コンプライアンスの自動化は、興奮するほどおもしろい話題とはいえないが、セキュリティ監査はビッグビジネスであり、SOC2、ISO 207001、FedRampなどの認証を得たい企業にとっては、数千万円単位の投資も惜しまない分野だ。シアトルを拠点とするStrike Graph(ストライク・グラフ)は、米国時間10月5日、事業開始とシード投資ラウンド390万ドル(約4億円)の調達を発表した。セキュリティ監査のプロセスをできるだけ自動化したいと意気込んでいる。
同社の今回のラウンドは、Madrona Venture Groupが主導しAmplify.LA、RevolutionのRise of the Rest Seed Fund、Green D Venturesが参加している。
Strike Graphの共同創設者でCEOのJustin Beals(ジャスティン・ビールス)氏は、この事業のアイデアは、2019年、少々奇妙なエグジット(GeekWire記事)を果たした機械学習スタートアップのKoru(コル)のCTOを務めていたときに思いついたのだと私に話した。この事業を行うには、同社はセキュリティのSOC2認証を取得しなければならなかった。「特に小さな企業にとって、それは本当に大きな挑戦でした。同僚に話をすると、それが徹頭徹尾、どれほど困難なことかを思い知らされました。なので、新しいスタートアップを立ち上げる段になったとき、私はもう興味津々でした」と彼は話していた。
画像クレジット:Strike Graph
Koruを去った後、彼は共同創設者のBrian Bero(ブライアン・ベロウ)氏とともにMadrona Venture Labs(マドローナ・ベンチャー・ラボズ)に客員起業家としてしばらく過ごしていた間に、そのアイデアを温め続けた。
ビールス氏は、現在のプロセスは遅く、非効率で多額の費用がかかる傾向にあると指摘する。Strike Graphの基本となる考え方は、当然ながらそうした非効率性を今の時点でできる限り排除するというものだ。断っておくが、同社が実際の監査サービスを提供するわけではない。顧客企業は、自身で監査サービスと契約する必要がある。しかしビールス氏は、そうした企業が監査のために拠出している費用は、その大半が監査前の準備のためだと主張する。
「あらゆる準備作業を行い態勢を整える。しかし最初の監査が終わると、また翌年のために最初から準備をし直さなければいけません。そのため、その情報の管理が大変に重要になります」。
画像クレジット:Strike Graph
Strike Graphの顧客は、まずリスク評価を提出する。同社はそれを元に、監査に合格するよう、そして自社のデータを守れるようセキュリティ態勢を改善する方法を示す。また、間もなくStrike Graphは、各企業の監査のための証拠収集(たとえば暗号化の設定)を自動化し、定期的にデータを集められるようにするとビールス氏は話している。SOC2などの認証を取得するには、企業は継続的なセキュリティ対応を実施し、12カ月ごとの監査を受ける必要がある。同社の自動証拠収集機能は、証拠データ収集にその機能を統合させた最初のセットが完成すれば、2021年の早い時期に提供できる予定だ。
主に中堅クラスの企業をターゲットとする同社は、その自動化機能に今回調達した資金の大半を投入する予定だ。さらに、マーケティングにも力を入れる。その中心はコンテンツマーケティングであり、潜在顧客への教育を目指す。
「規模の大小を問わず、ソフトウェアソリューションを販売するすべての企業は、セキュリティとプライバシーの両面において、広範なコンプライアンス要件に準拠しなければなりません。認証の取得は、負担の大きい、不透明で費用のかかる作業です。Strike Graphは、その問題にインテリジェントテクノロジーを応用します。それぞれの企業に特有のリスクを特定し、監査がスムーズに行われるよう手助けし、コンプライアンスと将来のテストを自動化します」と、Madrona Venture Group業務執行取締役Hope Cochran(ホープ・コクラン)氏はいう。「監査は、私がCFOだったころには避けられない痛みでした。しかし、Strike Graphのエレガントなソリューションが、企業内のすべての部署を一体化し、事業をより迅速に進められるようにしてくれます」。
関連記事:サイバーセキュリティーの新たな荒波に立ち向かうには?
カテゴリー:セキュリティ
タグ:Strike Graph、コンプライアンス、SOC2、資金調達
画像クレジット:Strike Graph
[原文へ]
(翻訳:金井哲夫)
