どの企業でも、わずか数秒でリスクを測定し5段階で結果を表示
――サービスの概要について教えてください。
SecurityScorecardは、世界中のどの企業であっても、そのサイバーセキュリティ上のリスクを測定するプラットフォームを開発しました。
測定は良い順にAからFまで5段階に分かれており、評価の低い企業ほど高い企業に比べて約7倍もセキュリティ上の攻撃を受けやすいとの統計も出ています。私たちのプラットフォームは、世界中の数千もの企業がより安全にビジネスを決行できるようサポートしています。
――起業のきっかけは何ですか?
私はもともとマイクロソフトやオラクル、ゴールドマンサックスといった企業でセキュリティに関する業務に従事しており、またGiltグループでCTO職も経験しています。
セキュリティに関する責任者だったころ、業界が抱える大きな問題を目の当たりにしました。それは、サイバーセキュリティ業界では、参考にできるKPIや指標などが存在しないという点でした。車の運転に例えると、自身のスピードや方向を知らないまま運転しているようなものです。
業界は、リスクの防止や評価ツールには多額の投資を行うのに、リスクの測定や数値化を図る方法はありませんでした。そこで、私は会社のリスクを測定して結果を表示できるようなツールがあれば頼もしいのにと思い、それがきっかけでSecurityScorecardを設立しました。
――現在どのような業界で需要が多いのでしょうか。
私たちの製品は、サイバーセキュリティ上のリスクを測定する上で重要となる指標を全てカバーしています。個人情報の流出、アプリケーションセキュリティなど、様々な指標を特定の企業に当てはめて、どれほどカバーされているかスコアを表示し、どこを改善したらいいのかを教えます。
現在Nokia、Google、Intelをはじめ数千ほどの企業に使用してもらっていますが、ユースケースは主に3種類です。1つ目は、サプライヤーリスクマネジメントです。例えば、サプライヤーがきちんと情報を保護できているかといった面で、一定の基準を満たさないとビジネスができない等基準を定めることができます。
2つ目のユースケースは、取締役会での報告書として使用する場合です。他業界と比較するために私たちのスコアを報告書に折り込み、取締役会での報告用に使用する企業もいます。
そして3つ目が、サイバーセキュリティ保険の引き受け会社が社内で使用する場合です。
測定実績は1000万社超え。日本でも子会社を設立
――競合他社と比べてどのような点が強みですか?
私たちが測定した企業数に勝る企業は世界中にありません。これまでに概算で1000万社ほど測定しています。これが1番の強みです。また、通常使用できるプラットフォームに加えて追加のアプリケーションや機能を調達できるマーケットプレイスもあります。
Image: SecurityScorecard
社内のセキュリティを360度ビューで可視化したAtlasというソフトウェアもあります。セキュリティスコアは、今後金融機関の格付けを行う企業と並んで重要になるという声もある中、私たちはセキュリティの格付けを行う先駆者企業と言えるでしょう。
――日本にも進出したそうですね、詳細を教えてください。
はい。日本でも昨年の6月に株式会社を設立し、5名ほどのチームが現在サービスの日本展開に携わっています。私たちの世界は相互接続されていて、情報もどんどんデジタル化しています。従って、ハッカーからしてみると、ヨーロッパだろうが日本だろうが関係なくなっているのです。IoTデバイスが全てを繋げているからです。
私たちのクライアントの多くは、サプライチェーンをアジアに持っています。そのいくつかと交渉を始めた時、どの企業でもセキュリティ測定を数秒のうちにできてしまうということを知った日本企業は、それに価値を見出してくれました。そこからクチコミで広がり、より多くの関心をもってもらえることに繋がりました。
プレスリリースも発表し、既にクライアントからも高評価を得ています。富士通や、NRIセキュア、マクニカネットワークスといった企業と協働しています。日本のマーケットのサイバーセキュリティに関する興味・関心も大きく、ポテンシャルのあるマーケットだと感じています。
――調達した資金の使い道はどのように考えていますか?
私たちは、トップの投資家から3億ドル近くもの額を調達することに成功しました。主に資金は製品の開発に充てたいと思います。今後は企業役員、保険機関、規制機関向けの製品を追加で作りたいです。
また、国際展開も加速させたいと考えています。世界を安全な場所にするにはどうしたらいいのかと考えた時、世界中の企業が私たちのスコアカードを持っていたら素晴らしいと思います。日本市場も、この中に含まれています。
――読者にメッセージをお願いします。
測定できないものをどうやって改善しますか? サイバーセキュリティは、現在懸念の多い分野です。私たちは日本企業と共に、リスクを測定し、問題を改善したり、変革を起こしたいと思います。既に名前を挙げた企業も含め、私たちはたくさんのパートナーと話をしたいですし、日本での存在感を高めたいと思っています。
ある会社が今日ハッキングに遭ったら投資家を失うかもしれません。セキュリティ面での保護を怠ったゆえ、メディアで取り上げられ会社にとって致命的な痛手となるかもしれません。私たちはリスク測定を使って、それを防ぐことができるのです。