チュートリアル: ゼロ トラストの原則で OT ネットワークを監視する

ゼロ トラストとは、次の一連のセキュリティ原則を設計および実装するためのセキュリティ戦略です。

明示的に検証する	最小限の特権アクセスを使用する	侵害を想定する
すべての使用可能なデータ ポイントに基づいて、常に認証と承認を行います。	Just-In-Time および Just-Enough-Access (JIT/JEA)、リスクベースの適応型ポリシー、データ保護を使用して、ユーザーのアクセスを制限します。	影響範囲を最小限に抑えるために、アクセスをセグメント化します。 エンドツーエンドで暗号化されていることを確認し、分析を使用して可視化し、脅威検出を推進し、防御を強化します。

Defender for IoT は、OT ネットワーク全体でサイトとゾーンの定義を使用して、ネットワークの検疫を維持し、各サブシステムを分離してセキュリティで保護します。

このチュートリアルでは、Defender for IoT とゼロ トラストの原則を使用して OT ネットワークを監視する方法について説明します。

このチュートリアルでは、以下の内容を学習します。

• 不明なデバイスでアラートを探す
• 脆弱なシステムを探す
• サブネット間トラフィックに関するアラートを探す
• 悪意のあるトラフィックをシミュレートしてネットワークをテストする

重要

Azure portal の [推奨事項] ページは現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

前提条件

このチュートリアルのタスクを実行するには、次のものが必要です。

• Azure サブスクリプション上の Defender for IoT OT プラン

• 複数のクラウド接続された OT センサーをデプロイし、トラフィック データを Defender for IoT にストリーミングする。 各センサーを異なるサイトとゾーンに割り当て、各ネットワーク セグメントを分離してセキュリティで保護する必要があります。 詳細については、「Defender for IoT に OT センサーをオンボードする」を参照してください。

• 次のアクセス許可:

  • セキュリティ管理者、共同作成者、または所有者ユーザーとして Azure portal にアクセスする。 詳細については、「Defender for IoT の Azure ユーザー ロールとアクセス許可」を参照してください。

  • 管理者またはセキュリティ アナリスト ユーザーとしてセンサーにアクセスする。 詳細については、Defender for IoT を使用した OT 監視のためのオンプレミスのユーザーとロールに関するページを参照してください。

サブネット間トラフィックに関するアラートを探す

サブネット間トラフィックとは、サイトとゾーン間を移動するトラフィックです。

内部システムが他のシステムに通知メッセージを送信する場合など、サブネット間トラフィックが正当な場合があります。 ただし、内部システムが外部サーバーに通信を送信している場合は、その通信がすべて正当であることを確認する必要があります。 発信するメッセージがある場合、共有できる情報が含まれているかどうかを確認します。 入ってくるトラフィックがある場合、それが安全なソースからのものであるかを確認します。

ネットワークをサイトとゾーンに分割して、各サブシステムを分離して安全に保っているので、特定のサイトまたはゾーンのほとんどのトラフィックがそのサイトまたはゾーンの内部に留まると予想できます。 サブネット間トラフィックが表示される場合は、ネットワークが危険にさらされていることを示している可能性があります。

サブネット間トラフィックを検索するには:

1. 調査する OT ネットワーク センサーにサインインし、左側の [デバイス マップ] を選択します。

2. マップの左側にある [グループ] ペインを展開し、[フィルター]>[サブネット間接続] を選択します。

3. マップ上で、デバイス間の接続を表示できるように、十分に拡大します。 特定のデバイスを選択すると、右側に [デバイスの詳細] ペインが表示され、デバイスをさらに調査できます。

   たとえば、[デバイスの詳細] ペインで [アクティビティ レポート] を選択してアクティビティ レポートを作成し、特定のトラフィック パターンの詳細を確認します。

不明なデバイスでアラートを探す

ネットワーク上にあるデバイスと、それらが通信している相手を把握していますか。 Defender for IoT によって、OT サブネットで検出された新しい不明なデバイスに対してアラートがトリガーされるため、それを識別して、デバイス セキュリティとネットワーク セキュリティの両方を確保できます。

不明なデバイスには、ネットワーク間を移動する "一時的な" デバイスが含まれる場合があります。 たとえば、一時的なデバイスには、サーバーの保守時にネットワークに接続する技術者のノート PC や、オフィスのゲスト ネットワークに接続する訪問者のスマートフォンが含まれる場合があります。

重要

不明なデバイスを特定したら、それらのデバイスによってトリガーされたアラートをさらに調査してください。不明なデバイスでの不審なトラフィックは、さらなるリスクを生み出すからです。

未承認または不明なデバイスと危険なサイトとゾーンを確認するには:

1. Azure portal の Defender for IoT で、[アラート] を選択して、クラウドに接続されたすべてのセンサーによってトリガーされたアラートを表示します。 不明なデバイスのアラートを検索するには、次の名前のアラートをフィルター処理します。

   • New Asset Detected(新しい資産の検出)
   • Field Device Discovered Unexpectedly(フィールド デバイスを予期せず検出)

   各フィルター アクションは個別に実行します。 フィルター アクションごとに、次の手順を実行して、ネットワーク内の危険なサイトとゾーンを特定します。セキュリティ ポリシーの更新が必要になる場合があります。

   1. サイトごとにアラートをグループ化して、不明なデバイスに対して多数のアラートを生成している特定のサイトがあるかどうかを確認します。

   2. 表示されるアラートにゾーン フィルターを追加して、アラートを特定のゾーンに絞り込みます。

不明なデバイスに対して多くのアラートを生成する特定のサイトまたはゾーンが危険にさらされています。 多くの不明なデバイスがネットワークに接続するのを防ぐために、セキュリティ ポリシーを更新することをお勧めします。

不明なデバイスの特定のアラートを調査するには:

1. [アラート] ページで、アラートを選択して、右側のペインとアラートの詳細ページで詳細を表示します。

2. デバイスが正当なものかどうかまだわからない場合は、関連する OT ネットワーク センサーについてさらに調査してください。

   • アラートをトリガーした OT ネットワーク センサーにサインインし、アラートを見つけてアラートの詳細ページを開きます。
   • [マップ ビュー] と [イベント タイムライン] の各タブを使用して、デバイスが検出されたネットワーク内の場所、および関連する可能性があるその他のイベントを見つけます。

3. 必要に応じて次のいずれかのアクションを実行して、リスクを軽減します。

   • デバイスが正当な場合は、同じデバイスに対してアラートが再度トリガーされないように、アラートを学習します。 アラートの詳細ページで、[学習] を選択します。
   • デバイスが正当なものでない場合はブロックします。

承認されていないデバイスを探す

ネットワークで検出された承認されていない新しいデバイスを事前に監視することをお勧めします。 承認されていないデバイスを定期的にチェックすることで、ネットワークに侵入する可能性のある悪意のあるデバイスや悪意のある可能性のあるデバイスによる脅威を防ぐことができます。

たとえば、[承認されていないデバイスの確認] の推奨事項を使用して、承認されていないすべてのデバイスを特定します。

承認されていないデバイスを確認するには、以下を実行します。

1. Azure portal の Defender for IoT で、[推奨事項 (プレビュー)] を選択し、[承認されていないデバイスの確認] の推奨事項を検索します。
2. [Unhealthy devices] (異常なデバイス) タブに一覧表示されているデバイスを確認します。これらの各デバイスは承認されていないため、ネットワークにとってリスクになるおそれがあります。

修復手順に従います。たとえば、デバイスが既知の場合はデバイスを承認済みとしてマークし、調査後もデバイスが不明な場合はネットワークからデバイスを切断します。

詳細については、「セキュリティに関する推奨事項を使用してセキュリティ体制を強化する」を参照してください。

ヒント

[認可] フィールドでデバイス インベントリをフィルター処理し、未承認としてマークされたデバイスのみを表示することで、承認されていないデバイスを確認することもできます。

脆弱なシステムを探す

古いソフトウェアまたはファームウェアを搭載したデバイスがネットワーク上にある場合、それらは攻撃に対して脆弱である可能性があります。 サポートが終了し、セキュリティ更新プログラムが提供されていないデバイスは、特に脆弱です。

脆弱なシステムを検索するには:

1. Azure portal の Defender for IoT で、[Workbooks]>[脆弱性] を選択して、脆弱性ブックを開きます。

2. ページ上部のサブスクリプション セレクターで、OT センサーがオンボードされている Azure サブスクリプションを選択します。

   ブックには、ネットワーク全体からデータが取り込まれます。

3. 下にスクロールして、脆弱なデバイスと脆弱なコンポーネントのリストを表示します。 ネットワーク内のこれらのデバイスとコンポーネントには、ファームウェアやソフトウェアの更新プログラムなどの注意が必要です。更新プログラムが使用できない場合は置き換える必要があります。

4. ページの上部にある [SiteName] 選択で、1 つ以上のサイトを選択して、サイトごとにデータをフィルター処理します。 サイトごとにデータをフィルター処理すると、サイト全体の更新やデバイスの交換が必要になる可能性がある特定のサイトでの懸念事項を特定するのに役立ちます。

悪意のあるトラフィックをシミュレートしてネットワークをテストする

特定のデバイスのセキュリティ ポスチャを確認するには、攻撃ベクトル レポートを実行して、そのデバイスへのトラフィックをシミュレートします。 シミュレートされたトラフィックを使用して、脆弱性を特定し、悪用される前に軽減します。

攻撃ベクトル レポートを実行するには:

1. 調査するデバイスを検出する OT ネットワーク センサーにサインインし、左側の [攻撃ベクトル] を選択します。

2. [+ シミュレーションの追加] を選択し、[攻撃ベクトル シミュレーションの追加] ペインに次の詳細を入力します。

   フィールド/オプション	説明
   名前	シミュレーションのわかりやすい名前を入力します (ゼロ トラストや日付など)。
   ベクトルの最大数	デバイス間でサポートされる接続の最大数を含めるには、[20] を選択します。
   デバイス マップで表示	省略可能。 センサーのデバイス マップにシミュレーションを表示する場合に選択します。これにより、後でさらに調査することができます。
   すべてのソース デバイスを表示 / すべてのターゲット デバイスを表示	両方を選択すると、シミュレーションでセンサーの検出されたすべてのデバイスが、可能なソース デバイスと宛先デバイスとして表示されます。

   検出されたすべてのトラフィックをシミュレーションに含めるには、[デバイスの除外] と [サブネットの除外] を空白のままにします。

3. [保存] を選択し、シミュレーションの実行が完了するまで待ちます。 所要時間は、センサーによって検出されたトラフィックの量によって異なります。

4. 新しいシミュレーションを展開し、検出された項目のいずれかを選択して、右側に詳細を表示します。 次に例を示します。

   

5. 特に、次のいずれかの脆弱性を探します。

   脆弱性	Description
   インターネットに公開されているデバイス	たとえば、これらの脆弱性は、"インターネット接続が原因で外部の脅威にさらされています" というメッセージと共に表示される場合があります。
   ポートが開いているデバイス	開いているポートは、リモート アクセスに正当に使用される可能性がありますが、リスクが発生する可能性もあります。 たとえば、これらの脆弱性は、"TeamViewer を使用したリモート アクセスが許可されています" や "リモート デスクトップを使用したリモート アクセスが許可されています" のようなメッセージで表示される場合があります。
   サブネットをまたがるデバイス間の接続	たとえば、"デバイス間の直接接続" というメッセージが表示される場合があります。これは、単独では受け入れられる可能性がありますが、サブネットをまたがるコンテキストでは危険です。

サイトまたはゾーンごとに検出されたデータを監視する

Azure portal では、次の場所からサイトおよびゾーンごとに Defender for IoT データを表示できます。

• デバイス インベントリ: サイトまたはゾーンごとにデバイス インベントリをグループ化またはフィルター処理します。

• アラート: サイトのみでアラートをグループ化またはフィルター処理します。 [サイト] または [ゾーン] の列をグリッドに追加して、グループ内でデータを並べ替えます。

• Workbooks: Defender for IoT 脆弱性ブック を開き、サイトごとに検出された脆弱性を表示します。 サイトおよびゾーンごとにより多くのデータを表示するために、独自の組織用にカスタム ワークブックを作成することもできます。

• サイトとセンサー: サイトまたはゾーン別に一覧表示されるセンサーをフィルター処理します。

監視するアラートのサンプル

ゼロ トラストを監視する場合に、監視する重要な Defender for IoT アラートの例を次に示します。

• ネットワークに接続されている未承認のデバイス (特に悪意のある IP/ドメイン名の要求)
• 既知のマルウェアを検出
• インターネットへの不正な接続
• 不正なリモート アクセス
• ネットワーク スキャン操作を検出
• 許可されていない PLC プログラミング
• ファームウェア バージョンの変更

• "PLC Stop" やその他の潜在的に悪意のあるコマンド
• デバイスが切断されている可能性あり
• イーサネットまたは IP CIP サービス要求エラー
• BACNet 操作の失敗
• 無効な DNP3 操作
• 不正な SMB ログイン

次のステップ

監視の結果に基づいて、または組織内の人やシステムが時間の経過とともに変化するにつれて、ネットワークのセグメント化を変更する必要がある場合があります。

サイトとゾーンの構造を変更し、サイトベースのアクセス ポリシーを再割り当てして、現在のネットワークの現状に常に一致するようにします。

組み込みの Defender for IoT 脆弱性ブックを使用するだけでなく、さらに多くのカスタム ブックを作成して、継続的な監視を最適化します。

詳細については、次を参照してください。

• Azure portal で Defender for IoT を使用してセンサーを管理する
• サイトベースのアクセス制御を管理する (パブリック プレビュー)
• Azure Monitor ブックを使用して Microsoft Defender for IoT データを視覚化する