企業のセキュリティプログラムは「Guessing game(推理ゲーム)」になっていないか。それを変えるために生まれたAttackIQ。同社は、継続的かつ包括的にセキュリティ検証を行い、企業内のセキュリティギャップを特定し、改善策を提案するプラットフォームを提供している。今回はCo-Founder & CTOのStephan Chenette氏に話を聞いた。

データドリブンなセキュリティ戦略を推奨、実現を支援

―まず設立の経緯を教えてください。

 私はサイバーセキュリティ業界に20年います。アメリカ国内の様々な地域で、小規模から大規模までのセキュリティ会社で働いてきました。常にイノベーションに重点を置き、セキュリティ分野の動向に目を配り、この業界で変化を起こしたいと考えてきました。

 初期の脆弱性スキャナーの一つで、当時は国防省などで採用されていた「Retina Network Security Scanner」の開発、インターネットアクセス管理ソリューションWebsenseの開発、IOActiveでATMや車両などIoTにおけるセキュリティの研究、AttackIQを設立する直前には、コンサルタントとして企業のサイバーセキュリティの予防や事後対処におけるソリューションを提供していました。そしてこれら業務を通じて常に目にする「問題」がありました。その「問題」のソリューションとしてAttackIQを開発しました。

Stephan Chenette
AttackIQ
Co-founder & CTO
イースタン大学コンピュータサイエンス学部在学中からソフトウェア開発やネットワークエンジニアとしてキャリアをスタート。卒業後、eEye Digital SecurityのSenior Security Software Engineerを務めた。2007年にカリフォルニア大学サンディエゴ校にてコンピュータサイエンスの修士号を取得。その後、Websense Security LabsにてPrincipal Research Scientist、IOActiveにてDirector of Research and Developmentを務める。2013年にAttackIQのCo-Founder and CEOに就任。2018年にCEOを退きCTOに就任。

―その「問題」とそれに対するAttackIQの役割を教えてください。

 そうですね。まず「問題」は、例えば、企業の情報漏えいを調査すると、セキュリティ製品が正しく設定されていない、保護すべきビジネス情報に対しソリューションが全くデプロイされていない、こうしたことが根本的な原因となっていることが多々あります。最初から正しく設定されていない場合もありますが、最初は正しくデプロイされていても例えば、業務上必要があるアプリを有効にしたなど、様々な要素によって有効性は損なわれます。

 しかし、企業がセキュリティ投資を行い、セキュリティ製品を導入しても、問題が発生しない限りその有効性の検証が行われていなかったのです。セキュリティ製品の導入効果、設定が正しく行われているか、本来発揮すべき能力が発揮されているかなどを包括的かつ継続的に検証する仕組みがないこと、またその評価基準や評価の根拠となるデータが無いことが「問題」でした。

 企業のサイバーセキュリティの検証を継続的に行い、組織内のエンドポイントからクラウドまでに存在する全てのデバイスにおいて、セキュリティスタックの有効性を測定し、問題があれば改善ソリューションを提供する。そして、情報漏えいなど、ビジネスにおける重大リスクを最小限に抑え、データドリブンなセキュリティ戦略を推進し、実現を支援することがAttackIQのミッションです。

強固なセキュリティの基礎は継続的なセキュリティ検証にある

―企業のサイバーセキュリティの評価はどういった内容になるのでしょう。

 例えば一般的に企業では75種類以上のセキュリティ技術を採用しています。AttackIQはそれら全てをリスト化し、それぞれに期待すべき性能と、実際の運用時の機能状況をリストに併記し評価します。

 当社のプラットフォームが中核を担い、企業のセキュリティ担当者の「想定」と「実際」に乖離がないか、攻撃シナリオに基づいたサイバー攻撃をシミュレーションし評価を行い、どこに改善が必要か特定し、改善が必要であれば最適化する方法を提案します。ただし、当社は提案までで、実際のシステム導入や改善の実施に関しては、企業に委ねています。

―より強固なセキュリティが求められ、市場も拡大を続けていますが、その中で御社の強みはなんでしょう。

 まず、当社は企業が何を必要としているかを把握し、市場のニーズにマッチしたプラットフォームを構築しています。そして、独立したセキュリティ検証プラットフォームとしては最大規模です。

 また、セキュリティシステムを100%網羅するチャネルだということもAttackIQの特徴です。企業にとって導入しているセキュリティツールの全体像を把握することが重要です。セキュリティスタックの有効性を測定するためにも、導入されているソフトウェアの全体像を可視化するAPI連携が必要で、当社はその役割も担っています。

 他には、企業独自の攻撃シナリオに基づいたシミュレーションの実施や、攻撃シナリオの共有。専用のプラットフォームに自由にコンテンツを付加することが可能な、オープンプラットフォームだということが、他社との大きな違いでユニークな点であり、同時に強みだと考えています。



RELATED ARTICLES
既存の監視カメラをAIでアップグレード、製造・物流現場の安全性を向上 Spot AI
既存の監視カメラをAIでアップグレード、製造・物流現場の安全性を向上 Spot AI
既存の監視カメラをAIでアップグレード、製造・物流現場の安全性を向上 Spot AIの詳細を見る
宇宙の「ラストマイル問題」に取り組む、北海道大学発スタートアップ Letara
宇宙の「ラストマイル問題」に取り組む、北海道大学発スタートアップ Letara
宇宙の「ラストマイル問題」に取り組む、北海道大学発スタートアップ Letaraの詳細を見る
ソフトウェア開発のエンジニアと「共に歩む」AI 市場を席巻するGitHub Copilotがライバル Augment Code
ソフトウェア開発のエンジニアと「共に歩む」AI 市場を席巻するGitHub Copilotがライバル Augment Code
ソフトウェア開発のエンジニアと「共に歩む」AI 市場を席巻するGitHub Copilotがライバル Augment Codeの詳細を見る
自発的に学習する航空業界向けAI開発 精度バツグンの「ダイナミックプライシング」実現するFetcherr
自発的に学習する航空業界向けAI開発 精度バツグンの「ダイナミックプライシング」実現するFetcherr
自発的に学習する航空業界向けAI開発 精度バツグンの「ダイナミックプライシング」実現するFetcherrの詳細を見る
プラセボ治験者を「データ」に置換し臨床試験を短縮 Johnson & Johnsonとも協業するデジタルツインのUnlearn.ai
プラセボ治験者を「データ」に置換し臨床試験を短縮 Johnson & Johnsonとも協業するデジタルツインのUnlearn.ai
プラセボ治験者を「データ」に置換し臨床試験を短縮 Johnson & Johnsonとも協業するデジタルツインのUnlearn.aiの詳細を見る
人手不足の米テック企業の救世主?中南米や東欧の「隠れた凄腕エンジニア」を発掘するTerminal
人手不足の米テック企業の救世主?中南米や東欧の「隠れた凄腕エンジニア」を発掘するTerminal
人手不足の米テック企業の救世主?中南米や東欧の「隠れた凄腕エンジニア」を発掘するTerminalの詳細を見る

NEWSLETTER

世界のイノベーション、イベント、
お役立ち情報をお届け
「オープンイノベーション事例集 vol.5」
もプレゼント

Follow

探すのは、
日本のスタートアップだけじゃない
成長産業に特化した調査プラットフォーム
BLITZ Portal

Copyright © 2024 Ishin Co., Ltd. All Rights Reserved.