組織向けの Microsoft Defender for IoT の概要
Note
Microsoft Defender for IoT を使用した OT 監視は、Microsoft 365 管理センターで購入したサイトベースのライセンスで購入できるようになりました。
モノのインターネット (IoT) では、運用テクノロジ (OT) および IoT の両方のネットワークを使用する数十億台の接続デバイスがサポートされています。 IoT/OT デバイスとネットワークは、多くの場合、特殊なプロトコルを使用して構築されており、セキュリティよりも運用上の課題が優先されていることがあります。
IoT または OT デバイスを従来のセキュリティ監視システムで保護できない場合、新しいイノベーションの波のたびに、これらの IoT デバイスと OT ネットワーク全体で潜在的なリスクと攻撃の対象領域が増加します。
Microsoft Defender for IoT は、IoT および OT デバイス、脆弱性、脅威の特定に特化して構築された統合セキュリティ ソリューションです。 Defender for IoT を使用して、セキュリティ エージェントが組み込まれていない可能性がある既存のデバイスを含め、IoT/OT 環境全体をセキュリティで保護します。
Defender for IoT では、エージェントレスのネットワーク層監視が提供され、産業用機器とセキュリティ オペレーション センター (SOC) ツールの両方と統合されます。
エージェントレスデバイスの監視
IoT デバイスと OT デバイスにセキュリティ エージェントが埋め込まれていない場合は、修正プログラムの適用や正しい構成が行われておらず、IT チームやセキュリティ チームから見えない状態になっている可能性があります。 監視対象外のデバイスは、企業ネットワークにより深く軸足を置こうとする脅威アクターのソフト ターゲットになることがあります。
Defender for IoT は、エージェントレス監視を使用してネットワーク全体の可視性とセキュリティを提供し、特殊なプロトコル、デバイス、またはマシン間 (M2M) の動作を識別します。
ネットワーク内のIoT/OTデバイス、その詳細、および通信方法を検出します。 ネットワークセンサー、Microsoft Defender for Endpoint、サードパーティのソースからデータを収集します。
機械学習、脅威インテリジェンス、行動分析を使用してリスクを評価し、脆弱性を管理します。 次に例を示します。
パッチが適用されていないデバイス、開いているポート、承認されていないアプリケーション、未承認の接続、デバイス構成の変更、PLC コード、ファームウェアなどを特定します。
関連するすべてのディメンションとプロトコルの履歴トラフィックで検索を実行します。 完全に忠実なPCAPにアクセスして、さらにドリルダウンします。
ゼロデイ マルウェア、ファイルレス マルウェア、環境寄生型戦術など、セキュリティ侵害のインジケーター (IOC) では見逃していた可能性がある高度な脅威を検出します。
Microsoft Sentinel のような Microsoft サービス、サード パーティのシステム、API などと統合することで、脅威に対応します。 セキュリティ情報とイベント管理 (SIEM) サービス、セキュリティ オペレーションと応答 (SOAR)、拡張検出と応答 (XDR) サービスなどと統合されます。
Azure portal での Defender for IoT の一元化されたユーザー エクスペリエンスにより、セキュリティおよび OT 監視チームは、デバイスの場所に関係なく、すべての IT、IoT、OT デバイスを視覚化してセキュリティで保護できます。
クラウド、オンプレミス、ハイブリッド OT ネットワークのサポート
OT 環境全体のデバイスを検出するために、ネットワーク内の戦略的な場所に OT ネットワーク センサーをオンプレミスにインストールします。 次に、以下のいずれかの構成を使用して、デバイスとセキュリティ値を表示します。
クラウド サービス:
OT ネットワーク センサーには、検出されたデバイスに関する詳細とセキュリティ データを表示する独自の UI コンソールが用意されていますが、センサーを Azure に接続してクラウドへの移行を拡張します。
Azure portal から、接続されているすべてのセンサーのデータを一元化された場所に表示し、Microsoft Sentinel などの他の Microsoft サービスと統合します。
エアギャップおよびオンプレミスのサービス:
エアギャップ環境があり、すべての OT ネットワークのデータを完全にオンプレミスに維持したい場合は、OT ネットワーク センサーをオンプレミス管理コンソールに接続して、一元的な可視性と制御を行います。
引き続き、各センサー コンソールで詳細なデバイス データとセキュリティ値を表示します。
ハイブリッド サービス:
一部のデータをクラウドに配信できる一方で他のデータはオンプレミスのままにできるハイブリッド ネットワーク要件が存在する場合があります。
この場合は、ニーズに合った柔軟でスケーラブルな構成でシステムを設定します。 一部の OT センサーをクラウドに接続して Azure portal でデータを表示し、その他のセンサーはオンプレミスでのみ管理します。
詳細については、「OT システム監視用のシステムアーキテクチャ」を参照してください。
Enterprise IoT ネットワークを保護する
Microsoft Defender for Endpoint で Enterprise IoT セキュリティを使用して、OT 環境を超えて Enterprise IoT デバイスに Defender for IoT のエージェントレス セキュリティ機能を拡張します。また、IoT デバイスに関連するアラート、脆弱性、推奨事項を Microsoft Defender XDR に表示します。
Enterprise IoT デバイスには、プリンター、スマート TV、会議システムなどのデバイスや、特化された専用デバイスが含まれます。
詳細については、「企業での IoT デバイスのセキュリティ保護」を参照してください。
サポートされているサービス リージョン
Defender for IoTでは、すべてのヨーロッパリージョンのすべてのトラフィックを、西ヨーロッパリージョンデータセンターにルーティングします。 残りのすべてのリージョンからのトラフィックは "米国東部" リージョン データセンターにルーティングします。