完全なシステムなどない。必ず穴はある
―まずは御社のサービス内容についてお聞かせください。
当社は、モバイルアプリやウェブサイト、APIシステムをサイバー攻撃から保護するテクノロジーを開発しています。最近ではアメリカ国民の半数が被害に遭ったと言われる米大手信用情報サービスEquifax社の情報漏洩事件が記憶に新しいところですが、そういった事例を防ぐために尽力しています。
企業を狙ったサイバー攻撃は、主に2種類あると考えています。1つは、企業のサイトやソフトウェア上のバグや不具合からデータベースに侵入し、重要な情報や個人情報を盗み出すものです。そしてもう1つがオンラインバンクやEコマースのアカウントなどを盗用し、不正送金などを行うパターンです。
―なるほど。攻撃者は企業のシステムのバグ等から侵入する、ということですが、御社のセキュリティシステムでそのバグを修正していくということですか?
まず、我々は「バグのないアプリケーションなどない」と考えています。どんなシステムにも必ず穴はある、という見方です。そのうえで外部からのアクセスポイントと重要データの間にセキュリティというレイヤーを挟みこむことで侵入を防止するのです。もしも悪意ある攻撃者がデータに入り込もうとした場合、当社の自動アルゴリズムがそれを感知し、攻撃者とその行動を特定して阻止します。
―つまり、ソフトウェアを監視するというより、ユーザーの動きに目を向ける、ということですね。
その通りです。システムにはバグがあるという前提のもと、デベロッパーに攻撃者の存在や行動を提示し、可視化する形のセキュリティ体制なのです。我々はこれを「アタッカー・ドリヴン・ディフェンス(攻撃者駆動型防御)」と呼んでいます。
システム全体を見通して異常な動きを検出
―セキュリティシステム会社は数多いと思いますが、競合にはない御社独自の強みは何でしょうか。
歴史の長いセキュリティ会社はたくさんありますが、彼らは異常なデータや行動パターンを検知する、いわゆる「シグネチャ型」の手法をとっています。つまり、システムに対するリクエストにウイルスのシグネチャを発見した場合にブロックする、といったものです。
しかし、我々の場合は個別のリクエストではなく、システム全体を見通して異常な動きはないか、と診断します。そうすることで高度で正確な決定を下し、開発チームにハッカーの動きを伝えることができるのです。
また、従来式のセキュリティシステムでは、企業はセキュリティシグネチャを自社のウェブサイト用にパーソナライズする必要がありました。しかし、私たちは顧客のサイトごとに個別のシグネチャを構築するのではなく、攻撃者から守るための保護セット一式をインストールしていただく、といった形なので、パーソナライズ感は維持しながらも、顧客自身が管理や設定をする手間をかけずに、すぐにセキュリティ対策ができるのです。これは、業界でも非常に画期的なものです。
―どんな収益モデルをとっていますか?
いわゆる、SaaSモデルで、年間契約を結んでいただいています。価格はサイトの数や来訪者の規模によって決定します。中には非常に規模の大きなサイトを所有する企業もあります。現時点で1万を超えるアプリケーションを扱っており、日本の大手サイト運営企業にも利用していただいています。
―先ほど、日本企業とも取引があると伺いましたが、今後日本企業との提携を深めていくことはあるのでしょうか?
もちろんです。日本はソフトウェア開発業界にとっても、我々にとっても、とても興味深いマーケットです。日本はクラウドが非常に進んでいますから、旧来のセキュリティでは対応できないことも多いはずです。我々のサービスやテクノロジーを生かしていただけると考えています。