IoT ワークロードのセキュリティ

  • [アーティクル]

IoT ソリューションには、多様な異種混合のデバイスベースのワークロードを、直接的な対話をほとんどまたはまったく行わずにセキュリティで保護するという課題があります。 IoT デバイス ビルダー、IoT アプリケーション開発者、IoT ソリューション オペレーターが、IoT ソリューションのライフサイクル全体でのセキュリティの責任を共有します。 最初からセキュリティを念頭に置いてソリューションを設計することが重要です。 潜在的な脅威を理解し、ソリューションをデザインおよび設計する際に多層防御を追加します。

セキュリティ計画は、脅威モデルから始まります。 攻撃者がどのようにシステムを侵害できるかを理解することは、最初の段階から適切な軽減策を確保するのに役立ちます。 脅威のモデル化は、設計フェーズに組み込まれたときにその価値が最大となります。 脅威モデリングの演習の一環として、一般的な IoT アーキテクチャを複数のコンポーネントまたはゾーン (デバイス、デバイス ゲートウェイ、クラウド ゲートウェイ、サービス) に分割することができます。 各ゾーンに独自の認証、認可、データ要件を設定できます。 ゾーンを使って損害を分離し、信頼度の低いゾーンが信頼度の高いゾーンに与える影響を制限することができます。 詳しくは、モノのインターネット (IoT) のセキュリティ アーキテクチャに関する記事を参照してください。

以下の IoT ワークロードに関するセキュリティ ガイダンスでは、主な考慮事項を特定し、設計と実装に関する推奨事項を示します。

IoT ワークロードのセキュリティを評価する

Well-Architected フレームワークのセキュリティの柱という観点から IoT ワークロードを評価するには、「Azure Well-Architected レビュー」で IoT ワークロードのセキュリティに関する質問に答えてください。 評価によって IoT ソリューションの主なセキュリティ推奨事項を特定できた後は、以下のコンテンツを使うと推奨事項を実装するのに役立ちます。

設計原則

アーキテクチャの卓越性の 5 つの柱 が、IoT ワークロードの設計手法を支える。 これらの柱は、 主要な IoT 設計領域全体で後続の設計上の決定を行うためのコンパスとして機能します。 次の設計原則は、Azure Well-Architected Framework - セキュリティの品質の柱を拡張 します

設計原則 考慮事項
強力な ID 強力な ID を使ってデバイスとユーザーを認証します。 信頼できる ID 用にハードウェアの信頼の起点を持ち、デバイスを登録し、更新可能な資格情報を発行し、パスワードレスまたは多要素認証 (MFA) を使います。 Azure ID とアクセス管理に関する一般的な考慮事項を確認します
最小特権 最小限の特権のアクセス制御を自動化して使い、侵害されたデバイスや ID または未承認のワークロードからの影響を制限します。
デバイスのヘルス デバイスの正常性を評価し、デバイスのアクセスを制限したり、修復のためにデバイスにフラグを付けたりします。 セキュリティ構成を確認し、脆弱性と安全でないパスワードを評価し、脅威と異常を監視し、継続的なリスク プロファイルを作成します。
デバイスの更新 継続的な更新により、デバイスを正常な状態に保ちます。 一元化された構成とコンプライアンス管理ソリューションと堅牢な更新メカニズムを使って、デバイスを確実に最新かつ正常な状態に保ちます。
システムのセキュリティを監視し、インシデント対応を計画する 未承認または侵害されたデバイスを事前に監視し、新たな脅威に対応します。

ゼロ トラスト セキュリティ モデル

IoT システムに不正にアクセスすると、工場の生産データの漏洩や、工場生産ラインの停止などのサイバー物理システム制御の特権の昇格など、大量の情報漏えいが発生する可能性があります。 ゼロ トラスト セキュリティ モデルは、ユーザーがクラウドまたはオンプレミスの IoT サービスとデータに不正にアクセスする場合の潜在的な影響を制限するのに役立ちます。

企業のファイアウォールの背後にあるすべてのものが安全であると想定する代わりに、ゼロ トラストは、アクセスを許可する前にすべてのアクセス要求を完全に認証、承認、暗号化します。 ゼロ トラストを使用した IoT ソリューションのセキュリティ保護は、ユーザーの明示的な検証、ネットワーク上のデバイスの確認、リアルタイムのリスク検出を使用して動的なアクセスの決定を行うなど、基本的な ID、デバイス、アクセスのセキュリティプラクティスを実装することから始まります。

次のリソースは、ゼロトラスト IoT ソリューションの実装に役立ちます。

IoT アーキテクチャ パターン

ほとんどの IoT システムでは、 接続された製品または接続された運用アーキテクチャ パターンが使用されます。 これらのパターンの間にはセキュリティ上の重要な違いがあります。 多くの場合、接続された運用または "運用テクノロジ (OT)" のソリューションには、他の物理デバイスを監視および制御するオンプレミスのデバイスがあります。 これらの OT デバイスにより、改ざん、パケット スニッフィング、帯域外管理や無線 (OTA) 更新の必要性、といったセキュリティ上の課題が追加されます。

工場や OT 環境は、マルウェアやセキュリティ違反の簡単なターゲットになります。機器が古くなり、物理的に脆弱になり、サーバーレベルのセキュリティから分離される可能性があるためです。 エンド ツー エンドの観点については、 Azure Well-Architected Framework のセキュリティの柱を確認してください。

IoT アーキテクチャ レイヤー

セキュリティ設計の原則は、 IoT ワークロードが基本的な IoT アーキテクチャ レイヤー全体の要件を満たしていることを確認するための考慮事項を明確にするのに役立ちます。

すべてのレイヤーはさまざまな脅威にさらされています。それらは STRIDE カテゴリに従って、"スプーフィング"、"改ざん"、"否認"、"情報漏えい"、"サービス拒否"、"特権の昇格" に分類できます。 IoT アーキテクチャを設計および構築するときは、常に Microsoft セキュリティ開発ライフサイクル (SDL) のプラクティスに従ってください。

IoT アーキテクチャのレイヤーと横断的なアクティビティを示す図。

デバイスとゲートウェイのレイヤー

このアーキテクチャ レイヤーには、物理的なアクセスまたは仲間同士のデジタル アクセスが可能な、デバイスとゲートウェイの周りの物理的な空間が含まれます。 多くの工業会社では、ISA 95 標準に含まれている Purdue モデルを使って、自社のプロセス制御ネットワークによって制限されたネットワーク帯域幅が保護され、かつリアルタイムの決定論的な動作が提供されるようにしています。 Purdue モデルは、多層防御の手法の追加レイヤーを提供します。

強力なデバイス ID

IoT デバイスとサービスの緊密に統合された機能により、強力なデバイス ID が提供されます。 次のような機能があります。

  • ハードウェアの信頼の起点。
  • 証明書、MFA、またはパスワードレス認証を使った強力な認証。
  • 更新可能な資格情報。
  • 組織の IoT デバイス レジストリ。

"ハードウェアの信頼の起点" は、次の特徴を備えています。

  • 改ざんを防止する専用ハードウェアで身元を証明する、安全な資格情報ストレージ。
  • 物理デバイスに関連付けられた変更不可のオンボード ID。
  • 定期的なデバイス アクセスのための、一意のデバイスごとの更新可能な運用の資格情報。

"オンボード ID" は物理デバイスを表し、物理デバイスから切り離すことができません。 通常、この ID は製造中に作成されて組み込まれ、デバイスが存続する間変更することはできません。 その不変性と存続期間を考えると、デバイスのオンボード ID はデバイスを IoT ソリューションにオンボードするためにのみ使うべきです。

オンボード後は、IoT アプリケーションへの認証と認可のために、更新可能な "運用 ID" と "資格情報" をプロビジョニングして使います。 この ID を更新可能にすることで、運用アクセスのためにデバイスのアクセス権と失効を管理できます。 更新時に、デバイスの整合性や正常性の構成証明といった、ポリシー主導型のゲートを適用できます。

ハードウェアの信頼の起点により、デバイスがセキュリティ仕様に基づいて構築され、必要なコンプライアンス制度に準拠していることも保証されます。 ハードウェアの信頼の起点のサプライ チェーン、または IoT デバイスのその他すべてのハードウェア コンポーネントを保護し、サプライ チェーン攻撃によってデバイスの整合性が損なわれないようにします。

"パスワードレス認証" は、多くの場合、標準の x509 証明書を利用してデバイスの ID を証明しますが、パスワードや当事者間で共有される対称トークンなどのシークレットより保護能力が上です。 "証明書" は、更新可能なパスワードレス認証を提供する、強力で標準化されたメカニズムです。 証明書を管理するには:

  • 信頼できる公開キー基盤 (PKI) から運用証明書をプロビジョニングします。
  • ビジネスでの使用、管理オーバーヘッド、コストに適した更新有効期間を使います。
  • 更新を自動化し、手動ローテーションによるアクセス中断の可能性を最小限に抑えます。
  • 標準の最新の暗号化手法を使います。 たとえば、秘密キーを送信するのではなく、証明書署名要求 (CSR) を使って更新します。
  • 運用 ID に基づいてデバイスへのアクセスを許可します。
  • x509 証明書を使う場合は、証明書失効リスト (CRL) などの資格情報の失効をサポートして、デバイス アクセスを直ちに削除します (例: 侵害や盗難に対処する場合)。

従来の、またはリソースに制約のある IoT デバイスの中には、強力な ID、パスワードレス認証、または更新可能な資格情報を使用できないものもあります。 IoT ゲートウェイをガーディアンとして使って、これら低機能のデバイスとローカルにインターフェイスをとり、強力な ID パターンで IoT サービスにアクセスできるようにブリッジングを行います。 この方法を使うと、現在はゼロ トラストを採用しながら、時間の経過とともにより高機能のデバイスを使うように移行していくことができます。

仮想マシン (VM)、コンテナー、または IoT クライアントを埋め込むサービスでは、ハードウェアの信頼の起点を使用できません。 これらのコンポーネントで使用可能な機能を使います。 VM とコンテナー (ハードウェアの信頼の起点がサポートされません) では、パスワードレス認証と更新可能な資格情報を使用できます。 多層防御ソリューションは、可能な限り冗長性を提供し、必要に応じてギャップを埋めます。 たとえば、データ センターなど、フィールド内の IoT デバイスと比較して物理的なセキュリティがより強固な領域に VM とコンテナーを配置することができます。

一元化された "組織の IoT デバイス レジストリ" を使って、組織の IoT デバイス ライフサイクルを管理し、デバイス アクセスを監査します。 このアプローチは、ゼロ トラスト セキュリティを実現するために組織の人員のユーザー ID をセキュリティで保護する方法と似ています。 クラウドベースの ID レジストリを使って、IoT ソリューションのスケール、管理、セキュリティを処理できます。

IoT デバイス レジストリ情報を使って、そのデバイス ID と資格情報が既知であり認可されていることを確認することで、デバイスを IoT ソリューションにオンボードします。 デバイスがオンボードされると、デバイス レジストリにはそのデバイスのコア プロパティが含まれます。たとえば、日常的な使用の認証に使われる運用 ID や更新可能な資格情報などです。

IoT デバイス レジストリ データを使って、次のことができます。

  • 正常性、パッチ、セキュリティ状態など、組織の IoT デバイスのインベントリを表示します。
  • スケーリングされた操作、管理、ワークロードのデプロイ、アクセス制御について、デバイスのクエリとグループ化を行います。

認識と監視のために、ネットワーク センサーを使って、Azure IoT サービスに接続していないアンマネージド IoT デバイスを検出し、インベントリを作成します。

最小限の特権アクセス

最小限の特権のアクセス制御は、侵害されたり、未承認のワークロードを実行していたりする可能性のある認証された ID からの影響を制限するのに役立ちます。 IoT シナリオの場合は、以下を使ってオペレーター、デバイス、ワークロードにアクセス権を付与します。

  • デバイスとワークロードのアクセス制御 (デバイス上のスコープ付きワークロードにのみアクセス)。
  • Just-In-Time アクセス。
  • MFA やパスワードレス認証などの強力な認証メカニズム。
  • デバイスのコンテキストに基づく条件付きアクセス (IP アドレスまたは GPS の場所、システム構成、一意性、時刻、ネットワーク トラフィック パターンなど)。 サービスでは、デバイス コンテキストを使って条件付きでワークロードをデプロイすることもできます。

効果的な最小限の特権アクセスを実装するには:

  • IoT クラウド ゲートウェイ アクセス管理を構成して、バックエンドに必要な機能に対する適切なアクセス許可だけを付与するようにします。
  • ポートに最小限のアクセス権があることを確認して、アクセス ポイントを IoT デバイスとクラウド アプリケーションに制限します。
  • 物理デバイスの改ざんを防ぎ、検出するためのメカニズムを構築します。
  • ロールベースや属性ベースのアクセス制御など、適切なアクセス制御モデルを使ってユーザー アクセスを管理します。
  • ネットワークのセグメント化を使って、IoT デバイスの最小限の特権アクセスをレイヤー化します。

ネットワークのマイクロセグメント化

ネットワークの設計と構成は、トラフィック パターンとリスクへの露出に基づいて IoT デバイスをセグメント化することで多層防御を構築する機会を提供します。 このセグメント化により、侵害されたデバイスや敵対者が価値の高い資産に向きを変えた場合の潜在的な影響を最小限に抑えることができます。 通常、ネットワークのセグメント化では、次世代のファイアウォールを使います。

ネットワークのマイクロセグメント化を使うと、ゲートウェイの背後または個別のネットワーク セグメント上のネットワーク層で、低機能のデバイスを分離できます。 ネットワークのセグメント化を使って IoT デバイスをグループ化し、エンドポイント保護を使って潜在的な侵害の影響を軽減します。

必要な場合はデバイスによるネットワークへのアクセスを許可し、許可されない場合はアクセスをブロックする、包括的なファイアウォール規則の戦略を実装します。 多層防御をサポートするために、成熟した組織では、Purdue モデルの複数のレイヤーでマイクロセグメント化ポリシーを実装できます。 必要に応じて、デバイス上のファイアウォールを使ってネットワーク アクセスを制限します。

デバイスのヘルス

ゼロ トラスト原則のもとでは、デバイスの正常性がデバイスのリスク プロファイル (信頼レベルを含む) を決定するための重要な要素です。 リスク プロファイルをアクセス ゲートとして使って、正常なデバイスのみが IoT アプリケーションやサービスにアクセスできるようにしたり、修復のために正常性に問題のあるデバイスを特定したりできます。

業界標準に従って、デバイスの正常性評価には次が含まれている必要があります。

  • デバイスが安全に構成されていることを示すセキュリティ構成の評価と構成証明。
  • デバイス ソフトウェアが最新でないか、または既知の脆弱性があるかどうかを判断するための脆弱性評価。
  • デバイス資格情報 (証明書など) とプロトコル (トランスポート層セキュリティ (TLS) 1.2 以降など) をチェックする、安全でない資格情報の評価。
  • アクティブな脅威と脅威アラート。
  • ネットワーク パターンや使用状況の逸脱などの、異常な動作アラート。

デバイスのゼロ トラスト条件

ゼロ トラストをサポートするには、IoT デバイスで以下が必要です。

  • 強力なデバイス ID を提供するために、ハードウェアの信頼の起点が含まれている。
  • 通常の操作とアクセスのために更新可能な資格情報を使う。
  • カメラ、ストレージ、センサーなどのローカル デバイス リソースに対して、最小限の特権のアクセス制御を適用する。
  • 条件付きアクセスの適用を有効にするために、適切なデバイス正常性シグナルを出力する。
  • セキュリティ更新プログラムを確実に適用できるように、デバイスの使用可能期間にわたって更新エージェントと対応するソフトウェア更新プログラムを提供する。
  • デバイス管理機能を含めて、クラウド駆動型のデバイス構成と自動セキュリティ対応を有効にする。
  • セキュリティ監視、検出、応答システムと統合されたセキュリティ エージェントを実行する。
  • 物理的な攻撃のフットプリントを最小限に抑える。たとえば、物理的な USB ポートや UART ポート、WiFi や Bluetooth 接続など、不要なデバイス機能をすべてオフまたは無効にするなど。 必要に応じて、物理的な撤去、カバー、またはブロックを行う。
  • デバイス上のデータを保護する。 保存データがデバイス上に格納されている場合は、標準の暗号化アルゴリズムを使ってデータを暗号化する。

いくつかの Azure 製品とサービスで IoT デバイスのセキュリティがサポートされています。

  • Azure Sphere ガーディアン モジュールは、強力な ID、エンドツーエンドの暗号化、定期的なセキュリティ更新プログラムなどのゼロ トラスト機能を使って、重要なレガシ デバイスを IoT サービスに接続します。

  • Azure IoT Edge では、IoT Hub やその他の Azure サービスへのエッジ ランタイム接続が提供され、強力なデバイス ID として証明書がサポートされています。 IoT Edge では、トラステッド プラットフォーム モジュール (TPM) またはハードウェア セキュリティ モジュール (HSM) に格納されたデバイス製造 ID やその他のシークレットに関する PKCS#11 標準がサポートされています。

  • Azure IoT Hub SDKS は、デバイス クライアント ライブラリ、開発者ガイド、サンプル、ドキュメントのセットです。 デバイス SDK には、堅牢でセキュリティで保護されたデバイス アプリケーションの開発に役立つ、暗号化や認証など、さまざまなセキュリティ機能が実装されています。

  • Azure RTOS は、さまざまな埋め込み IoT デバイス プラットフォームにデプロイできる C 言語ライブラリのコレクションとしてリアルタイム オペレーティング システムを提供します。

    Azure RTOS には、TLS 1.2 と 1.3 と基本的な X.509 機能を備えた完全な TCP/IP スタックが含まれています。 Azure RTOS と Azure IoT Embedded SDK は、Azure IoT Hub、Azure Device Provisioning Service (DPS)、Microsoft Defenderとも統合されます。 X.509 相互認証などの機能と、ECDHE や AES-GCM などの最新の TLS 暗号スイートのサポートは、セキュリティで保護されたネットワーク通信の基本をカバーします。

    Azure RTOS では、次のこともサポートされています。

    • Arm TrustZone、メモリ保護、パーティション分割アーキテクチャなどのハードウェア セキュリティ機能をサポートするマイクロコントローラー プラットフォームでのゼロ トラスト設計。
    • ST Microelectronics から STSAFE-A110 などの要素デバイスをセキュリティで保護します。
    • ハードウェアとファームウェアを組み合わせた Arm Platform Security Architecture (PSA) などの業界標準では、セキュア ブート、暗号化、構成証明などの標準化されたセキュリティ機能セットが提供されます。

  • Azure Certified Device プログラムを使用すると、デバイス パートナーはデバイスを簡単に区別して昇格できます。 このプログラムは、ソリューション ビルダーと顧客が、ゼロトラスト ソリューションを可能にする機能を備えた IoT デバイスを見つけるのに役立ちます。

  • Edge Secured-Core プログラム (プレビュー) では、デバイス ID、セキュア ブート、オペレーティング システムのセキュリティ強化、デバイス更新、データ保護、脆弱性の情報開示に関するセキュリティ要件をデバイスが満たしているかどうかが検証されます。 Edge Secured-Core プログラムの要件は、さまざまな業界要件とセキュリティ エンジニアリングの観点から抽出されています。

    Edge Secured-core プログラムを使用すると、Azure Attestation サービスなどの Azure サービスがデバイスの状態に基づいて条件付き決定を行うことができるため、ゼロ トラスト モデルが有効になります。 デバイスには、信頼のハードウェア ルートを含め、セキュア ブートとファームウェア保護を提供する必要があります。 これらの属性は、構成証明サービスによって測定され、ダウンストリーム サービスが機密リソースへのアクセスを条件付きで許可するために使用できます。

インジェストと通信のレイヤー

IoT ソリューションに取り込まれるデータは、 Azure Well-Architected Framework のセキュリティの柱のガイダンスで保護する必要があります。 また、IoT ソリューションにとっては、デバイスからクラウドへの通信がセキュリティで保護され、最新の TLS 標準を使って暗号化されるようにすることが重要です。

デバイス管理とモデリングのレイヤー

このアーキテクチャ レイヤーには、デバイスやゲートウェイとインターフェイスをとってデータの収集と分析、およびコマンド アンド コントロールを行う、クラウドで実行されるソフトウェア コンポーネントまたはモジュールが含まれます。

IoT サービスのゼロ トラスト条件

次の主要なゼロ トラスト機能を提供する IoT サービスを使います。

  • ゼロ トラストのユーザー アクセス制御の完全なサポート (強力なユーザー ID、MFA、条件付きユーザー アクセスなど)。
  • 最小限の特権アクセスと条件付き制御のためのユーザー アクセス制御システムとの統合。
  • 完全なデバイス インベントリとデバイス管理のための中央デバイス レジストリ。
  • 強力な ID 検証を備えた更新可能なデバイス資格情報を提供する、相互認証。
  • 条件付きアクセスを使ったデバイスの最小限の特権のアクセス制御により、正常性や既知の場所といった条件を満たすデバイスのみが接続できるようにする。
  • デバイスを正常な状態に保つための OTA の更新。
  • IoT サービスと接続された IoT デバイスの両方のセキュリティ監視。
  • すべてのパブリック エンドポイントの監視とアクセスの制御、およびこれらのエンドポイントに対するすべての呼び出しの認証と認可。

いくつかの Azure IoT サービスは、これらのゼロ トラスト機能を提供します。

  • Windows for IoT は、IoT セキュリティ領域の重要な柱全体のセキュリティを確保するのに役立ちます。

    • BitLocker ドライブ暗号化、セキュア ブート、Windows Defender アプリケーション制御、Windows Defender Exploit Guard、セキュリティで保護されたユニバーサル Windows プラットフォーム (UWP) アプリケーション、統合書き込みフィルター、セキュリティで保護された通信スタック、セキュリティ資格情報管理は、保存中、コードの実行中、転送中のデータを保護します。

    • Device Health Attestation (DHA) は、信頼されたデバイスを検出して監視し、信頼されたデバイスから開始し、時間の経過と共に信頼を維持できるようにします。

    • Device Update Center と Windows Server Update Servicesは、最新のセキュリティパッチを適用します。 Azure IoT Hubデバイス管理機能、Microsoft Intuneまたはサードパーティのモバイル デバイス管理ソリューション、および Microsoft System Center Configuration Managerを使用して、デバイスに対する脅威を修復できます。

  • Microsoft Defender for IoT はエージェントレスのネットワーク層セキュリティ プラットフォームであり、IoT および OT デバイスの継続的な資産の検出、脆弱性の管理、脅威検出を提供します。 Defender for IoT では、IoT 対応の行動分析を使ってネットワーク トラフィックを継続的に監視し、未承認または侵害されたコンポーネントを特定します。

    Defender for IoT では、OT 環境でよく見られるプロプライエタリの埋め込み OT デバイスとレガシ Windows システムがサポートされています。 Defender for IoT では、すべての IoT デバイスのインベントリを作成し、脆弱性を評価し、リスクベースの軽減策の推奨事項を提供し、デバイスの異常な動作や未承認の動作を継続的に監視することができます。

  • Microsoft Sentinel は、クラウドベースのセキュリティ情報イベント管理 (SIEM) とセキュリティ オーケストレーション、自動化、応答 (SOAR) プラットフォームであり、ioT 用Microsoft Defenderと緊密に統合されています。 Microsoft Sentinel は、ファイアウォール、ネットワーク アクセス制御、ネットワーク スイッチ デバイスなど、すべてのユーザー、デバイス、アプリケーション、インフラストラクチャにわたってデータを収集することで、企業全体のセキュリティのクラウド規模のビューを提供します。

    Microsoft Sentinel は、IoT または OT デバイスの潜在的な侵害を示す異常な動作をすばやく見つけることができます。 Microsoft Sentinel では、Splunk、IBM QRadar、ServiceNow などのサードパーティセキュリティ オペレーション センター (SOC) ソリューションもサポートされています。

  • Azure IoT Hub は、IoT デバイスの運用レジストリを提供します。 IoT Hub は、デバイスの運用証明書を受け取って強力な ID を有効にします。また、デバイスを一元的に無効にして、未承認の接続を防ぐことができます。 IoT Hub では、IoT Edge ワークロードをサポートするモジュール ID のプロビジョニングがサポートされています。

    • Azure IoT Hub Device Provisioning Service (DPS) は、大規模なオンボードに登録する組織のデバイス用の中央デバイス レジストリを提供します。 DPS では、デバイス証明書を受け入れて、強力なデバイス ID と更新可能な資格情報を使用したオンボードを有効にし、毎日の操作のためにデバイスをIoT Hubに登録します。

    • Azure Device Update (ADU) for IoT Hubを使用すると、IoT デバイスの OTA 更新プログラムをデプロイできます。 ADU は、事実上あらゆるデバイスに接続するためのクラウドでホストされるソリューションを提供し、Linux や Azure RTOS など、幅広い IoT オペレーティング システムをサポートします。

    • 仮想ネットワークAzure IoT Hubサポートを使用すると、操作する仮想ネットワークを介してIoT Hubへの接続を制限できます。 このネットワーク分離は、パブリック インターネットへの接続の露出を防ぎ、機密性の高いオンプレミス ネットワークからの流出攻撃を防ぐのに役立ちます。

次の Microsoft 製品は、IoT ソリューション全体にハードウェアと Azure サービスを完全に統合しています。

  • Azure Sphere は、フル マネージドの統合ハードウェア、OS、クラウド プラットフォーム ソリューションであり、中および低電力の IoT デバイスが、ゼロ トラストを実装するために 高度にセキュリティ保護されたデバイスの 7 つのプロパティ を取得するのに役立ちます。 デバイスは明示的な検証を使用し、証明書ベースのデバイス構成証明と認証 (DAA) を実装します。これにより、信頼が自動的に更新されます。

    Azure Sphere では、最小特権アクセスが使用されます。この場合、アプリケーションは既定ですべての周辺機器と接続オプションへのアクセスが拒否されます。 ネットワーク接続の場合、許可された Web ドメインをソフトウェア マニフェストに含める必要があります。または、アプリケーションがデバイスの外部に接続できません。

    Azure Sphere は、想定される侵害を中心に構築されています。 OS 設計全体にわたる多層防御の保護。 Azure Sphere デバイス上の Arm TrustZone で実行されているセキュリティで保護されたワールド パーティションは、Pluton またはハードウェア リソースへのアクセスから OS の侵害をセグメント化するのに役立ちます。

    Azure Sphere は、信頼された接続用に設計されていない既存のレガシ システムなど、他のデバイスをセキュリティで保護するためのガーディアン モジュールにすることができます。 このシナリオでは、Azure Sphere ガーディアン モジュールがアプリケーションと共にデプロイされ、イーサネット、シリアル、または BLE を介して既存のデバイスとのインターフェイスがデプロイされます。 デバイスにインターネットに直接接続できるとは限りません。

  • Azure Percept は、概念実証を数分で開始するのに役立つエンド ツー エンドのエッジ AI プラットフォームです。 Azure Percept には、Azure AI および IoT サービスと統合されたハードウェア アクセラレータ、事前構築済みの AI モデル、ソリューション管理が含まれています。

    Azure Percept デバイスは、信頼のハードウェア ルートを使用して、推論データ、AI モデル、カメラやマイクなどのプライバシーに依存するセンサーを保護するのに役立ちます。 Azure Percept では、Azure Percept Studio サービスのデバイス認証と承認が有効になります。 詳細については、「 Azure Percept のセキュリティ」を参照してください。

DevOps レイヤー

エンタープライズ IoT ソリューションでは、オペレーターがシステムを管理するための戦略を提供する必要があります。 セキュリティに積極的に焦点を当てる DevOps 手法には、次のものがあります。

  • ポリシーを安全に適用し、証明書を配布および更新するための、一元的な構成とコンプライアンス管理。
  • デバイス上のソフトウェア、ファームウェア、ドライバー、基本 OS とホスト アプリケーション、クラウドにデプロイされたワークロードの完全なセットを更新するための、デプロイ可能な更新プログラム。

詳しくは、「Azure と GitHub で DevSecOps を有効にする」を参照してください。

継続的な更新

正常性に基づいてデバイスのアクセスを制御するには、運用デバイスを稼働していて正常なターゲット状態に積極的に維持する必要があります。 更新メカニズムでは、以下が必要です。

  • リモート展開機能がある。
  • 有効期限や失効による証明書の変更など、環境、動作条件、認証メカニズムの変更に対する回復性がある。
  • 更新プログラムのロールアウトの検証をサポートしている。
  • 広範なセキュリティ監視と統合され、セキュリティのスケジュールされた更新を有効にする。

ビジネス継続性を妨げる更新は延期できるようにすべきですが、最終的には脆弱性を検出してから明確に定義された期間内にそれらを完了する必要があります。 更新されていないデバイスには、異常としてフラグを設定する必要があります。

セキュリティの監視と対応

IoT ソリューションでは、接続されているすべてのデバイスに対して大規模に監視と修復を実行できる必要があります。 多層防御の戦略として、監視により、マネージド グリーンフィールド デバイスに対して新しい保護レイヤーが追加され、またエージェントをサポートせず、リモートでパッチを適用したり構成したりできない従来のアンマネージド ブラウンフィールド デバイスに対する補正制御も提供されます。

ログ レベル、監視するアクティビティの種類、アラートに対して必要な応答を決定する必要があります。 ログは安全に格納する必要があり、セキュリティの詳細情報を含めるべきではありません。

サイバー セキュリティおよびインフラストラクチャ セキュリティ庁 (CISA) によると、セキュリティ監視プログラムでは、コントローラーに対する未承認の変更、デバイスからの異常な動作、アクセスと認可の試行を監視および監査する必要があります。 セキュリティ監視には、次が含まれている必要があります。

  • すべての IoT および OT デバイスのそのままの資産インベントリとネットワーク マップの生成。
  • IoT および OT ネットワーク全体で使用されるすべての通信プロトコルの識別。
  • ネットワークとの間のすべての外部接続のカタログ化。
  • IoT および OT デバイスの脆弱性の特定と、リスクベースのアプローチを使ったそれらの軽減。
  • IoT システム内の "環境寄生" のような悪意のあるサイバー戦術を検出する、異常検出を備えた警戒監視プログラムの実装。

ほとんどの IoT 攻撃は キル チェーン パターンに従います。このパターンでは、敵対者が最初の足掛かりを確立し、特権を昇格させ、ネットワーク全体を横方向に移動します。 多くの場合、攻撃者は特権資格情報を使用して、サブネット間でネットワークセグメント化を適用するために確立された次世代ファイアウォールなどの障壁をバイパスします。 これらのマルチステージ攻撃を迅速に検出して対応するには、IT、IoT、OT ネットワーク全体で統一されたビューを、自動化、機械学習、脅威インテリジェンスと組み合わせる必要があります。

オンプレミスと複数のクラウドの両方で、すべてのユーザー、デバイス、アプリケーション、インフラストラクチャなど、環境全体から信号を収集します。 一元化された SIEM および拡張検出と応答 (XDR) プラットフォームで信号を分析します。SOC アナリストは、以前は不明だった脅威を探して発見できます。

最後に、SOAR プラットフォームを使用してインシデントに迅速に対応し、攻撃がorganizationに大きく影響する前に攻撃を軽減します。 特定のインシデントが検出されたときに自動的に実行されるプレイブックを定義できます。 たとえば、侵害されたデバイスを自動的にブロックまたは検疫して、他のシステムに感染させないようにすることができます。

次の手順

IoT ワークロードでのコストの最適化