「自動セキュリティ検証分野」におけるマーケットリーダー
――Penteraのこれまでの歩みを教えて下さい。
Penteraは、2015年11月に現CTOを務めるDr. Arik Liberzonによって創業されました。イスラエル軍でのサイバー分野の経歴を持つArikは、ペネトレーションテスト(攻撃者が攻撃に成功するかどうかを検証する侵入テスト)を自動化するという発想からPenteraのプロトタイプとなるものを一人で開発し、年月を経て現在の製品の形となりました。
私は、Penteraが会社登録をしてから2年経った2018年の初めに入社し、同時期Penteraをステルスモードから脱却させ、世界で認知される会社へと移行させました。
Penteraは、現在、サイバーセキュリティ対策が適切に導入されているかどうかを検証する「自動セキュリティ検証分野」を牽引する存在となりました。2024年末には、従業員を400人規模にし売上高1億ドルを目指しています。
その後、SuperDerivatives(NASDAQ: ICE)、Earnixなどのグローバル企業で、エンタープライズ営業チームを率いる幹部職を歴任。
サイバーセキュリティの講演者やモデレーターとしても活躍する一方、フォーチュン500企業のCISO (最高情報セキュリティ責任者) と密接に連携し、サイバーセキュリティ戦略や技術スタックを構築してきた経緯を持つ。
2018年1月からPenteraのCEOに就任した後に、複数の資金調達を実現。同社をステルスモードのスタートアップからユニコーン企業に成長させた。
――PenteraのCEOになったきっかけを教えて下さい。
Penteraに入社前は、いくつかのテクノロジー企業やフィンテック企業、インシュアテック企業のエンタープライズ営業チームを率いる幹部職を歴任し、小規模なテック企業を大規模な企業へとスケールアップさせてきました。Penteraは私にとって初めてのサイバーセキュリティ企業となります。
イスラエルが世界にイノベーションをもたらす分野にはサイバーセキュリティ、医療、農業といったものがありますが、これらはこの国が直面する複雑な問題を背景に生まれたようなものだと思っています。サイバーセキュリティはイスラエルのDNAに非常に深く根ざされたもので、イスラエルのサイバーセキュリティが優れているのはこの国の存続に関係しているからなのです。私にとって、5~6年前にサイバーセキュリティの分野に進もうと決意したことは自然なことでした。
攻撃者のテクニックを模倣 顧客にサイバーセキュリティに必要な修正法を示す
―ー御社の自動セキュリティ検証サービスについて教えて下さい。
自動セキュリティ検証とは私たちの造語です。当初、私たちが5年前に取り組んでいたのは、自動化されたペネトレーションテストという狭い分野のものでした。企業内の100~200のエンドポイントしか見ることができない技術を駆使して侵入テストを行っていたのです。非常に革新的であるものの、範囲はかなり限定的ですね。これが私たちの始まりですが、昨今セキュリティ検証について語るに当たっては、単なるペネトレーションテスト以上のものでなければなりません。
ペネトレーションテストは、ハッカーが何をし、どこに侵入できるかを、私たちが実際にやった証拠とともに示すものです。それは検証の一つの領域のようなものです。
Penteraは基本的に企業の内部ネットワークにインストールされます。そこでハッカーがどのようにネットワーク内に入り込み、どのような機器、データベースに侵入できるかを検証し顧客にみせます。その他にも、Pentera Surfaceと呼ばれるクラウドモジュールによって外部ネットワークからも検証を行っています。
今日、人々はランサムウェアの恐怖に面していますが、Penteraはその対策にも注力しています。我々の提供する技術の一部として、顧客が自分自身に対して検証としてのランサムウェア攻撃を行えるようにしています。ボタンをクリックするだけで、Penteraは顧客のファイルの一部を暗号化するなど、顧客に対してランサムウェア攻撃キャンペーンを安全な方法で実施します。ランサムウェアの悪夢がどんなものなのか顧客にお見せし、推奨事項を提供することで、顧客が現時点で必要な対応方法を知ることができます。私たちは攻撃者のように考え、行動するのです。
―ー自動セキュリティ検証の後は、報告書も作成してくれますね。
その通りです。ネットワークインフラのペネトレーションテスト、外部検証、ランサムウェア攻撃キャンペーン等を完了するたびに、ボタンをクリックしてPDFの報告書を作成できます。報告書は基本的に技術者向けのもので、その報告書を元にネットワーク・チームやSOC(Security Operation Center)にかけ合い、改善案を行動にうつすことを想定しています。
この報告書は、CIOやCEOに向けたエグゼクティブ・レポートにもなり得ます。サイバーセキュリティの専門家ではない人たちにも、自分たちの言葉で理解できるように、その言語をC-レベル(経営幹部レベル)の用語に落とし込みました。
―ー御社のサービスの主なターゲットやヘビーユーザーを教えて下さい。
Penteraの主要顧客は、金融機関、ヘルスケア分野、製造業、政府系企業、大手小売業、大手セキュリティサービスプロバイダーを含みます。そのほかにも20種類の業種にサービスを提供しています。顧客の約3分の1をアメリカの顧客が占め、次にドイツ、イギリス、イスラエルが続きます。
―ーサイバー攻撃は進化を続けています。このような攻撃者の先を行くにはどうしたらよいのでしょうか。課題はありますか。
もちろん課題もあります。Penteraの評判及び知名度が上がれば上がる度、攻撃者の一歩先を行くという我々の能力に対する顧客の期待も高くなるからです。
Penteraには100名以上の研究職がいますが、その中にリサーチブレーンとなる35人以上を抱える研究チームがあります。このチームでは24時間365日、あらゆる情報源から常に最新の情報を入手し「セーフ・バイ・デザイン」アプローチによるエクスプロイト (脆弱性を狙う攻撃) を設計しています。
しかし、一方で、私たちが目にする攻撃の多くは、企業に侵入するための非常に原始的な方法論を用いている、と言えるでしょう。結局のところ、攻撃者が何よりも利用するのは、人為的なミスやネットワーク構成といった非常に単純なことなのです。時には、人々の非常に単純な行動が攻撃者を成功に導くこともあるのです。
image: Pentera
信頼関係を築き、長期的な視野に立つ日本オフィスを設立
――御社は、2022年10月から日本市場に参入しています。現状を教えて下さい。
私たちは、4年以上にわたってアメリカやイギリス、ドイツ、スイス、スペイン、イスラエルで多くのビジネスを行ってきました。より実質的な方法でアジア太平洋地域に参入をしたいと考え、日本、オーストラリア、シンガポールの3つの市場を中心に事業を拡大するのがベストだと考えました。
日本市場に参入するのは、ニューヨークで売れた後にテキサスに行くような道のりではないことはわかっていました。私たちは、日本では信頼関係を築くことが重要であることを知っています。私たちが言葉で示しているのと違いがないことを実際に証明することが重要なのです。
実際にPenteraの資料を日本語に翻訳し、日本でのデモを数多く行い、日本のマーケットに合わせたカスタマイズを行うことで、私たちの熱意が顧客に伝わることでしょう。私たちは、日本の文化や習慣、ニーズ、またどのようにPenteraを活用したいかを学びながら日本企業と長期的な関係を築きたいと考えています。現在、とてもよく軌道に乗っていると感じています。
私たちはしっかりと腰を据え長期的な視野を持って活動する日本チームを採用しました。同チームの人たちは、エンドバイヤーだけでなくパートナーやジャーナリスト、ないしはエコシステムと長期的な関係を築いていく予定です。
2024年がPenteraにとって素晴らしい飛躍の年になるよう、2023年は皆さんに私たちの活動を知ってもらうための基盤づくりを進めていきます。
image: Pentera
――最後に、御社の長期的なビジョンについて教えて下さい。
5年前までは顧客も持たず、パワーポイントやデモ、試作品があるだけの会社から、同分野で世界最大級の企業にまで成長しました。2〜3年前はまだ次の顧客を追い求める状態でしたが、2024年・2025年は50か国にまたがる1,500社の顧客にサービスを提供していく予定ですので、今とは状況は一変するでしょう。
これからは、新規顧客を追い求めるだけではなく、既存の顧客に細心の注意を払うことが重要になると思います。顧客がPenteraを最大限に使用して支払ったお金に見合った価値を得ていると感じ満足してもらうことが重要です。もちろん新規ビジネスや新規顧客の獲得にはこれからも注力していきますが、既存の顧客はロードマップや長期的な方向性に関していえばこれまで以上に重要な存在になると思います。
IT分野を中心とする調査会社ガートナーによると、サイバーセキュリティの主要なトレンドの1つであるサイバーエクスポージャー管理には、3つの要素があります。アセット管理、脆弱性管理、そして最後に検証です。その中で、Penteraは検証の役割を果たします。私たちの長期的な視点は、セキュリティ検証の分野で世界ナンバーワンになることです。
