組織向けの Microsoft Defender for IoT の概要

モノのインターネット (IoT) では、運用テクノロジ (OT) および IoT の両方のネットワークを使用する数十億台の接続デバイスがサポートされています。 IoT または OT デバイスとネットワークは、多くの場合、特殊なプロトコルを使用して構築され、セキュリティよりも運用上の課題が優先されていることがあります。

IoT または OT デバイスを従来のセキュリティ監視システムで保護できない場合、新しいイノベーションの波のたびに、これらの IoT デバイスと OT ネットワーク全体で潜在的なリスクと攻撃の対象領域が増加します。

Microsoft Defender for IoT は、IoT および OT デバイス、脆弱性、脅威の特定に特化して構築された統合セキュリティ ソリューションです。 Defender for IoT を使用すると、セキュリティ エージェントが組み込まれていない可能性がある既存のデバイスを含め、IoT または OT 環境全体をセキュリティで保護します。

Defender for IoT では、エージェントレスのネットワーク層監視が提供され、産業用機器とセキュリティ オペレーション センター (SOC) ツールの両方と統合されます。

Defender for IoT のエンドツーエンド カバレッジ ソリューションの例を示すダイアグラム。

エージェントレスデバイスの監視

IoT および OT デバイスにセキュリティ エージェントが埋め込まれていない場合は、パッチの適用も正しい構成もされていないままの可能性があり、IT およびセキュリティ チームから見えていないことがあります。 監視されていないデバイスは、企業ネットワークに深くピボットしようとする脅威アクターにとって格好の標的になります。

Defender for IoT は、エージェントレス監視を使用してネットワーク全体の可視性とセキュリティを提供し、特殊なプロトコル、デバイス、またはマシン間 (M2M) の動作を識別します。

  • ネットワーク内のIoT/OTデバイス、その詳細、および通信方法を検出します。 ネットワークセンサー、Microsoft Defender for Endpoint、サードパーティのソースからデータを収集します。

  • 機械学習、脅威インテリジェンス、行動分析を使用してリスクを評価し、脆弱性を管理します。 次に例を示します。

    • パッチが適用されていないデバイス、開いているポート、承認されていないアプリケーション、未承認の接続、デバイス構成の変更、PLC コード、ファームウェアなどを特定します。

    • 関連するすべてのディメンションとプロトコルの履歴トラフィックで検索を実行します。 完全に忠実なPCAPにアクセスして、さらにドリルダウンします。

    • また、ゼロデイ マルウェア、ファイルレス マルウェア、現地調達型戦術など、静的な侵害インジケーター (IOC) では見逃されていた可能性のある高度な脅威を検出します。

  • Microsoft Sentinel のような Microsoft サービス、サード パーティのシステム、API などと統合することで、脅威に対応します。 セキュリティ情報とイベント管理 (SIEM) サービス、セキュリティ オペレーションと応答 (SOAR)、拡張検出と応答 (XDR) サービスなどと統合されます。

Azure portal での Defender for IoT の一元化されたユーザー エクスペリエンスにより、セキュリティおよび OT 監視チームは、デバイスの場所に関係なく、すべての IT、IoT、OT デバイスを視覚化してセキュリティで保護できます。

クラウド、オンプレミス、ハイブリッド OT ネットワークのサポート

OT 環境全体のデバイスを検出するために、ネットワーク内の戦略的な場所に OT ネットワーク センサーをオンプレミスにインストールします。 次に、以下のいずれかの構成を使用して、デバイスとセキュリティ値を表示します。

  • クラウド サービス:

    OT ネットワーク センサーには、検出されたデバイスに関する詳細とセキュリティ データを表示する独自の UI コンソールが用意されていますが、センサーを Azure に接続してクラウドへの移行を拡張します。

    Azure portal から、接続されているすべてのセンサーのデータを一元化された場所に表示し、Microsoft Sentinel などの他の Microsoft サービスと統合します。

  • エアギャップおよびオンプレミスのサービス:

    エアギャップ環境があり、すべての OT ネットワークのデータを完全にオンプレミスに維持したい場合は、OT ネットワーク センサーをオンプレミス管理コンソールに接続して、一元的な可視性と制御を行います。

    引き続き、各センサー コンソールで詳細なデバイス データとセキュリティ値を表示します。

  • ハイブリッド サービス:

    一部のデータはクラウドに配信可能で、その他のデータはオンプレミスに残す必要があるというハイブリッド ネットワーク要件がある場合もあります。

    この場合は、ニーズに合った柔軟でスケーラブルな構成でシステムを設定します。 一部の OT センサーをクラウドに接続して Azure portal でデータを表示し、その他のセンサーはオンプレミスでのみ管理します。

詳細については、「OT システム監視用のシステムアーキテクチャ」を参照してください。

専用 OT プロトコルへのサポートの拡張

IoT および産業用制御システム (ICS) デバイスは、埋め込みプロトコルと、独自、カスタム、または非標準のいずれかのプロトコルの両方を使用してセキュリティで保護できます。 Defender for IoT で既定でサポートされていないプロトコル上で実行されるデバイスがある場合は、Horizon Open Development Environment (ODE) SDK を使用して、プロトコルのネットワーク トラフィックをデコードするための dissector プラグインを開発します。

プラグインのカスタム アラートを作成して、特定のネットワーク アクティビティを特定し、セキュリティ、IT、運用チームに効果的に通知します。 たとえば、次の場合にアラートをトリガーします。

  • センサーによって、特定の IP アドレスとイーサネットの宛先でメモリ レジスタに対する書き込みコマンドが検出された場合。
  • 特定の IP アドレスに対してアクセスが実行された場合。

詳細については、「Horizon プラグインを使用して財産的価値のあるプロトコルを管理する」を参照してください。

Enterprise IoT ネットワークを保護する

次の方法のいずれかまたは両方を使用して、Defender for IoT のエージェントレス セキュリティ機能を OT 環境を超えてエンタープライズ IoT デバイスに拡張します。

  • Microsoft Defender for Endpoint に Enterprise IoT プランを追加し、Defender for Endpoint に IoT デバイスのアラート、脆弱性、推奨事項を追加します。 Enterprise IoT プランでは、Azure portal と Microsoft 365 Defender 全体で共有デバイス インベントリも提供されます。

  • Defender for IoT で Enterprise IoT ネットワーク センサーをオンボード (パブリック プレビュー) して、Defender for IoT デバイスの可視性を Defender for Endpoint でカバーされていないデバイスに拡張します。

Enterprise IoT デバイスには、プリンター、スマート TV、会議システムなどのデバイスや、特化された専用デバイスが含まれます。

詳細については、「企業での IoT デバイスのセキュリティ保護」を参照してください。

デバイス ビルダー向け Defender for IoT

Defender for IoT には、新しい IoT イノベーションに直接セキュリティを組み込むために使用できる軽量のセキュリティ マイクロ エージェントも用意されています。

詳細については、「デバイス ビルダー向け Microsoft Defender for IoT のドキュメント」を参照してください。

サポートされているサービス リージョン

Defender for IoTでは、すべてのヨーロッパリージョンのすべてのトラフィックを、西ヨーロッパリージョンデータセンターにルーティングします。 残りのすべてのリージョンからのトラフィックは "米国東部" リージョン データセンターにルーティングします。

次の手順