オペレーショナルテクノロジー (OT) のディスカバリー 展開シナリオ

  • リリースバージョン: Australia
  • 更新日 2026年03月24日
  • 所要時間:4分

    • 次のセクションでは、ネットワークアーキテクチャの詳細に基づいてさまざまなシナリオについて説明します。OT 向けディスカバリーコンソールOT 向けディスカバリーセンサー、ディスカバリー OT コレクター、およびネットワークの設定に応じて、オペレーショナルテクノロジー (OT) のディスカバリー コンポーネントの使用方法について説明します。

    注:
    一般的な推奨事項とガイダンスは、次のセクションにリストされています。すべてのネットワークが同じというわけではないため、このセクションの要件は一般化されていることを指摘することが重要です。ネットワーク要件を決定する際には、セグメンテーションのレベル、通信経路、ネットワーク上のトラフィック量、ネットワークの冗長性、サイトの環境条件、サイトの物理的制約などの要素を考慮する必要があります。

    シナリオ #1: 複数のサイトにまたがるフラットなネットワークアーキテクチャ

    フラットネットワークアーキテクチャは、利用可能なすべての OT 用ディスカバリーコンソール、OT 用ディスカバリーセンサー、およびディスカバリー OT コレクターを単一のネットワークに接続し、センサーとコレクターが相互に直接通信できるネットワーク設計です。

    相互に通信するサイトを 1 つ以上持つことができます。
    図 : 1. フラットネットワーク
    フラットネットワーク

    コンソール、センサー、および MID サーバーは Purdue レベル 3.5 で接続し、スイッチとファイアウォールを介して取り込みのために ServiceNow インスタンスにデータをプッシュします。

    フラットネットワーク内のコンポーネント
    フラットネットワークのコンポーネントは次のとおりです。
    • OT 向けディスカバリーコンソール」および「OT 向けディスカバリーセンサー」。
    • それぞれのセグメントで資産の検出と通信のためのコマンドアンドコントロールインターフェイスとして機能する、ローカライズされたアプライアンスまたは VM。このアプライアンスまたは VM は、認証情報、プロトコルハンドラーを管理し、クエリ操作をローカルで開始します。このようなシナリオでは、一般的な展開は、1 つのコンソールが複数のサイトをカバーすることを意味します。
    • MID サーバーがコンソールと ServiceNow インスタンスに接続できるレイヤーにコンソールを展開します。
    • 必要なディスカバリー速度に基づいてセンサーを展開します。真にフラットなネットワークでは、 OT 向けディスカバリーセンサー はそのネットワーク内のすべての OT 資産に到達できる必要があります。ネットワーク内のセンサーを増やすと、ディスカバリーの速度が向上します。

    シナリオ #2: 複数の独立したセグメント化されたサイト

    セグメント化されたサイトアーキテクチャは、ネットワークを複数のセグメントに分割したネットワーク設計です。各セグメントには、独自の OT 向けディスカバリーコンソール と、 OT 向けディスカバリーセンサー と OT コレクターの検出の倍数が含まれています。サイト間の通信はありません。各セグメントはフラットネットワークと見なすことができます。

    図 : 2. セグメント化されたサイト
    セグメント化されたサイト
    この OT 環境では、ネットワークは運用の明確さ、セキュリティ、および制御のために 3 つの異なるゾーン に分割されています。
    • サイト 1 のオペレーショナルテクノロジーセグメント
    • サイト 2 のオペレーショナルテクノロジーセグメント
    • 物理セキュリティネットワークセグメント
    各セグメントには、それぞれのドメインでのリスクを軽減し、可視化を高めるための独自の分離されたインフラストラクチャが含まれています。各セグメントのコンポーネント:
    • OT 向けディスカバリーコンソール または、それぞれのセグメントで資産のディスカバリーと通信のためのコマンドアンドコントロールインターフェイスとして機能する VM。認証情報、プロトコルハンドラーを管理し、スキャン操作をローカルで開始します。
    • OT 向けディスカバリーセンサー は、センサーがセグメント内でアクティブディスカバリーを実行し、ネットワークトラフィックを収集し、既知のプロトコル(Modbus、DNP3、BACnet など)を照会できる各セグメントに展開されます。結果をセグメントのコンソールに報告します。

    コンソールとセンサーはそれぞれのネットワークゾーンに展開され、インターネットへの直接の送信アクセスはありません。

    シナリオ # 3: 複数のネットワークを持つマイクロセグメント化されたサイト

    複数のネットワークを持つセグメント化されたサイトアーキテクチャは、複数のネットワークを複数のセグメントに分割したネットワーク設計です。各セグメントには、複数のネットワークセグメントと、独自の OT 向けディスカバリーコンソールOT 向けディスカバリーセンサーが含まれています。
    • センサーとコレクタにコンソールへの通信経路があることを確認します。
    • センサーがセグメント内でアクティブディスカバリーを実行し、ネットワークトラフィックを収集し、既知のプロトコル(Modbus、DNP3、BACnet など)をスキャンまたは照会できる各セグメントにセンサーを展開します。結果をセグメントのコンソールに報告します。
    • ヒューマンマシンインターフェイス (HMI) やエンジニアリングワークステーション (EWS) などの既存のホストを活用してネットワーク内でディスカバリーを実行する場合は、ディスカバリー OT コレクターをインストールしてディスカバリーを実行できます。
    図 : 3. 複数のネットワークを持つセグメント化されたサイト