MetaDefender OT Security：パッシブディスカバリーによるOT資産の可視化と脅威検知の強化

受動的忖度とは、観察することであり、尋問することではない。

パッシブ・ディスカバリーは、積極的にデバイスにpingを打ったり、情報を引き出したり、侵入スキャンを実行したりする代わりに、ネットワークに耳を傾け、トラフィックの流れ、通信パターン、産業プロトコルのチャッター、デバイスの接続を監視する。

観測されたトラフィックから、デバイスの識別情報、関係性、プロトコルのコンテキスト、ICSコマンドなどのインテリジェンスを抽出・推論し、包括的なインベントリーと長期的な行動マップを構築します。

レガシー・システム、独自プロトコル、高可用性要件が支配的なOT/ICSネットワークでは、この非侵入型アプローチはオプションではなく、不可欠である。

パッシブ・ディスカバリーは、いくつかの重要なOT特有のリスクに対処する：

• レガシーで不透明な資産：産業用デバイスの多くは従来のITスキャンに反応せず、死角を残している。
• 未知の、または管理されていないエンドポイント：請負業者、BYOD、IoT、無線デバイスがOTゾーンに頻繁に出現する。
• プロセスに影響を与えるコミュニケーション：何が接続されているかだけでなく、いつ、どのように通信しているかも重要である。正常なパターンと異常なパターンを認識することが、脅威を検知する鍵となる。
• 運用の安定性：能動的なスキャンやプローブは、生産を中断させる可能性がある。パッシブな方法は稼働時間を維持し、決定論的な制御ループを尊重します。
• レジリエンスの基盤可視性は、セグメンテーション、異常検知、脆弱性管理、インシデント対応を支える。

MetaDefender OT Security使えば、パッシブ・ディスカバリーを運用することができます：

• ミラーリングまたはタップされたネットワークセグメント（通常はレベル2/3の境界または重要な分界点）にセンサーを配置する。
• ネットワーク・トラフィックの取り込み：フローレコード、プロトコルセッション（Modbus、DNP3、IEC 61850など）、デバイス間のメタデータ。
• デバイスのフィンガープリントを実行する：ベンダー、モデル、ファームウェア（利用可能な場合）、デバイスの役割、ピア、プロトコル、および通信周波数を特定する。
• ダイナミックなアセット・インベントリーとコミュニケーション・グラフを構築：誰が、いつ、どれくらいの頻度で、誰と話しているかを把握。
• 動作のベースラインを確立する：各デバイスが通常どのように動作するかを学び、逸脱を特定する。
• より広範なワークフローへのデータフィードセグメンテーション計画、異常検知、変更管理、フォレンジックをサポートします。
• ダッシュボード、可視化、アラートを提供します：未知のデバイス、管理されていないエンドポイント、異常なフロー、シャドーアセット、リスク指標を強調表示します。

公益事業、製造業、石油・ガス業、運輸業、水処理業など、稼働時間と安全性が最も重要な組織にとって、そのメリットは目に見えるものです。これまで知られていなかった資産も含め、すべてのデバイスとエンドポイントを完全に可視化することで、チームは通信パターンを理解し、隠れた関係やリスクのある関係を明らかにし、重要なシステムに対する運用とサイバーセキュリティの両方の脅威をリアルタイムで検出することができます。コンテキストに基づく洞察は、セグメンテーション、マイクロセグメンテーション、ポリシー実施を強化し、証拠に基づく資産知識は、IEC 62443やNERC CIPなどのフレームワークへのコンプライアンスをサポートします。最終的には、ネットワーク上の状況を把握することで、予期せぬ事態が発生するリスクを低減し、予測、対応、回復力のある運用を維持することができます。