OT/IoT デバイスのセキュリティのための Microsoft Defender for IoT の実装

OT/IoT デバイスのセキュリティのための Microsoft Defender for IoT の実装

2025/05/14

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアが、運用テクノロジ (OT) およびモノのインターネット (IoT) 環境を保護するために Microsoft Defender for IoT を実装および構成する方法をガイドすることを目的としています。 IT ネットワークと OT ネットワークの統合と IoT デバイスの急増により、新たな複雑な攻撃対象領域が導入されました。 Defender for IoT は、産業およびエンタープライズ環境における OT および IoT デバイス、脆弱性、脅威を特定、監視、保護するための統合ソリューションを提供します [1]。

はじめに

歴史的に、SCADA (監視制御およびデータ収集) や PLC (プログラマブル ロジック コントローラー) などの産業システムを制御する運用技術 (OT) ネットワークは、情報技術 (IT) ネットワークから分離されていました。しかし、効率性と自動化の追求により、これらのネットワークの相互接続と IoT デバイスの統合が行われています。この統合は有益ではありますが、これまで IT 業界に限定されていたサイバー脅威に重要なシステムをさらすことになります。発電所や工場などの重要なインフラに対する攻撃は、これらの環境を保護する緊急性を浮き彫りにしています[2]。

Microsoft Defender for IoT は、OT/IoT 環境におけるセキュリティの課題に対処するために特別に設計された包括的なセキュリティ ソリューションです。デバイス上のエージェントを必要とせずに、接続されたデバイスの完全な可視化、脆弱性の検出、継続的な脅威の監視を実現します。これは、変更できない OT システムにとって重要です。このソリューションは、ネットワーク センサーを使用して OT/IoT ネットワーク トラフィックを収集および分析し、異常なデバイス、プロトコル、動作を特定します。さらに、セキュリティ モジュールに基づいて IoT デバイスを保護するように拡張することもできます [3]。

この実用的なガイドでは、前提条件、OT/IoT セキュリティの概念、Defender for IoT の展開方法 (OT 環境のネットワーク センサーに焦点を当てます)、脅威と脆弱性の監視方法、アラートの構成方法、および Microsoft Sentinel との統合方法について説明します。読者がこれらの機能を実装、テスト、検証できるように、段階的な手順、実践的な例、および簡潔な説明が提供されます。さらに、自律的、専門的かつ信頼性の高い方法で OT/IoT デバイスを確実に保護するための、セキュリティのヒント、コンプライアンス チェック、ベスト プラクティスについても説明します。

Microsoft Defender for IoT が OT/IoT セキュリティにとって重要なのはなぜですか?

  • 包括的な可視性: ネットワークに接続されているすべての OT/IoT デバイスを自動的に検出して分類し、完全な資産インベントリを提供します。
  • OT/IoT 固有の脅威検出: 不正な PLC プログラミング変更、ネットワーク スキャン、産業用マルウェアなど、OT プロトコルおよび IoT デバイスに固有の脅威と異常な動作を特定します。
  • 脆弱性評価: OT/IoT デバイスの脆弱性と構成ミスを特定し、軽減のための実用的な推奨事項を提供します。
  • 継続的なエージェントレス監視: デバイスにエージェントをインストールする必要がなく、ネットワーク トラフィックを受動的に監視します。これはレガシー システムや重要なシステムにとって不可欠です。
  • SIEM/SOAR 統合: Microsoft Sentinel および他の SIEM/SOAR プラットフォームと統合して、一元的なインシデント管理と対応の自動化を実現します。
  • コンプライアンス: 重要なインフラストラクチャのセキュリティに関する規制要件と業界標準を満たすのに役立ちます。

前提条件

Microsoft Defender for IoT を実装するには、次のものが必要です。

  1. アクティブな Azure サブスクリプション: リソースを作成および管理するための Azure サブスクリプション。
  2. 管理アクセス: Defender for IoT が展開されるサブスクリプションの「所有者」、「共同作成者」、または「セキュリティ管理者」のロールを持つアカウント。
  3. コンピューティング リソース (センサー用): Defender for IoT ネットワーク センサーをホストする物理サーバーまたは仮想マシン (VMware ESXi、Hyper-V)。ハードウェア要件は、監視対象のネットワークの規模によって異なります [4]。
  4. ネットワーク接続: OT/IoT ネットワーク トラフィックをセンサーにミラーリングする機能 (SPAN ポート、TAP、または VSwitch 経由)。
  5. Azure IoT Hub (ペア)IoT デバイス上のエージェントベースの保護): 保護をエージェントベースの IoT デバイスに拡張する場合はオプションです。

ステップバイステップ: Microsoft Defender for IoT の実装

Defender for IoT を有効にして、ネットワーク センサーを展開して OT 環境を監視しましょう。

1. Azure サブスクリプションでの Microsoft Defender for IoT の有効化

  1. ブラウザーを開き、Azure portal: https://portal.azure.com に移動します。
  2. 必要な権限を持つアカウントでログインします。
  3. 上部の検索フィールドに「Microsoft Defender for IoT」と入力し、結果からそれを選択します。
  4. Defender for IoT の概要ページで、[Defender for IoT を有効にする] をクリックするか、[プランと価格] に移動します。

  5. 保護する サブスクリプション を選択し、「Defender for IoT」プランをアクティブ化します。

    • 説明: プランをアクティブ化すると、Azure バックエンドで必要なリソースのプロビジョニングなど、選択したサブスクリプションの Defender for IoT セキュリティ機能が有効になります。

2. OT ネットワーク センサーの作成

OT ネットワーク センサーは、OT 環境内のトラフィックを監視するための重要なコンポーネントです。

  1. Defender for IoT の左側のナビゲーション ウィンドウで、サイトとセンサー を選択します。

  2. 「+ センサーの追加」をクリックします。

  3. センサーを追加:

    • センサー名: 意味のある名前を付けます (例: SensorOT_FabricaX)。
    • サブスクリプション: サブスクリプションを選択します。
    • リソース グループ: 既存のリソース グループを選択するか、新しいリソース グループを作成します。
    • 地域: OT 環境に最も近い地域を選択します。
    • サイト: 新しい Web サイト (例: FabricaX) を作成するか、既存の Web サイトを選択します。 Web サイトは、センサーを地理的または論理的に整理するのに役立ちます。
    • ゾーン: 新しいゾーン (例: 「Production」) を作成するか、既存のゾーンを選択します。ゾーンは、OT ネットワークをセグメント化するのに役立ちます。

  4. [登録] をクリックします。

  5. 登録後、アクティベーション ファイル (activation.zip) を受け取ります。センサー ソフトウェアをアクティブ化するためにこのファイルが必要となるため、このファイルをダウンロードします。

3. OT センサー ソフトウェアのインストールとアクティブ化

この手順には、オンプレミスの物理サーバーまたは VM にセンサー ソフトウェアをインストールすることが含まれます。

  1. サーバー/VM の準備: 指定されたサーバーまたは VM に Linux オペレーティング システム (Ubuntu Server 18.04/20.04 LTS または CentOS/RHEL 7.9/8.x) をインストールします。サーバーに 2 つのネットワーク インターフェイスがあることを確認します。1 つは管理用、もう 1 つはトラフィック監視用 (SPAN ポート/TAP) [5]。
  2. センサー ソフトウェアのダウンロード: Defender for IoT ポータルの [サイトとセンサー] ページで、作成したセンサーを選択し、[インストール ソフトウェアのダウンロード] をクリックします。
  3. ソフトウェアのインストール: インストール ファイルをサーバー/VM にコピーし、インストール スクリプトを実行します。画面上の指示に従って、ネットワーク インターフェイスやその他の基本設定を構成します。
    • インストール用のコマンド例 (Ubuntu): 「」バッシュ sudo aptアップデート sudo apt install -y ./<インストールファイル名>.deb sudo /var/cyberx/bin/setup_wizard.sh 「」

  4. センサーをアクティブ化: セットアップ ウィザード中に、以前にダウンロードしたアクティブ化ファイル (「activation.zip」) をアップロードするように求められます。

    • 説明: アクティブ化すると、センサーが Azure の Defender for IoT サービスに接続され、テレメトリ データとアラートの収集と送信を開始できるようになります。センサーはパッシブ モードで動作し、ネットワーク トラフィックのコピーを分析します。

4. ポートミラーリング (SPAN/TAP) の設定

センサーが OT トラフィックを監視できるようにするには、ネットワーク スイッチまたは VSwitch でポート ミラーリングを構成する必要があります。

  1. 監視ポートの特定: ネットワーク スイッチ上で、OT/ICS トラフィックが通過するポートを特定します。

  2. SPAN/ポート ミラーリングの設定: モニタリング ポートから OT センサーのモニタリング インターフェイスにトラフィックをコピーするようにポート ミラーリングを設定します。

    • Cisco Catalyst コマンドの例 (基本設定): 「」クリ 端末を設定する モニターセッション 1 ソースインターフェイス Gi1/0/1 セッション 1 の宛先インターフェイス Gi1/0/2 を監視します 終わり 「」

      • ここで、「Gi1/0/1」は OT トラフィックの送信元ポート、「Gi1/0/2」はセンサー監視インターフェイスに接続されているポートです。

    • 説明: ポートミラーリングにより、センサーはポート全体のコピーを確実に受信します。OT ネットワークの運用を妨げることなく、関連するトラフィックを処理します。トラフィックがセンサーに対して一方向であることが重要です。

5. Defender for IoT での資産と脅威の監視

インストールと構成後、センサーは資産の検出と脅威の検出を開始します。

  1. Azure portal で、Microsoft Defender for IoT > サイトとセンサー に移動します。
  2. センサー (SensorOT_FabricaX) を選択します。
  3. 左側のナビゲーション ペインでは、以下を探索できます。
    • デバイス インベントリ: 検出されたすべての OT/IoT デバイス、そのタイプ、ベンダー、モデル、脆弱性の完全なリストを表示します。
    • アラート: 不審なアクティビティまたは異常なアクティビティによって生成されたセキュリティ アラートを表示します。
    • 脆弱性: OT/IoT デバイスで検出された脆弱性を確認します。
    • ネットワーク マップ: OT ネットワークのトポロジとデバイス間の接続を表示します。

検証とテスト

Defender for IoT が正しく動作し、脅威を検出していることを検証することが重要です。

1. デバイスのインベントリの確認

  1. シナリオ: センサーを数時間または数日間操作した後、ネットワーク上で予期されるすべての OT/IoT デバイスが検出され、「デバイス インベントリ」にリストされていることを確認します。
  2. 予想されるアクション: インベントリには、OT/IoT 資産の正確なリストを入力する必要があります。
  3. 検証: Defender for IoT ポータルのデバイスのリストを社内の資産インベントリと比較します。

2. 脅威検出のテスト (シミュレーション)

注意: OT 環境で悪意のあるアクティビティをシミュレートすると重大な結果を招く可能性があるため、このテストは隔離されたテスト環境で実行するか、適切な許可と監督の下で実行してください。

  1. シナリオ: OT テスト環境で、次のような不審なアクティビティをシミュレートします。
    • ポート スキャン: 不正なデバイスから PLC へのポート スキャンを実行します。
    • プログラミング変更: 許可されていないワークステーションから PLC のプログラミングを変更しようとします。
    • 不正な通信: 通常は通信しない 2 つの OT デバイス間で通信を確立しようとします。
  2. 期待されるアクション: Defender for IoT はアクティビティを検出し、関連するセキュリティ アラートを生成する必要があります。
  3. 検証:
    • Azure portal で、Microsoft Defender for IoT > アラート に移動します。
    • シミュレートしたアクティビティに一致するアラートを探します (例: 「ポート スキャンが検出されました」、「不正な PLC プログラミング変更」)。

セキュリティのヒントとベスト プラクティス

  • 冗長センサーの導入: 重要な環境では、センサー障害が発生した場合でも監視を継続できるように、冗長センサーの導入を検討してください。
  • OT ネットワークのセグメンテーション: OT ネットワークを IT ネットワークから分離し、ファイアウォールを実装してネットワーク間のトラフィックを制御します。 Defender for IoT は、このセグメンテーションの有効性を検証するのに役立ちます。
  • 最小特権の原則: 許可されたユーザーとシステムのみが OT/IoT デバイスにアクセスでき、必要な特権のみを持っていることを確認します。
  • 脆弱性管理: Defender for IoT によって特定された脆弱性を定期的に確認し、推奨される修正と緩和策を実装します。
  • Microsoft Sentinel との統合: Defender for IoT を Microsoft Sentinel に接続して、セキュリティ インシデントとイベント管理を一元化し、IT イベントとの関連付けと対応の自動化を可能にします。
  • バックアップとリカバリ: OT/IoT システムの堅牢なバックアップおよびリカバリ プランを実装し、サイバー攻撃やシステム障害に対する回復力を確保します。
  • トレーニングと認識: OT/IoT 固有のサイバー脅威とセキュリティのベスト プラクティスについて OT および IT チームをトレーニングします。

一般的なトラブルシューティング

  • センサーがオンラインでないか、データを送信していません:
    • Azure へのセンサー ネットワークの接続を確認します。必要な出力ポート (443) が開いていることを確認してください。
    • センサー ソフトウェアのインストール中にアクティベーション ファイルが正しくロードされたことを確認してください。
    • センサーのオペレーティング システムのログにエラーがないか確認してください。 ※サーバー上でセンサーサービスが起動していることを確認してください。
  • 不完全または不正確なデバイス インベントリ:
    • ESP 構成を確認してくださいネットワーク スイッチ上のポート パッチング (SPAN/TAP)。関連するすべてのトラフィックがセンサー監視インターフェイスにコピーされていることを確認します。
    • センサー監視インターフェイスが正しく設定されており、トラフィックを受信して​​いることを確認します。
    • 特に大規模なネットワークや断続的なトラフィックがある場合、センサーがすべてのデバイスを検出するまでに時間がかかる場合があります。
  • 不審なアクティビティに対してはアラートは生成されません:
    • Defender for IoT プランがサブスクリプションに対してアクティブ化されていることを確認します。
    • センサーがオンラインでデータを送信しているかどうかを確認します。
    • テストしているアクティビティが実際に Defender for IoT 検出ルールをトリガーしていることを確認してください。状況によっては、一部のアクティビティが正常であるとみなされる場合があります。
    • Defender for IoT ポータルでアラート設定を確認します。
  • センサーのパフォーマンスの問題:
    • センサーをホストしているサーバー/VM のハードウェア リソース (CPU、RAM、ディスク) を確認します。監視対象のトラフィック量の最小要件を満たしていることを確認してください。
    • ポート ミラーリング構成を最適化して、必要なトラフィックのみがセンサーに送信されるようにします。

結論

Microsoft Defender for IoT は、運用環境の重要なインフラストラクチャと IoT デバイスを保護するための強力かつ不可欠なソリューションです。詳細な可視性、特定の OT/IoT 脅威の検出、Microsoft セキュリティ エコシステムとの統合を提供することで、組織はリスクを軽減し、ビジネス継続性を確保できます。セキュリティ上の利点を最大化するには、慎重な実装、ポート ミラーリングの適切な構成、および継続的な監視が重要です。この実践的なガイドを使用すると、セキュリティ専門家と IT 管理者は、Microsoft Defender for IoT の構成、検証、管理を行うための十分な準備が整い、最も貴重な OT/IoT 資産を保護し、組織全体のセキュリティ体制を強化できます。

参考文献:

[1] Microsoft Learn。 Defender for IoT を使用して OT セキュリティを強化します。入手可能場所: https://learn.microsoft.com/pt-br/azure/defender-for-iot/organizations/overview [2] Microsoft Learn。 Defender for IoT OT アーキテクチャとコンポーネント。入手可能場所: https://learn.microsoft.com/pt-br/azure/defender-for-iot/organizations/architecture [3] Microsoft Learn。 Microsoft Defender for IoT ドキュメント。入手可能場所: https://learn.microsoft.com/pt-br/azure/defender-for-iot/ [4] Microsoft Learn。 OT サイトの展開を準備します - Microsoft Defender for IoT。入手可能場所: https://learn.microsoft.com/pt-br/azure/defender-for-iot/organizations/best-practices/plan-prepare-deploy [5] Microsoft Learn。 OT 監視のために Defender for IoT を展開します。入手可能場所: https://learn.microsoft.com/pt-br/azure/defender-for-iot/organizations/ot-deploy/ot-deploy-path [6] Microsoft Learn。 独自の Microsoft Defender for IoT ラボをセットアップする方法。入手可能場所: https://derkvanderwoude.medium.com/how-to-setup-your-own-microsoft-defender-for-iot-lab-a2eaee879317 [7] Microsoft Learn。 Microsoft Defender for IoT による脅威と保護。入手可能場所: https://medium.com/@m365alikoc/iot-security-threats-and-protection-with-microsoft-defender-for-iot-e687303f9c34