成など、バックアップ サーバーを構成します。 詳しくは、「センサー コンソールから OT ネットワーク センサーをバックアップおよび復元する」をご覧ください。

レガシのオンプレミス管理コンソールからの移行

重要

レガシのオンプレミス管理コンソール は、2025 年 1 月 1 日以降、サポートされず、ダウンロードできなくなります。 この日付になる前に、オンプレミスおよびクラウドのすべての API を使用した新しいアーキテクチャに移行することをお勧めします。

現在のアーキテクチャ ガイダンスは、レガシのオンプレミス管理コンソールを使用する場合よりも効率性、安全性、信頼性を向上するように設計されています。 更新されたガイダンスでは、コンポーネントの数が少なくなっているため、保守とトラブルシューティングが容易です。 新しいアーキテクチャで使用されるスマート センサー テクノロジにより、オンプレミスでの処理が可能になり、必要なクラウド リソースが削減され、パフォーマンスが向上します。 更新されたガイダンスでは、データを独自のネットワーク内に保持し、クラウド コンピューティングよりも優れたセキュリティが提供されます。

オンプレミス管理コンソールを使用して OT センサーを管理している既存のお客様は、更新されたアーキテクチャ ガイダンスに移行することをお勧めします。 次の図は、新しい推奨事項への移行手順を図で表したものです。

• レガシ構成では、すべてのセンサーがオンプレミス管理コンソールに接続されます。
• 移行期間中、センサーはオンプレミス管理コンソールに接続されたままですが、可能な場合は、センサーをクラウドに接続します。
• 完全に移行した後、可能な限り、オンプレミス管理コンソールへの接続を削除し、クラウド接続を維持します。 エアギャップ状態を維持する必要があるセンサーには、センサー UI から直接アクセスできます。

アーキテクチャを移行するには、次の手順に従います。

1. 各 OT センサーについて、使用中のレガシ統合と、オンプレミスのセキュリティ チームに対して現在構成されているアクセス許可を特定します。 たとえば、配置されているバックアップ システムは何ですか? どのユーザー グループがセンサー データにアクセスしていますか?

2. 各サイトの必要に応じて、センサーをオンプレミス、Azure、その他のクラウド リソースに接続します。 たとえば、オンプレミスの SIEM、プロキシ サーバー、バックアップ ストレージ、その他のパートナー システムに接続します。 複数のサイトがある場合、ハイブリッド アプローチを採用し、特定のサイトのみを完全にエアギャップ状態にしたり、データ ダイオードを使用して分離したりすることができます。

   詳細については、エアギャップ デプロイ手順でリンクされている情報と、クラウドに関する次の参照資料を参照してください。

   • クラウド管理用のセンサーをプロビジョニングする
   • エンタープライズの SOC における OT 脅威の監視
   • 企業での IoT デバイスのセキュリティ保護

3. 新しいデプロイ アーキテクチャに合わせて、センサーにアクセスするためのアクセス許可を設定し、手順を更新します。

4. すべてのセキュリティ ユース ケースと手順が新しいアーキテクチャに移行されたことを確認し、検証します。

5. 移行が完了したら、オンプレミス管理コンソールの使用を停止します。

Central Manager の提供終了タイムライン

オンプレミス管理コンソールは、次の更新および変更をもって、2025 年 1 月 1 日に廃止されます。

• 2025 年 1 月 1 日以降にリリースされたセンサー バージョンは、オンプレミス管理コンソールで管理されなくなります。
• エアギャップ センサーのサポートは、オンプレミス管理コンソールのサポートに対するこれらの変更によって影響を受けることはありません。 Microsoft では、エアギャップ デプロイを引き続きサポートし、クラウドへの移行を支援します。 センサーは完全なユーザー インターフェイスを保持するため、"ライト アウト" シナリオで使用でき、停止が発生した場合でもネットワークの分析とセキュリティ保護を継続できます。
• クラウドに 接続できないエアギャップ センサーは、センサー コンソールの GUI、CLI、または API を使用して直接管理できます。
• 2024 年 1 月 1 日から 2025 年 1 月 1 日までの期間にリリースされたセンサー ソフトウェアのバージョンは、引き続きオンプレミス管理コンソールをサポートします。

詳細については、「OT 監視ソフトウェアのバージョン」を参照してください。

次のステップ

センサー コンソールから OT ネットワーク センサーのメンテナンスを行う