今日の大企業は全てソフトウェア企業
―事業内容について教えてください。
当社は二つのことで企業を支援しています。
一つは、安全性の高いソフトウェアを編み出すことです。ソフトウェア制作にはプログラミングやテストといったプロセスがありますが、サイバー攻撃に脆弱にならないよう、適切にコードが書かれているかどうかということです。
もう一つは、ソフトウェアが攻撃などに遭うことなく安全に動かせるようにすることです。今日では、私達になじみのある日本や世界の大企業は、銀行でも金融でもヘルスケアでもメーカーでも、全てがソフトウェア企業であると言えます。そこで、いかに速く安全に、最先端のソフトウェアを作って活用するかが、成功する上で大きな部分を占めると言えます。
―ではプロダクトについて教えていただけますか。
私たちは一つのプラットフォーム上で3つの機能を提供しています。
一つは、ソフトウェア開発中、つまりコーディングやテストのプロセスで、ソフトウェアの脆弱性を見つける機能です。ここでコードが、適切な方法で書かれていなかったり、ある種の攻撃を想定に入れていなかったりすれば、脆弱になるおそれがあります。
もう一つは、オープンソースのソフトウェアのリスクを評価する機能です。今日、ソフトウェア開発者はオープンソースコミュニティを活用しており、アプリケーション全体の4分の3がオープンソースライブラリを元に作られています。こうしたオープンソースライブラリは多くの場合、攻撃に脆弱です。そこで自らが活用しているオープンソースライブラリについて正しく知ることが重要です。
そして最後に、ソフトウェアやアプリケーションを起動する時に、リアルタイムで攻撃を特定し阻止できる機能です。こちらはオープンソース、カスタムコードどちらにも対応している機能です。
―どのようなテクノロジーを利用しているのか教えてください。
われわれは「Bytecode Instrumentation」を利用しています。これを利用することでソフトウェアを起動した際に、センサーがソフトウェアの脆弱性を発見します。
このセンサーが脆弱性を特定する概念を「Instrumentation」と呼び、われわれのプラットフォームの重要な部分です。今まで、ソフトウェアをテストするとなると、セキュリティチームがスキャニングツールを使い、スキャンをする必要がありました。そもそもスキャンには専門家が必要となり、またデータと透明性が揃っていないため、専門家が予測しなければならず、それが不正確性を生んでいました。コストもかかり、ソフトウェア開発サイクルの減速の原因でした。
われわれのプラットフォームはいつでも、コンスタントにアプリケーションをモニターするため、専門家も必要とせず、開発のサイクルを減速させることなく、ソフトウェアのセキュリティを保つことができます。
日本展開には積極的
―2019年6月には日本法人を設立し、日本市場に大きな関心を寄せているようですね。
日本では、すでに鍵となる企業とパートナーシップを結び、日本展開には大きな投資をしています。NRIセキュアが主要なパートナーの一つとなっています。すでに日本にはセールスやプロジェクトマネジメントなどの人員も配置しています。
日本では大規模ソフトウェアインテグレーターの他、銀行や金融機関を大きなターゲットにしています。既に大手4、5社と取引があります。日本でのローカリゼーションも積極的に進めています。
ソフトウェアセキュリティのリーダーに
―当面の目標と、長期的な目標を教えてください。
当面はソフトウェアとアプリケーションのセキュリティにおいてリーダーになることが目標です。創業してまだ5年ですが、長期的にはリーダー的ポジションを獲得し、確固たる地位を維持していくことを目指しています。
