高まるサイバーリスクにどう立ち向かうか？

2021.12.17

Research

本文：三浦輝(@hkr_miura)

11月15日、米国ではサイバーセキュリティ強化へのおよそ20億ドルの資金拠出を含むインフラ投資法案がバイデン大統領によって署名されました。

日本に目を移すと、９月には今後3年間の「サイバーセキュリティ戦略」が閣議決定を経て更新され、外交・安全保障上のサイバーセキュリティをこれまで以上に強化していくことが盛り込まれました。

また、最近ではRaaS (Ransomware as a Service) の台頭による「サイバー攻撃の大衆化」が指摘されることも増えています。

今年5月、世界最大の食肉生産業者の１社であるJBS meatsはランサムウェアによるサイバー攻撃を受け、20か国以上にまたがる同社のサプライチェーンは深刻な打撃を受けました。結果として、同社は総額にして$1100万ドルもの金額を支払うことになってしまいました。

さらに、仮想通貨やメタバースの浸透でサイバー空間への依存が強まっていく今後、サイバー攻撃に対する懸念はますます高まっていくように思われます。

この記事では、政府・企業共に気にかけていくべき「サイバーセキュリティ」について見ていきます。

以下、サイバーセキュリティ領域のスタートアップについて概観した後、注目の企業を3社取り上げて紹介していきます。

この記事で取り上げていないサイバーセキュリティ領域のその他の注目企業につきましては、以前の記事もご参照ください。

目次
１．サイバーセキュリティ領域のスタートアップ
２．サイバーセキュリティ領域で注目のスタートアップ3選
・Tessian – 人間のミスによって発生するサイバーリスクを抑制する企業
・Coalition – サイバー保険とセキュリティツールを同時に提供する企業
・Hypr – 「分散化」によってパスワードレスなログインを実現する企業

１．サイバーセキュリティ領域のスタートアップ

冒頭に述べたように、私たちの生活とインターネットとの関わりが日に日に深まるにつれて、サイバーリスクは増加の一途を辿っています。

ここでは、サイバーセキュリティの問題に取り組むスタートアップにはどのような企業があるのか概観していきます。

CBInsightは、サイバーセキュリティ領域の業界地図を上のように整理しています。

サイバー攻撃の手段の複雑化・高度化を受けて、サイバーセキュリティの領域もIoTセキュリティ、モバイルセキュリティ、クラウドセキュリティ…等のように細分化されています。

中でも、行動的生体認証(行動の癖や特徴から個人の認証を行う技術)やEDR(PCやスマホなどのエンドポイントを常時監視し、素早く異常を検知する技術)は近年注目の技術として話題を呼んでいます。

この記事では特にユニークなアプローチでサイバーセキュリティの問題に取り組むスタートアップを3社ご紹介していきます。

Tessianはエンドポイントにおいて「人間のミス」が引き起こすサイバーリスクを抑制する企業です。

Colitionは「保険」というアプローチでサイバーリスクに立ち向かう企業です。

HYPRは、「分散化」のアプローチによってモバイルやPCなどのデバイスのセキュリティ問題に取り組む企業です。

２．サイバーセキュリティ領域で注目のスタートアップ3選

◆Tessian
– 人間のミスによって発生するサイバーリスクを抑制する企業

TessianのHP(**https://www.tessian.com/**)より

企業名：Tessian
本拠地：ロンドン
設立年：2013年
HP：https://www.tessian.com/
累計調達額：$132.6M

先日、LINEはグループ会社の従業員の意図しないミスにより、LINEPAYの一部のユーザーの決済記録を含む情報が流失していたことを発表しました。

Tessianはこのような「人間によるミス」が引き起こすサイバーリスクに注目し、それに対処するサイバーセキュリティを提供する企業です。

Tessianは「人間が引き起こすサイバーリスク」の中でも、Eメールに注目します。

Tessianによると、約90%のデータの漏洩は、Eメールに起因するそうです。

具体的には、Tessianの提供するサイバーセキュリティツールは以下の様に機能します。

Tessianは過去12か月分のメールのログを機械学習によって解析します。
それによってメールをやり取りする個人間の関係を読み取り、また１人１人の従業員のサイバーリスクを数値化します。
↓
メールを受信した/送信する際、Tessianはメールの受信元/送信先の解析、メールの内容の解析、添付ファイルの安全性、メール全体の整合性などをチェックします。
↓
受信した/送信するメールに問題が見つかった場合は、発見されたリスクの簡潔な説明とともに警告を表示します。

Tessianの他のDLP(情報漏洩対策)ツールに対する強みとして、Tessianは次の３つを挙げています。

①従業員がサイバーリスクの高い行動を取った際に警告とリスクの説明を都度表示することで、従業員のサイバーセキュリティ意識を高めることができる点
②従業員個人の抱えるリスクの数値化、またメールログの詳細な解析をサイバーセキュリティの強化に繋げることができる点
③簡単なUIと最小限の警告により、従業員の仕事の効率を侵害しない範囲でセキュリティ対策をすることができる点

Accel, Sequoia Capitalなどからも資金調達を行うTessianは、現在までに約$132Mを調達しています。

サイバー空間が私たちとの関係性を強め、またAIやブロックチェーン技術の発達によりあらゆることが自動化される現在の世界だからこそ、むしろ「人間のミス」に着眼するTessianの重要性はますます高まってくるように思われます。

◆Coalition
– サイバー保険とセキュリティツールを同時に提供する企業

CoalitionのHP(**https://www.coalitioninc.com/**)より

企業名：Coalition
本拠地：サン・フランシスコ
設立年：2017年
HP：https://www.coalitioninc.com/
累計調達額：$520M

Coalitionは2017年に設立された新興企業でありながら既に5億2000万ドルもの資金をしたユニコーン企業で、「サイバー保険」をサービスとして提供しています。

サイバー保険とは、ランサムウェアやDDoS攻撃による被害を含むサイバーリスクに起因する様々な損害を補償する保険のことです。

例えば、損保ジャパンの展開するサイバー保険では、サイバーリスクによって生じた「第三者への賠償責任に関する補償」「事故時・事故後の対策等に必要な費用の補償」「利益損害に関する補償」「営業継続のために必要な費用の補償」に対応しています。

サイバー保険業界には多くの既存プレイヤーが存在している中、2017年に設立された後発企業であるCoalitionは、どのような事業展開によって急成長することができたのでしょうか。

Coalitionの特徴について、共同創業者であり現在同社のCEOを務めるJoshua MottaはVentureBeatの記事において次の様に述べています。

“While many insurance companies only assist after a claim is reported, we proactively work with our clients to prevent breaches from happening in the first place and contain them when they do.”
多くの保険会社が損害が報告された後にのみ補償を行いますが、私たちは将来のリスクを見越してクライアントと協働し、そもそもリスクが顕在化することを防ぎつつ、発生した時にはそれを封じ込めるのです。
VentureBeatより

つまり、「サイバー保険」会社として保険サービスのみを提供するのではなく、そもそものサイバーリスクの軽減までサービスに組み込む同社の姿勢が差別化に繋がっているのだといいます。

Coalitionはサイバー保険のサービスと共にサイバーリテラシートレーニングやEDR、システムの脆弱性の検証など様々なサイバーセキュリティツールを提供しています。

保険とセキュリティツールを同時に提供していくというアプローチによって、同社によるとCoalitionの保険契約者は保険を請求する頻度が他の保険会社と比較して3分の1未満であるそうです。

保険に付随するサービスを提供することで、結果的に顧客の負担を減らしつつCoalitionの保険の運用効率を高めることに成功しているのです。

Coalitionは2017年にJohn HeringとJoshua Mottaの2人によって共同創業されました。

初期にはY combinatorのCEOであるSam Altmanからの個人投資も受けたCoalitionは、現在までに$520Mドルを調達し、上場の意向も示しています。

While technology can help mitigate risk, it can’t eliminate it. And yet most organizations aren’t prepared for this reality.
技術はリスクを軽減することはできるが排除しきることはできない。そして、多くの組織ではこの事実を受け入れる体制が整っていない。
VentureBeatより

「リスクの軽減」と「顕在化したリスクへの補償」の両輪を掲げるCoalitionは、更にその市場での存在感を拡大させ続けています。

サイバーセキュリティの重要度が今までにない速度で高まる今、私たちに有効な解決策を示すCoalitionの今後の動向に注目していきたいです。

◆HYPR
– 「分散化」によってパスワードレスなログインを実現する企業

企業名：HYPR
本拠地：ニューヨーク
設立年：2014年
HP：https://www.hypr.com/
累計調達額：$67.1M

HYPRは「分散化」のアプローチによって強固なセキュリティを確保しつつ、パスワードレスなログインを実現する企業です。

HYPRのセキュリティを２つのポイントに分けて記述すると、

①生体認証によってパスワードレスなログインを実現
②パスワードの「分散」によって頑健なセキュリティを実現

の２つに区別できます。

まず、①生体認証によるパスワードレスなログインの実現について。

数字の打ち込みによるログインや、パターンロックを解くことによるログインは現在広く用いられていますが、これらには作成できるパスワードのパターンに限界があることが長年問題視されてきました。

この問題に対処するため、近年その利用が拡大しているのが「生体認証」によるログインです。

指紋認証や顔認証、虹彩認証などの「生体認証」の技術は、個人の特定をより精緻なものにすることでパスワードレスなログインを実現する基盤となっています。

iPhoneのFace IDなどがこの技術を応用したものに当たります。

次に、②パスワードの「分散」による頑健なセキュリティの実現について。

HYPRのサービスがユニークなのはこの「分散化」の特徴です。

HYPRは従来のパスワード認証が、「生体認証」によりそのセキュリティが強化されてきた一方で、SPOF(Single Point of Failure, 単一障害点)を抱えていることを指摘しています。

いくら「生体認証」の導入により強固なパスワードレスログインが実現できたとしても、そのパスワードがログインサービスの提供企業に集中的に保管されていると、その提供企業がサイバー攻撃を受け顧客情報を流出させてしまうリスクを軽減することはできません。

ここでは、「集中的にパスワード情報を保管するログインサービスの提供企業」がSPOFとなってしまっているのです。

実際に、顧客のログイン情報を保管する企業がDDoS攻撃等のサイバーアタックによって、パスワードを流出させてしまった事例は多く存在します。

そこでHYPRが提案するのは「分散化」のアプローチです。

HYPRはユーザーのログイン情報を中央のデータベースに集中的に保管せず、それぞれのユーザーのデバイスに保存します。

それによって、サイバー攻撃の対象を分散させることで、結果的にセキュリティを向上させているのです。

HYPRは上記の２点、

①生体認証によるパスワードレスなログインの実現
②ログイン情報の分散保管によって強固なセキュリティの実現

によって、

顧客のログイン体験を効率化しつつ高いセキュリティ性能を確保しているのです。

その創業期からSamsungによる資金提供も受けるHYPRのログインサービスは、その効率性によって私たちに広く受け入れられやすいように思われます。

私たち一人ひとりがサイバーリテラシーを高め、リスクに立ち向かっていかなければならない現在の世界において、HYPRのサービスがどのように存在感を高めていくのか、期待していきたいです。

終わりに

ここまで、ユニークなサイバーセキュリティサービスを提供する企業を３社概観してきました。

現在、冒頭で述べたように、サイバーリスクは年々高まり、その手法も日々高度化しています。

一方で「サイバーセキュリティ人材の不足」が話題に上がることも多く、今後はサイバーセキュリティに特化した企業を選択・活用していくことが強く求められるようになると思われます。

コロナ禍において私たちのインターネットへの依存が強まりつつある現在において、サイバーリテラシーの浸透とセキュリティの強化は喫緊の課題となります。

どのような企業が、どのようなアイデアを持ってサイバー空間の安全に貢献していくのでしょうか。

今後も目が離せない領域です。

＜参考＞

高まるサイバーリスクにどう立ち向かうか？

１．サイバーセキュリティ領域のスタートアップ