目次
・優秀なオープンソースに思わぬ落とし穴
・競合他社にはないSocket独自の強みとは
・デジタル化遅れる日本に大きな商機も
優秀なオープンソースに思わぬ落とし穴
―Socketはソフトウエアの開発者のためのセキュリティ・プラットフォームを提供しています。なぜ、Socketのようなサービスが必要とされているのですか?
大企業が開発する優れたソフトウエアも、自社のコードで全て完結しているわけではなく、元を辿れば何万もの「オープンソース」(自由に使用できる)を基盤に構築しています。これは開発スピードやカスタマイズの自由度という理由が大きいのですが、もしオープンソースに脆弱性があれば、サイバー犯罪を許してしまうリスクもあります。Socketは、大企業のソフトウエア・サプライチェーンを守るサービスを開発しているのです。
そもそも、Socketは、私自身がオープンソースの開発者であったことが創業のきっかけになっています。私が2020年にSocketを創業する前、8年ほど様々な企業でオープンソースを開発していました。特にWebTorrentやStandard JSといったプロジェクトは、ブロックチェーン技術を活用した分散型システム、Pier to Peerであり、未来を感じさせるものでした。
オープンソースを開発し始めた私は、最初は良いものではなかったのですが、時間が経つにつれ上達し、数年経つと、とても人気のあるオープンソースソフトウエアが私のコードを使うようになりました。そのうち、段々世界の名だたる企業も私のコードをダウンロードするようになりました。今ではそのコードの月間ダウンロード数は10億を超えるほどです。
もちろん、私にとっては喜ばしいことだったのですが、同時に恐怖も感じました。というのは、もし私がミスを犯したり、セキュリティ上問題があるコードを書いたりしたら、世界中の多くの企業に悪影響を及ぼすことになるからです。オープンソースは蔦のように絡まり合っており、ひとつに侵入されると、被害はそこでとどまらず、それを使った多数のプレイヤーにまで広がります。
基本的に、サイバー犯罪者は、脆弱性の高いシステムを優先的に狙います。実際、私の親友はオープンソースライブラリにバックドアを仕掛けられ、ユーザーのお金を盗む仕組みを作られたこともあります。私自身、オープンソースに由来するインシデントを数ヶ月に1回は聞いていました。
私自身が開発者であったこともあり、オープンソースを含めた、ソフトウエア・サプライチェーンをいかにして守れるかを考え、Socketを立ち上げたのです。
―オープンソースにはそれだけ脆弱な部分があるのですね。
はい。実際、2024年初頭に発見された「XZ Utils」によるバックドア事件*からわかるよう、今やオープンソースの脆弱性は国家安全保障の問題にまでつながってきています。
今日ではありとあらゆる業界がSocketの利用者であり、AnthropicといったAI企業をはじめ、暗号資産やWeb3を扱う企業、米国の4大銀行のうちの一行、Fortune 100にランクインするような企業も顧客です。
*XZ UtilsはLinuxシステムで広く使われるオープンソースの圧縮ツールで、多くの企業や政府機関が利用している。同事件では中国・ロシアの関与が疑われており、XZ Utilsに意図的なバックドアが仕掛けられていて、リモートからLinuxサーバーに接続し、制御権を奪う可能性があった。
競合他社にはないSocket独自の強みとは
―具体的に、Socketはどのようにソフトウエア・サプライチェーンを守っているのですか?
私たちのアプローチは、使用するコードが安全なものか「事前に」確認できるものになっています。従来のソリューションは米国政府が提供するNational Vulnerability Databaseに基づき、既知の脆弱性(すでに問題を検知したコード)を発見するものでしたが、Socketは一歩踏み込んで、未知の脆弱性に対する攻撃も防ぐことができます。
具体的には、「静的コード解析」と呼ばれる、ソフトウエアを実行することなくコードの動作を仮想的に再現し、リスクを分析する手法を採用しています。マルウェアは挿入されていないか、不審な権限が要求されていないか、ライブラリの脆弱性はないかを解析するのです。
その上で、LLM(大規模言語モデル)を使い、コードの品質やゼロデイ攻撃への対応を強化します。SocketのLLMは、「このコードが実行された場合、どのようなリスクが発生するか」というシナリオを提示し、リスクを潰していくのです。
最後に、Socketが抱える専門家集団がこれらの解析結果をチェックします。AIが特定したリスクが妥当であるかや、コードの文脈に応じたリスク評価など、人間ならではの包括的リスク対応策を提言できるのです。
image : Socket HP
デジタル化遅れる日本に大きな商機も
私たちは急成長を遂げています。Socketは現在、7,500もの組織で活用されていますし、GitHub上の30万以上のコードリポジトリを保護しています。2024年は400%の収益成長を記録しましたし、従業員も3倍ほど増えました。
―日本市場に参入する可能性はありますか?
もちろんです。すでにアジアではシンガポールの顧客がいますし、日本の顧客がいればぜひ参入したいと考えています。
日本はハイテク国家で、サプライチェーンにおいて、リスクもその分大きいでしょう。日本市場は他国に比べると、クラウドやAIといった分野で少し遅れていると感じます。今後、こうした分野に各業界が移行するにつれて、リスクも増えていくでしょう。Socketが求められる余地も大きいと考えています。
―日本市場への進出を考えた時、どのようなパートナーを求めていますか?
代理店やチャネルパートナーといった形態がベターでしょうか。セキュリティの分野においては、基本的に顧客企業は代理店を通してソリューションを選びます。日本市場を知り尽くした代理店と話がしてみたいですね。
他には、金融やAIといった分野の企業との提携にも関心があります。特にAIは単なるデータの集積ではなく、実際にコードを実行していますから、常にセキュリティリスクが発生します。Socketが未然に防げるリスクは多数あるでしょう。
