企業のセキュリティツールを検証し、改善策を提案するプラットフォームAttackIQ

企業のセキュリティツールを検証し、改善策を提案するプラットフォームAttackIQ

Security / Los Angeles / Startup / AttackIQ
2019-09-19 11:42
企業のセキュリティプログラムは「Guessing game(推理ゲーム)」になっていないか。それを変えるために生まれたAttackIQ。同社は、継続的かつ包括的にセキュリティ検証を行い、企業内のセキュリティギャップを特定し、改善策を提案するプラットフォームを提供している。今回はCo-Founder & CTOのStephan Chenette氏に話を聞いた。

データドリブンなセキュリティ戦略を推奨、実現を支援

―まず設立の経緯を教えてください。

 私はサイバーセキュリティ業界に20年います。アメリカ国内の様々な地域で、小規模から大規模までのセキュリティ会社で働いてきました。常にイノベーションに重点を置き、セキュリティ分野の動向に目を配り、この業界で変化を起こしたいと考えてきました。

 初期の脆弱性スキャナーの一つで、当時は国防省などで採用されていた「Retina Network Security Scanner」の開発、インターネットアクセス管理ソリューションWebsenseの開発、IOActiveでATMや車両などIoTにおけるセキュリティの研究、AttackIQを設立する直前には、コンサルタントとして企業のサイバーセキュリティの予防や事後対処におけるソリューションを提供していました。そしてこれら業務を通じて常に目にする「問題」がありました。その「問題」のソリューションとしてAttackIQを開発しました。

Stephan Chenette
AttackIQ
Co-founder & CTO
イースタン大学コンピュータサイエンス学部在学中からソフトウェア開発やネットワークエンジニアとしてキャリアをスタート。卒業後、eEye Digital SecurityのSenior Security Software Engineerを務めた。2007年にカリフォルニア大学サンディエゴ校にてコンピュータサイエンスの修士号を取得。その後、Websense Security LabsにてPrincipal Research Scientist、IOActiveにてDirector of Research and Developmentを務める。2013年にAttackIQのCo-Founder and CEOに就任。2018年にCEOを退きCTOに就任。

―その「問題」とそれに対するAttackIQの役割を教えていください。

 そうですね。まず「問題」は、例えば、企業の情報漏えいを調査すると、セキュリティ製品が正しく設定されていない、保護すべきビジネス情報に対しソリューションが全くデプロイされていない、こうしたことが根本的な原因となっていることが多々あります。最初から正しく設定されていない場合もありますが、最初は正しくデプロイされていても例えば、業務上必要があるアプリを有効にしたなど、様々な要素によって有効性は損なわれます。

 しかし、企業がセキュリティ投資を行い、セキュリティ製品を導入しても、問題が発生しない限りその有効性の検証が行われていなかったのです。セキュリティ製品の導入効果、設定が正しく行われているか、本来発揮すべき能力が発揮されているかなどを包括的かつ継続的に検証する仕組みがないこと、またその評価基準や評価の根拠となるデータが無いことが「問題」でした。

 企業のサイバーセキュリティの検証を継続的に行い、組織内のエンドポイントからクラウドまでに存在する全てのデバイスにおいて、セキュリティスタックの有効性を測定し、問題があれば改善ソリューションを提供する。そして、情報漏えいなど、ビジネスにおける重大リスクを最小限に抑え、データドリブンなセキュリティ戦略を推進し、実現を支援することがAttackIQのミッションです。

強固なセキュリティの基礎は継続的なセキュリティ検証にある

―企業のサイバーセキュリティの評価はどういった内容になるのでしょう。

 例えば一般的に企業では75種類以上のセキュリティ技術を採用しています。AttackIQはそれら全てをリスト化し、それぞれに期待すべき性能と、実際の運用時の機能状況をリストに併記し評価します。

 当社のプラットフォームが中核を担い、企業のセキュリティ担当者の「想定」と「実際」に乖離がないか、攻撃シナリオに基づいたサイバー攻撃をシミュレーションし評価を行い、どこに改善が必要か特定し、改善が必要であれば最適化する方法を提案します。ただし、当社は提案までで、実際のシステム導入や改善の実施に関しては、企業に委ねています。

―より強固なセキュリティが求められ、市場も拡大を続けていますが、その中で御社の強みはなんでしょう。

 まず、当社は企業が何を必要としているかを把握し、市場のニーズにマッチしたプラットフォームを構築しています。そして、独立したセキュリティ検証プラットフォームとしては最大規模です。

 また、セキュリティシステムを100%網羅するチャネルだということもAttackIQの特徴です。企業にとって導入しているセキュリティツールの全体像を把握することが重要です。セキュリティスタックの有効性を測定するためにも、導入されているソフトウェアの全体像を可視化するAPI連携が必要で、当社はその役割も担っています。

 他には、企業独自の攻撃シナリオに基づいたシミュレーションの実施や、攻撃シナリオの共有。専用のプラットフォームに自由にコンテンツを付加することが可能な、オープンプラットフォームだということが、他社との大きな違いでユニークな点であり、同時に強みだと考えています。

設立 2013年
事業内容 継続的セキュリティ検証プラットフォームの提供
資金調達額 $31.9 M (2019年7月現在)
従業員数 50人以上
拠点 San Diego, California
URL https://attackiq.com/
関連記事
ファイルレス攻撃を未然に防ぐ。バイナリレベルでOSをユニーク化するPolyverse
ファイルレス攻撃を未然に防ぐ。バイナリレベルでOSをユニーク化するPolyverse
ファイルレス攻撃を未然に防ぐ。バイナリレベルでOSをユニーク化するPolyverseの詳細を見る
米国とイスラエルの注目セキュリティスタートアップをまとめた「Security Startups 50」マップと主要50社情報を公開
米国とイスラエルの注目セキュリティスタートアップをまとめた「Security Startups 50」マップと主要50社情報を公開
米国とイスラエルの注目セキュリティスタートアップをまとめた「Security Startups 50」マップと主要50社情報を公開の詳細を見る
セキュリティテスト「ファジング」でソフトウェアの脆弱性を発見するFuzzBuzz
セキュリティテスト「ファジング」でソフトウェアの脆弱性を発見するFuzzBuzz
セキュリティテスト「ファジング」でソフトウェアの脆弱性を発見するFuzzBuzzの詳細を見る
サイバーセキュリティの新しい保険At-Bay
サイバーセキュリティの新しい保険At-Bay
サイバーセキュリティの新しい保険At-Bayの詳細を見る
パスワード不要、安全なスマートログインを実現するTrusona
パスワード不要、安全なスマートログインを実現するTrusona
パスワード不要、安全なスマートログインを実現するTrusonaの詳細を見る
Webアプリケーションを守る次世代セキュリティシステムSignal Sciences
Webアプリケーションを守る次世代セキュリティシステムSignal Sciences
Webアプリケーションを守る次世代セキュリティシステムSignal Sciencesの詳細を見る