政府機関など対象に暗号資産犯罪やマネロンの検知・防止ツールを提供するチェイナリシスが約110億円調達

政府機関など対象に暗号資産犯罪やマネロンの検知・防止ツールを提供するチェイナリシスが約110億円調達、評価額約4648億円に

政府機関および民間企業を対象に、暗号資産犯罪やマネーロンダリングの検知・防止のための調査・コンプライアンスソフトウェアを提供するブロックチェーン分析企業Chainalysis(チェイナリシス)は6月28日、シリーズEラウンドにおいて、1億ドル(約110億6800万円)の資金調達を実施したと発表した。

引受先は、リードインベスターのCoatue、既存出資企業のBenchmark、Accel、Addition、Dragoneer、Durable Capital Partners、9Yards Capital、新規出資のAltimeter、Blackstone、GIC、Pictet、Sequoia Heritage、SVB Capital。また同社は、累計調達額が3億6500万ドル(約403億8500万円)、評価額が42億ドル(約4648億6000万円)に到達したと明らかにした。

調達した資金は、以下ビジョンの実現のため使用する。

  • データ:より多くの暗号資産を対象とし、DeFi(分散型金融)のような新たなユースケースに焦点を当てることでデータの優位性を深化させる。また潜在的な脅威の兆候をより迅速に特定し、対応までの時間を短縮するために、グローバル・インテリジェンス機能を立ち上げる
  • ソフトウェア:同社ソフトウェア・ソリューションに向けてコラボレーション・ツールを開発・実装し、公的機関と民間企業のチームが同じデータセットを使って、一貫した共通理解のもとで共同作業ができるようにする
  • アクセス:政府機関、金融機関、暗号資産交換業者(取引所)などが、Chainalysisのデータと企業内の情報を組み合わせ、より良い意思決定ができるように、APIを通じ同社データに直接アクセスできるようにする

Chainalysisは、世界60カ国以上の政府機関、取引所、金融機関、保険会社、サイバーセキュリティ企業にデータ、ソフトウェア、サービス、リサーチを提供。同社データは、調査、コンプライアンス、マーケット・インテリジェンス・ソフトウェアの強化ほか、刑事事件の解決、暗号資産取引における消費者保護に利用されているという。

関連記事
【コラム】サイバーテロを終わらせるために政府は民間セクターとの協力を強化すべきだ
曖昧だから良い? 米国の暗号資産規制がイノベーションを取りこぼさないワケ
USBキーのような暗号資産ハードウェアウォレットLedgerが415.6億円を調達
米財務省が暗号資産の報告義務を提示、富裕層の税逃れ対策を強化
仮想通貨ブームが続く中、ブロックチェーン分析のChainalysisが109億円調達

カテゴリー:セキュリティ
タグ:暗号資産 / 仮想通貨(用語)コンプライアンス(用語)Chainalysis(企業)DeFi / 分散型金融(用語)ブロックチェーン(用語)マネーロンダリング防止 / 資金洗浄防止 / AMLランサムウェア(用語)資金調達(用語)

【コラム】スタートアップにとって信頼できるセキュリティとはコンプライアンス基準以上のものだ

編集注:本稿の著者Oren Yunger(オレン・ヤンガー)氏は、GGV Capitalの投資家で、サイバーセキュリティ分野を担当し、エンタープライズIT、データインフラ、開発者ツールへの投資を推進している。以前は、SaaS企業や公的金融機関で最高情報セキュリティ責任者を務めていた。

ーーー

コンプライアンス基準を満たすことに関しては、多くのスタートアップ企業が基本的な義務は果たしている。GDPR、CCPAからSOC 2、ISO27001、PCI DSS、HIPAAまで、企業は事業運営に必要なコンプライアンス基準の達成に向けて努力を重ねている。

例えば現在ではヘルスケア分野の創業者ならば、自社の製品がHIPAAに準拠していなければならないことを知っているし、コンシューマー分野で活動する企業であれば、GDPRなどもよく知っているだろう。

しかし、多くの高成長企業が犯している過ちは、コンプライアンスのことを、セキュリティをも含む万能の呪文として扱っていることだ。こうした考えは、痛みをともない高くつく問題を招きかねない。実のところコンプライアンスとは、企業が最低限の管理を行っていることを意味しているだけだ。一方、セキュリティとは、企業活動にともなうリスクに対処するためのベストプラクティスやソフトウェアを広く包含するものなのだ。

スタートアップ企業が、まずコンプライアンスに取り組みたいと考えるのは当然のことだ。規制された地域の市場に拡大したり、金融や医療などの産業に新たに進出したりする際には、コンプライアンスの遵守がまず大きな役割を果たす。つまり、いろいろな意味で、コンプライアンスの達成は、スタートアップ企業にとって市場開拓活動の一部なのだ。実際、各企業の購買担当者は、スタートアップと取引契約をする前にコンプライアンスが満たされているかどうかを知りたがるので、スタートアップ側は当然のことながら購買担当者の期待に応える努力を行っている。

このような背景を考えると、たとえばスタートアップ企業が、初期の段階でコンプライアンスを達成する活動を、エキサイティングな機能の開発やリードを獲得するための新しいキャンペーンの実施よりも優先させる動きが見られることは、当然だろう。

コンプライアンスは、若い企業にとって重要なマイルストーンであり、サイバーセキュリティ業界を前進させるものだ。またコンプライアンスはスタートアップの創業者のセキュリティ意識を高め、顧客はもちろん自社の保護について考えさせる。同時に、コンプライアンスは、顧客企業の購買担当者の法務チームやセキュリティチームが新興ベンダーと取引する際に安心感を与える。では、なぜコンプライアンスだけでは不十分なのだろうか?

まず第1に、コンプライアンスの遵守はセキュリティの保証を意味するものではない (もちろん正しい方向への一歩ではあるが)。若い企業では、コンプライアンスを遵守していても、セキュリティ対策が脆弱であることが多く見られる。

それはどのようなものだろうか?例えばあるソフトウェア会社は、すべての従業員が自分のデバイスにエンドポイントプロテクションをインストールすることを求めるSOC 2基準を満たしている一方で、従業員に実際にソフトウェアを有効にしてアップデートすることを強制する方法は持っていないかもしれない。さらに、そうした会社は、どこで、誰に、なぜエンドポイントの侵害が発生したのかを監視し、報告するための一元管理されたツールを持たない場合がある。そして最終的に、その会社はデータ漏洩や攻撃に迅速に対応し、解決するための専門知識を持っていない可能性がある。

こうしたことから、コンプライアンス基準は満たしている一方で、いくつかのセキュリティ上の欠陥が残ることになる。結果として、そのスタートアップ企業はセキュリティ侵害に遭い、莫大な損失を被ることになる可能性がある。IBMの調査によれば、従業員数500人以下の企業では、平均的なセキュリティ侵害のコストは770万ドル(約8億4450万円)に上ると推定されている。もちろん既存および潜在的な顧客からの信頼の喪失やブランドダメージはいうまでもない。

第2に、スタートアップにとって予期せぬ危険となるのは、コンプライアンスが誤った安心感を生み出す可能性があることだ。客観的な監査人や有名な組織からコンプライアンス証明書を受け取ると、セキュリティ面では対策済みのような印象を与えることができる。

スタートアップが人気を博し、優良顧客を獲得し始めると、その安心感はさらに高まる。なぜなら、そのスタートアップがセキュリティに関心の高くコンプライアンスも十分であるフォーチュン500企業を顧客として獲得できたのであれば、そのスタートアップも安全でだろうと考えられるからだ。企業との取引を狙う場合、買い手側がスタートアップに対して企業のセキュリティ基準を満たすためにSOC 2やISO27001への準拠を求めることは当然だ。しかし多くの場合、企業の購買担当者は取引先ベンダーがもたらすリスクについて、高度な質問をしたり理解を深めたりすることはないため、スタートアップが自社のセキュリティシステムについて実際に問われることはない。

そして第3に、コンプライアンスは、定義された一連のノウハウのみを扱っているに過ぎないということだ。未知のものや、規制要件の前バージョンが書かれてから発生した新しいものはカバーされていない。

例えばAPIの利用が拡大しているが、規制やコンプライアンスの基準がその流れに追いついていない。つまり、eコマース企業がクレジットカードによる支払いを受け付けるには、PCI-DSSに準拠していなければならないが、同時に認証が脆弱であったり、ビジネスロジックに欠陥があったりするAPIを複数利用している可能性がある。PCI規格が策定された当時には、APIは一般的ではなかったため、規制にはAPI が含まれていなかった。しかし現在ではほとんどのフィンテック企業がAPIに大きく依存している。つまり、取引業者がPCI-DSSに準拠していたとしても、安全でないAPIを使用している場合があり、顧客がクレジットカードの侵害にさらされる可能性があるのだ。

スタートアップが、コンプライアンスとセキュリティを混同しているのは仕方のない面もある。どのような企業にとっても、コンプライアンスとセキュリティを両立させることは難しい。予算や時間、セキュリティのノウハウが限られているスタートアップ企業にとっては、それは特に困難なことだ。理想的な世界では、スタートアップ企業は最初からコンプライアンスとセキュリティを両立させることができるだろうが、アーリーステージの企業がセキュリティインフラの強化に数百万ドル(数億円)を費やすことは現実的ではない。しかし、スタートアップ企業がより安全になるためにできることがある。

スタートアップがセキュリティに取り組むための最良の方法の1つは、早期にセキュリティ担当者を採用することだ。この役割のチームメンバーは、会社が従業員数や収益の大きな節目を迎えるまで後回しにできる「あったらいいな」要員と思われるかもしれないが、私はセキュリティ責任者を早期に採用することが鍵だと主張したい。なぜなら、このメンバーの仕事は、脅威の分析、セキュリティ対策の特定、展開、監視に専念することだからだ。さらに、スタートアップ企業は、自社の技術チームがセキュリティに精通し、製品やサービスを設計する際にセキュリティを最優先に考えるようにすることによって恩恵を手にすることができるだろう。

スタートアップがセキュリティを強化するためのもう1つの戦術は、適切なツールを導入することだ。ありがたいことに、Snyk(シンク)、Auth0(オース0)、HashiCorp(ハシコープ)、CrowdStrike(クラウドストライク)、Cloudflare(クラウドフレア)といった多くのセキュリティ企業が、オープンソースの無料版や、スタートアップに対しては比較的安価なバージョンのソリューションを提供しているので、スタートアップは大きな金銭負担なしにツール導入を行うことができる。

完全なセキュリティの展開を行うためには、IDとアクセス管理、インフラ、アプリケーション開発、障害回復、ガバナンスのための、ソフトウェアとベストプラクティスが含まれるが、ほとんどのスタートアップは、堅牢なセキュリティインフラのすべて重点項目を展開するために必要な時間と予算を持ち合わせていないと思われる。

幸いなことに、スタートアップ企業が最初に何をすべきかを把握するための無料のオープンソースのフレームワークであるSecurity 4 Startups(スタートアップのためのセキュリティ)のようなリソースが提供されている。このガイドは、創業者が成長の各段階で最も一般的で重要なセキュリティ上の課題を特定して解決するのに役立ち、長期的なセキュリティプログラムを構築するための確かなスタートを切るための初歩的なソリューションのリストを提供している。さらに、自動化コンプライアンスツールは、こうしたコントロールが確実に実施されるように、継続的なモニタリングを行う際に役立つ。

スタートアップにとって、パートナーや顧客との信頼関係を築くためには、コンプライアンスが不可欠だ。しかし、一度のセキュリティ事故によってこの信頼が失われてしまうと、信頼を取り戻すことはほぼ不可能になる。コンプライアンスだけでなく、セキュリティも確保することで、スタートアップは信頼性をさらに高めることができ、市場での勢いを増すことができるだけでなく、自社の製品を今後も存在させ続けることができるのだ。

なのでコンプライアンスとセキュリティを同一視するのではなく、コンプライアンスセキュリティがどちらも信頼のために大切というように視野を広げてみてはいかがだろうか。そして、信頼はビジネスの成功と長寿につながるのだ。

関連記事
グーグルがAndroidユーザーの位置情報取得に関しアリゾナで訴訟、設定項目を見つけにくくしたと報じられる
カメラではなくレーダーを使ったプライバシーが保護されたアクティビティ追跡の可能性をカーネギーメロン大学の研究者らが提示
PelotonとEchelon両社のプロフィール写真メタデータはユーザーの位置情報を流出していた

企業のコンプライアンス点検の質問を自動化するKintentがシードで4.4億円獲得

テクノロジー企業は顧客のセキュリティに関する総点検が必要だが、それは往々にして長い質問表に答える退屈な仕事だ。そのプロセスを自動化するスタートアップであるKintentが米国時間4月1日、Tola Capitalがリードし、テクノロジー業界の多くのエンジェル投資家が参加したシードラウンドで400万ドル(約4億4000万円)を調達したことを発表した。

共同創業者でCEOのSravish Sridhar(スラビッシュ・スリダール)氏は、前のスタートアップである、モバイルアプリのデベロッパーにBaaS(Backend as a Service)を提供するKinveyを売却し、数年の休暇を取り、次に何をするかを決めた。2017年にKinveyをProgress Softwareに売った売却益で、ふところは豊かだった。

Kintenyの経験から彼が直接知り得たことは、彼のその企業をはじめとして、多くの企業が大量のコンプライアンススタンダードを遵守しなければならないだった。そこから、次の企業の構想が生まれた。彼は、企業が自社のコンプライアンス達成度をもっと簡単に知るためのスタートアップを作りたかった。それは、コンプライアンスの現状を測り、改善点を教えてくれるサービスだ。そしてそれを目指して、Kintentを創業した。

「大きなビジョンとしては、企業がコンプライアンスに関して信頼されるための、記録システムを作ることです。その最初のユースケースは、情報のセキュリティとデータのプライバシー方面のコンプライアンスとなります。特にSaaSを開発する企業で、顧客データやPHI(個人健康情報)を保存しているなら、それは極めて重要です」とスリダール氏はいう。

関連記事:企業のセキュリティリスクを評価するSecurityScorecardがシリーズEで約196億円を調達

同社のプロダクトはTrust Cloudという名前だ。彼によると、同社はまずユーザー企業のテクノロジーの実態を、システムとそこに保存される情報のタイプの両面から点検し、彼らが準拠を目指しているスタンダードに対して実際どれほど準拠しているかを調べる。

それからユーザー企業側のデータの分類に基づいてTrust Cloudは、求めるスタンダードへのコンプライアンスを維持するためのベストプラクティスのリストを作る。そして最後に、その後やったことがコンプライアンスにどう影響したかをテストし続けるための方法を伝授する。

同社がローンチしたのは2019年で、2020年の前半まではプロダクトを開発し、2020年10月から有料サービスを開始した。現在では有料会員が35社ある。スリダール氏によると「売上は6桁の上の方だ。ローンチした10月以降、毎月一貫して前月比で20から30%伸びています。顧客の業種はすでに11業種に広がりました」とのことだ。

現在、社員は14名だが、今回の資金で増員を考えている。彼によるとダイバーシティは口先だけではだめで、同社の場合はそれが企業の創立価値の中核にあり、真剣に捉えているという。

「雇用に際しては意図的に多様性に配慮し、会社が出自や人生の背景がさまざまな人たちで構成されるよう努力している」とスリダール氏はいう。

同社はまた、メインのプロダクトであるTrust CloudのDEI(Diversity、Equity、Inclusion)に関する部分を現在作っており、それは無料で提供されるとのこと。これにより企業は、自社のダイバーシティの実態を数値化して把握でき、改善を要する部分もわかるようになる。

カテゴリー:ソフトウェア
タグ:Kintent資金調達コンプライアンスDEI

画像クレジット:anyaberkut/Getty Images

原文へ

(文:Ron Miller、翻訳:Hiroshi Iwatani)

プライバシーとデータのコンプライアンスを自動化するKetchが約25億円を調達

Ketchは、オンラインのプライバシー規則とデータのコンプライアンスが複雑さを増す世界に対処しようとする企業を支援するスタートアップだ。同社はシリーズAで2300万ドル(約25億円)を調達したと発表した。

また、同社はステルスから正式に姿を現した。筆者は2020年に同社のPrivacyGraderツールについて記事を書いたが、ここにきて同社はさらに大きなビジョンや有料の製品を公表した。

関連記事:企業の情報開示を支援する無料ツールPrivacyGrader

Ketchを創業したのはCEOのTom Chavez(トム・チャベス)氏とCTOのVivek Vaidya(ヴィヴェーク・ヴァイディヤ)氏だ。2人は以前にデータ管理プラットフォームのKruxを創業し、2016年にSalesforceに買収された。ヴァイディヤ氏は筆者に対し、Ketchは自らに対する問いかけの答えだと語った。「どのようなインフラストラクチャを作れば、以前の自分たちはより良くなるだろうか?」。

チャベス氏は、Ketchは訪問者や顧客がどこにいても企業が常にデータ規則を遵守するためのプロセスを自動化できるように設計されていると語る。同氏は、ヨーロッパのGDPRのような地域ごとの規則があると最も厳しいルールにグローバルで従おうと考えてしまいがちだが、それは必要ではなく望ましくもないという。

「データを使って成長し、規則に従うことは可能です。我々のある顧客は、規則を守るためにデジタルマーケティングを完全に止めてしまいました。このような事態は防がなくてはなりません。【略】この顧客は責任感がたいへん強いのですが、複雑さに対処するツールを知らなかったのです」とチャベス氏は語る。

画像クレジット:Ketch

創業者の2人は、物事は考えているよりもさらに複雑だとも指摘する。真のコンプライアンスは「ハリウッドの正面入口」のようなプライバシーのバナーだけにはとどまらず、複数のプラットフォームにわたって顧客のリクエストを本当に実行することが求められるからだ。ヴァイディヤ氏は例として、誰かがメーリングリストを解除する際には「メールが今後確実に送られないように、そしてタイムリーに顧客の選択に応えるために必要な、複雑なワークフロー」が存在すると説明する。

チャベス氏は「顧客から『私のデータを削除して欲しい』と言われたのにマーケティングのメールやターゲティング広告がまだ顧客に届くとしたら、『弊社の社内では対応しました、それはマーケティングやメールのパートナー企業の問題です』と説明しても顧客は満足しないでしょう」と補足した。

同氏は、Ketchは既存のマーケティングや顧客データツールに代わるものではなく「企業が事業を運営している管轄区域に応じて規則に遵守するための設定をするもの」と説明する。資金調達の発表の中で、Patreonの法律顧問代理であるPriya Sanger(プリヤ・サンガー)氏はKetchについて「最短のエンジニアリング時間で我々のシステムに統合」し「同意管理とオーケストレーションシステムを簡単に設定し国際的に展開できた」と述べている。

シリーズAではCRV、super{set}(チャベス氏とヴァイディヤ氏が設立したスタートアップスタジオ)、Ridge Ventures、Acrew Capital、Silicon Valley Bankが支援した。CRVのIzhar Armony(イザール・アーモニー)氏とAcrewのTheresia Gouw(テレジア・ゴウ)氏がKetchの経営陣に加わる。

カテゴリー:ネットサービス
タグ:Ketch、資金調達プライバシーPrivacyGraderコンプライアンス

画像クレジット:Ketch

原文へ

(文:Anthony Ha、翻訳:Kaori Koyama)