こんにちは、Nissho Electronics USA の門馬です。
4月に開催されましたセキュリティ業界最大級のカンファレンスであるRSAカンファレンス。今回、イベント内で開催されたイノベーションサンドボックスコンテストについて取り上げます。本企画は、数あるスタートアップピッチの中でも影響力のあるコンテストとなっています。解説については、ウェビナーでも行っていますので、以下のリンクをご参照ください。
参考:【Webinar記録】RSAカンファレンス2023 フィードバック
イノベーションサンドボックスコンテストは、今回で18回目を迎える非常に名誉あるピッチコンテストです。2022年の受賞社であるTalon Cyber Securityは、この1年でMicrosoftやクラウドストライクとの提携に成功しています。当日は各社3分間のピッチを行い、審査員とのQ&Aを3分間行いました。今年も100社を超える申し込みがあり、ここでは登壇した全10社をご紹介します。
1社目:Zama
Zamaは、ホモモルフィック暗号化技術を用いた製品を、オープンソースで提供しています。この技術は、データを復号化せずにサービス側で処理するものです。オンライン上では通常、ユーザー・サーバー間のやり取りは暗号化されますが、サーバー側で処理中のデータは暗号化されていません。そのサービス基盤を攻撃者が攻撃し、情報を抜き取ることを阻止するために役立つサービスです。ユースケースとしては、病歴や健康データの秘匿化、顔や声による認証の不正利用の防止などがあります。
2社目:Valance
Valenceは、APIやコネクタを利用してSaaSサービスの利用を可視化し、各サービスへの意図しないログインや不正なアプリからの接続要求などを検知します。検知した結果をもとに、ノーコードでくみ上げたワークフローに沿って、自動的にやり取りを遮断したり、サービス管理者に承認/否認を求めることができます。ワークフロー作成のためのガイドラインも提供をしています。企業のSaaSアプリケーション利用の増加に伴い、そのセキュリティ担保に役立つサービスです。
3社目:SafeBase
SafeBaseは、取引先と情報連携ができるポータルを提供しています。ポータルに関連情報やよくある質問を掲載することで、プロアクティブな対応や顧客とのやりとりを劇的に削減できます。また、契約書の保管や追加合意事項が出たときのアップデートを、対象者へ自動的に通知します。ソフトウェア・ベンダーに義務付けられているセキュリティ・リスク評価において、セキュリティ担当者の対応にかかる膨大な手間と時間を削減してくれます。
4社目:Relyance AI
Relyance AIは、開発パイプラインをAPIで連携させることによって、個人情報が組織のどこに存在するのかをコードレベルまで調査し、正確に可視化します。個人データの移動経路を追跡し、異常を見つけた際にはリアルタイムで特定。また、自然言語処理を用いて契約書をスキャン・解析し、記載内容に則ってデータの運用がされていない場合は、管理者にアラートをあげます。数行のコードを書くだけで実装が可能な上、既存環境の分析は平均4~5時間と、スピーディーに解析できます。
5社目:Pangea
Pangeaは、SDKで提供される開発者向けのセキュリティツールです。攻撃者によるログの改ざんが行われていないことを担保したり、開発中のアプリがSSN(ソーシャルセキュリティーナンバー)や運転免許証、クレジットカード番号などを外部に送付しようとした時、データそのものにマスク処理を施したりできます。企業にとっては、開発者の環境を安全にするだけでなく、GDPRをはじめとした規制に準拠しやすくなります。
6社目:HiddenLayer
HiddenLayer は、独自のアルゴリズムを用いて攻撃者が機械学習に対して仕掛けてきた攻撃をリアルタイムに検知し、防御します。攻撃とは例えば、機械学習のアウトプット情報からインプット情報を予測し、攻撃者が機密情報を得たり、意図的に誤ったデータを学習させて、出力結果を操作したりといったものです。また、機械学習そのものの整合性を担保するために、脆弱性の特定や悪意のあるコードの発見や、データサイエンティストチームやセキュリティチームへのトレーニングなども提供しています。
7社目:Endor Labs
Endor Labsは、使用するアプリのインベントリ管理を徹底するとともに、アプリ全体の依存関係を可視化します。そのうえで、最適なOSS(オープンソースソフトウェア)の選択について担当者に助言を行います。また、インベントリ管理の一環で、パッチが当たっていない脆弱なアプリについてもリストアップ可能です。多くのOSSを利用することは管理面ではデメリットが多いにも関わらず、開発環境ではその場の判断でOSSを利用していることがよくあります。依存関係の巨大化が多くの企業で問題になっており、それを軽減する上でも、本製品にはメリットがあります。
8社目:Dazz
クラウドセキュリティツールにおけるDazzのアプローチは、収集したデータから環境全体を俯瞰したうえで、開発のパイプラインに沿ったヒートマップを作成することです。根本的な問題を分析、特定し、責任者を特定したうえでコードの修正案を自動生成します。そして、責任者の承認をもって修正が行われる仕組みを提供。これにより、作業者の工数を格段に下げることができます。
9社目:Astrix
Astrixの製品は、APIで各種アプリケーションと接続することで、アクセス管理を提供しています。まずは全体を可視化し、異常な振る舞いを検知。検知項目は、長期間使用されていないIDでのログインやジオロケーションの監視、IPレピュテーションなど多岐にわたります。ワークフローによる自動修復やサードパーティーアプリの常時監視による自動的なセキュリティレベルの調整もサポート。その利便性から利用が拡大している、サードパーティアプリの接続に役立ちます。
10社目:Anchain.AI
Anchain.AI の製品は、金融機関向けにAIを用い、不審な取引について自動的にリスク評価を行います。特に問題視されている「偽名を用いたウォレットの作成」に対しては、作成時に現実世界の情報とマッピングさせることで、不正を予防できます。同社は得られた知識を活用して、ブロックチェーンの監査サービス(Web3SOC)を提供し、企業が利用するブロックチェーンの整合性の検証やリスク評価などをサービスとして提供しています。暗号通貨を使ったマネーロンダリングやなりすましの検知・予防の対策を急がれている金融機関において、効果の見込まれる製品です。
イノベーションサンドボックスコンテストで優勝したのは、Hidden Layerでした。次点は、Pangeaです。Hidden Layerの授賞理由は、取り組んでいる課題「機械学習を狙った攻撃」が、今後数年間で我々が直面する最大の問題のひとつであるため、でした。また次点のPangeaは、開発者を狙った攻撃に対して従来とは異なるアプローチをとっていること、攻撃のインターフェースを減らし、開発者の生活を楽にするうえで大変価値のある取り組みであることが評価されました。
NisshoUSA注目ポイント
昨年の同イベントも非常に興味深いスタートアップが多かったのを覚えています。昨年は、クラウドの急激な利用増による、ゼロトラストやSASEといった安全な接続に注目が集まっていました。一方、今年は、ゼロトラストやSASEに関連する企業がスタートアップピッチコンテストには登壇せず、代わりにAIがキーワードとなっていました。ちょうど潮目が変わり始めている印象を持ちました。
また、改めてセキュリティの領域は幅広いと感じました。従来は、ITの要素が強い印象でしたが、事業開発におけるセキュリティの重要性が高まっている印象です。いま、開発者を狙った攻撃がトレンドになっていることや、プライバシー保護への対応が強く求められていることが背景にあると思います。事業開発者は、事業のブランドを守るため、および法令に沿ったサービスを提供するために、セキュリティについてもIT担当者と協力しながら強化していかなければなりません。そのための知識習得に少しでもお役に立てていましたら幸いです。
最後までお読みいただきありがとうございました。
Nissho USAは、シリコンバレーで35年以上にわたり活動し、米国での最新のDX事例の紹介や、斬新なスタートアップの発掘並びに日本企業とのマッチングサービスを提供しています。紹介した事例を詳しく知りたい方や、スタートアップ企業との協業をご希望の方はお気軽にお問い合わせください。