Microsoftが買収したCyberXについて調べてみた

IT
スポンサーリンク

6/22にMicrosoftによるCyberXの買収が発表されました。そこでCyberXについて調べた結果をまとめたいと思います。

結論:CyberXはOTセキュリティを提供している会社です。

CyberXとは何をやっている会社か

公式HPよりサービス内容を調べた結果は以下の通りです。

CyberXの専門的ICSセキュリティサービス群

OTイネーブルメントサービス

・現場のOTインシデント対応

・自動ICSマルウェア解析

・サポートサービス

・トレーニングとカスタマイズされたワークショップ

CyberX公式HPより

上記からセキュリティ製品(サービス)を提供している会社であることがわかります。また、どうやらITセキュリティでなく、OT(Operation Technology)セキュリティの製品(サービス)を提供している会社のようですね。

ここからはOTセキュリティとはなにかを整理したいと思います。

OTセキュリティとは

OTセキュリティについて調べた結果を以下にまとめます。

ITセキュリティとOTセキュリティの違い

ITシステムとOTシステムの違いについて、NISTSP800-82の解説資料からポイントをまとめると以下のようです。

  • OTシステムはリブートが許されない
  • OTシステムでは機密性よりも可用性を重要視する(安全に関わるため)
  • OTシステムはリソースがギリギリで設計されている
  • OTシステムはサポート終了OSや独自OSが使用されており、セキュリティ機能がない場合が多い
  • OTシステムのライフサイクルは10年〜15年

上記のことから、OTシステムはITシステムと比較しセキュリティ機能が脆弱のようです。

出典https://www.jema-net.or.jp/Japanese/pis/pdf/NISTSP800-82.pdf

ではどのようにしてOTシステムはどのようにしてセキュリティを担保しているかというと、以下の図のようにITシステムとOTシステムの間に境界を設けて、OTシステムを隔離することによりセキュリティを担保しているようです。

出典https://www.jema-net.or.jp/Japanese/pis/pdf/NISTSP800-82.pdf

IoTとOTセキュリティの関係について

IoT(Internet of things)はいろいろな文脈で語られますが、ここでいうIoTとは、工場等で使用されているセンサーをInternetに接続し、データを取得するために使用するIoTを前提として話をします。

ITセキュリティとOTセキュリティの違いで整理したとおり、OTシステムはセキュリティを担保することが困難であり、ITシステムとOTシステムを隔離することでセキュリティを担保してきました。

しかし、IoTを推進するには隔離されていたOTシステムをInternetに接続しないといけなくなり、ネットワーク隔離以外のOTセキュリティ対策が必要となります。

これらの状況からIoTの推進とともに、OTセキュリティ対策の必要性が高まっていると言えます。

まとめ

CyberXがどんな会社か調査した結果、OTセキュリティの製品を提供している会社であり、IoT推進に必要な会社であることがわかりました。

MicrosoftではAzure IoTのサービスを提供していることから、IoTの推進を勧めていく狙いがあるのかもしれませんね。

コメント

タイトルとURLをコピーしました