サイバーセキュリティのスタートアップCyCognitoが25億円を調達

企業のセキュリティの弱点の可視化を目的とする、サイバーセキュリティプラットフォームのCyCognitoが、シリーズAラウンドの資金調達で2300万ドル(約25億円)を調達した。

画像クレジット:Getty Images

Lightspeed Partnersがラウンドを主導し、1800万ドル(約19億6000万円)を投じた。この中にはLightspeedベンチャーパートナーで元Microsoft(マイクロソフト)会長のJohn Thompson(ジョン・トンプソン)からの個人投資、ならびにSorenson Venturesからの追加資金も含まれている。それ以外の500万ドル(約5億4000万円)は、シードラウンドから参加しているUpWestやDan Scheinman(ダン・シャインマン)氏といった既存の投資家たちから投じられた。

CyCognitoによれば、そのサービスとしてのSaaSは「すべての外的な攻撃対象界面に対するグローバルな分析に基づいて、各組織のセキュリティリスクを自動的に発見して列挙し、優先順位付けすることができる」ということだ。言い換えれば、企業の攻撃対象界面全体を評価し、悪意のある攻撃者によって悪用される可能性のある抜け穴や欠陥を探すということだ。これは、インターネット上に露出しているデバイスを探し回る、数万ものインターネット上のボットたちを駆使することで行われている。そのデジタル資産データベースを利用して、同社は攻撃に使用される可能性のある問題点を探す。

同スタートアップは、ヘルスケア、ホスピタリティ、および金融業界にわたる「数十社」の企業顧客が、すでに彼らのプラットフォームを使用していると述べている。

2300万ドルの現金を得たCyCognitoは、資金を使ってより多くのエンタープライズクライアントにアプローチするために、エンジニアリングチームとセールスチームを拡大する計画だと述べている。会社の設立から2年の間、その幹部ページには男性しか並んでいなかった。

最高経営責任者のRob Gurzeev(ロブ・グルゼエフ)氏は、同社が「積極的により多くの女性やノンバイナリー(男女の2性にとらわれない人)の人たちを上級職に雇おうとしている」と語り、「従業員の多様性の拡大を積極的に奨励している」と述べた。

TechCrunchがCyCognitoの多様性の欠如を指摘した後、同社はすぐにリーダーシップページに1人の女性を含むように変更を行った。

[原文へ]

(翻訳:sako)

デロイトトーマツがサイバーセキュリティ特化の新会社設立、2019年6月より始動

デロイトトーマツグループは3月26日、サイバーセキュリティに関するコンサルティングを行う新会社デロイトトーマツサイバーを2019年4月に設立すると発表した。同年6月より本格的に事業を開始する。

同社はこれまで、デロイトトーマツリスクサービスおよびデロイトトーマツコンサルティングにおいてサイバーセキュリティ関連に関わるチームを有していた。今回、新会社の設立でそれらのチームから120人を配置し、サイバーセキュリティに特化した事業を発足する。

デロイトトーマツグループはプレスリリースの中で、「人・モノ・組織・社会インフラなどがあらゆる境界を越えてつながりあうIoT時代に突入し、サイバーセキュリティは企業の重要な経営課題のひとつであると同時に、あらゆる経営変革に欠かせない要素」とコメント。サイバーセキュリティ領域における専門家集団として業界をリードしていくと目標を掲げた。

導入コストは従来の100分の1 ― 不正アクセス検知サービスのカリウスがソニーとISIDから資金調達

法人向けの不正アクセス検知サービス「FraudAlert(フロードアラート)」を提供するカリウスは4月11日、ソニーのCVCであるSony Innovation Fund電通国際情報サービス(ISID)を引受先とした第三者割当増資を実施し、資金調達を完了したと発表した。金額は非公開だが、関係者によれば数千万円程度だという。

カリウスのFraudAlertは、他人のID・パスワードを不正に利用してサービスへのログインを行う、いわゆる「なりすまし攻撃」を検知するためのサービスだ。アクセスに使われた端末、IPアドレスなど、約50のパラメーターをもとにアクセス者がユーザー本人であるかどうかを判断する。カリウス代表の島津敦好氏によれば、すでに事業会社への導入が進んでいるほか、メガバンクをはじめとする複数の金融機関への導入に向けて最終調整段階だという。

日本に対する「なりすまし攻撃」が2013年頃から急増

海外では、なりすまし攻撃を検知し、必要に応じて2段階認証を求めるなどの対策が早い段階から採用されている一方で、日本の金融機関などではそのような防止策の普及が遅れてきた。島津氏はその原因として、「ハッカーには外国人が多く、言語の壁があったので、そもそも日本のサイトがなりすまし攻撃の対象になることは少なかった」と話す。

しかし、ブラウザに翻訳機能が搭載されるようになり、2013年頃から日本に対するなりすまし攻撃が急増。2014年に警察庁が発表した資料では、2013年に検挙した不正アクセス行為のうち79.5%が「利用者のパスワード設定・管理の甘さにつけ込んだもの」とされている。また、一般社団法人日本クレジット協会によれば、2016年におけるクレジットカード不正使用の被害額合計は前年比17.4%増の約140億円となっている。

「これまでの日本のセキュリティは、社内にあるデータの漏えいを防ぐという発想だった。しかし、例えばEvernoteなどに書かれたパスワードが盗まれ、それを利用して不正アクセスをするというようなケースが増えるにつれて、なりすまし攻撃に特化したソリューションが求められるようになった」と島津氏は話す。しかし、従来のサービスはオンプレミス型が主流で、10年以上前に作られた金融機関の基幹システムに組み込むには相当なコストを要する。

そこでカリウスは、「ライセンスだけで5億円、ハードウェアにもそれと同程度の費用がかかるオンプレミス型のものに比べて50〜100分の1のコストで導入できる」(島津氏)クラウド型の不正アクセス防止サービスを提供している。

FraudAlertは不正アクセスの検知に特化しており、その後に必要な画像認証や2段階認証などの認証システムはサードパーティのものを利用している。「認証の分野はハッカーとの『いたちごっこ』で、今使っている技術も4ヶ月〜1年経つと使えなるという世界。だが、サイトに訪れるたびに出てくる認証方法が毎回変わればハッキングは困難になる。だからこそ、複数のサードパーティ認証サービスを入れ替わりで使えるこのモデルにした」と島津氏は語る。

ところで、認証と言えば、島津氏は画像認証システムの「パズルCAPTCHA」で知られるCapy出身の人物だ。Capyの中で同じことを実現してもよさそうだけれど、同社を離れ、新会社を設立した経緯について島津氏は「画像認識はブラウザでしか使えない技術。IoTなどが普及するにつれて、その限界を感じるようになっていた。また、当時のユーザーからも『お金は払うから、画像認識の先のセキュリティもつくってくれ』というような声もあり、ニーズを肌で感じていた」と話す。

「セキュリティマーケットは情報の非対称性が大きい市場。日本はシステムインテグレーターの存在が大きく、エンドユーザーにはセキュリティに詳しい人がいない。また、そもそも2013年以前は『なりすまし攻撃』が少なかったので、ベンダー側にもあまり詳しい人がいなかった。だから、海外のサービスが日本に入っていこうにも、チャネルがないし、コストが高いから売れないという状況があった。そこで、日本産システムを、日本の会社が、日本語で提供するというのは大きなビジネスチャンスがあるのではないかと考えた」。

ソニーとISIDと手を組み、販売チャネル強化と海外進出狙う

今回の出資に参加したISIDは、金融機関向けソリューション、製品開発ソリューションをはじめとする幅広い分野で事業を展開する。また、グローバルFinTechイベント「FIBC」を毎年主催していることなどでも知られている。そのISIDと手を組むことで、カリウスは「日本のセキュリティマーケットで6割を占める」(島津氏)金融機関へのリーチを高めていく。

カリウス代表の島津敦好氏

また、海外比率の高いソニーグループのSony Innovation Venturesが資本参加することにより、カリウスは将来的な海外展開も視野に入れているようだ。「Apple Payやeウォレットが急速に普及するインド、そして、少し遅れて東南アジアなどでニーズが高くなると考えている」と島津氏はいう。

将来的なビジネス構想について島津氏は、「すべてのモノがインターネットにつながると、最終的には様々なモノとIDがひも付けされた世界になる。最初はサイバーセキュリティが私たちの事業領域にはなるが、徐々にリアルのセキュリティにも移行していく構想がある」と話してくれた。

2015年に創業のカリウスにとって、今回が同社初の外部調達となる。

中国のDidi Chuxingが、AIならびに自動運転技術の開発を行う米国研究センターをオープン

中国におけるUberのライバルDidi Chuxing(滴滴出行)が、米国研究センターを正式にオープンした。この新センターは、特にAIと自動運転の分野に向けて、中国内での人材プールを超えて、才能を吸い上げようとすると動きの一部だ。

研究センターの存在そのものは新しいものではない。昨年の9月、TechCrunchは、DiDiが米国に拠点を置く2人の経験豊富なセキュリティ専門家を雇用したことを報告した、Fengmin GongならびにZheng Bu両博士である。2人は2015の終わりに中国にオープンした他の拠点と緊密に連携する研究センターをリードするために雇用されたのだが、このたび研究センターが正式にオープンしたということだ。

Gong博士はマウンテンビューの施設を指揮し、彼のチームの「最先端のデータサイエンティストと研究者たち」の中には、元Uber研究者のCharlie Millerも含まれる。Millerを有名にしたのは、2015年に彼は10マイル離れた場所からラップトップを使ってジャーナリストの車両をハッキングしたことだ、これはコネクテッドカーの脆弱性を実証するために、事前にアレンジの上実行された離れ業だ。

本日(米国時間2月8日)Millerが書き込んだツイートによれば、Millerの役割はUberでのものと似通ったものになるようだ。彼の転職は注目に値する。なぜならこれはDidiがUberに対して行った最初の主要な引き抜き工作だからだ。そしてUberが強力に推進している自動運転に関わる案件でもある。

私の仕事は、Didiによって開発されて利用される運転支援ならびに自動運転システムが、外部からの攻撃や脅威を防御できるようにすることだ。

Didiは自動運転車に関連したUdacityとのパートナーシップを通じて、シリコンバレーで早期に影響を与えることを目指している。両者は、人間の運転する車両ならびに自動運転車のための運転安全性を向上させるための、ASAPS(Automated Safety and Awareness Processing Stack:安全と注意の自動処理スタック)を開発するためのチームを募集する、合同コンテストの開催をアナウンスした。選ばれた5つのファイナリストたちは、10万ドルの一時金を受け取り、DidiとUdacityの自動運転プロジェクトと密接に仕事をする機会を得ることができる。

[ 原文へ ]
(翻訳:Sako)

自動運転車に関するアメリカ運輸省のガイドラインが不十分な理由

car-cyber-security

【編集部注】執筆者のCarl Herbergerは、Radwareのセキュリティソリューション担当ヴァイスプレジデント。

FordやGM、トヨタ、VWは、今後5年間で自動運転車を実用化しようとしている自動車メーカーのほんの一部でしかない。さらにUberやTeslaに話を聞けば、既にドライバーレスの車は誕生していると答えるかもしれない。つまり、ハッカーにとって格好の標的となる自動運転車を守るためのルール作りの時間は限られているのだ。

TeslaJeep三菱の例に見られるとおり、自動車をハッキングするのは簡単なことだ。自動運転車が一般に普及すれば、サイバーセキュリティリスクは急激に増大することになる。コンピュターがハッキングされても、ほとんどはお金で解決できるが、自動車のハッキングは命に関わる。

アメリカ合衆国運輸省(Department of Transportation=DoT)が最近発行した自動運転車に関するガイダンスは、サイバーセキュリティに関する問題への取り組みとしては良い出発点だが、まだまだ改善の余地がある。その証拠に、DoT自身も技術的な専門知識が欠けていることを認め、自動運転車周りのセキュリティ専門家を雇うための特別な採用ツールを探している。

一方で、今よりも厳しい規制が導入されるまで待っている余裕もない。「ベストプラクティス」や「指導」、「〜すべき」といった言い回しでは、解釈に幅が生まれてしまい、自動運転車を守ることができないのだ。この記事では、他の業界での例をもとに、ドライバーの安全を守りながらも自動運転テクノロジーの進歩をとめないために、DoTができることについてまとめている。

なぜ自動運転車には厳しいサイバーセキュリティのルールが必要なのか

セキュリティ関連法案が急速に進化するテクノロジーについていけないことはよくある。さらにテクノロジーの多くは、標準的なプログラミング言語で記述され、オープンシステムや広く知られたシステムの上に構築されているため、ハッカーが侵入しやすいつくりになっている。自動運転車もこのカテゴリーに含まれており、普通の犯罪者からテロリストまで、悪意を持った人であれば誰でも簡単に侵入して、車をコントロールできるようなソフトが自動運転車には導入されている。

NSA(アメリカ国家安全保障局)の情報漏えいや、DNC(民主党全国委員会)のハッキング被害など、これまで政府は国家ぐるみのサイバーアタックには太刀打ちできないというイメージを国民に与えてしまっていることから、今こそサイバーセキュリティへの取り組みをアピールするには絶好のタイミングだといえる。さらに、これまで完璧とは言えない行いが明るみに出ている自動車業界にとっても、厳しいルールが導入されれば、消費者の信頼を少しは回復できるかもしれない。利用者の安全よりも経済的な利益を優先した企業のせいで、これまでイグニッションスイッチやエアバッグなどで、とんでもない品質問題が起きている。

自動運転車に関するこのような難しい問いには、できるだけ早く答えを出していかなければならない。

自動運転車がテロリストやハックティビスト、はたまたその他の犯罪者の手に渡ったときのことを考えてみてほしい。自動運転車を乗っ取った瞬間に、彼らは2トンの自走ミサイルを手に入れたようなもので、何百人もの命が脅かされることになる。また、ランサムウェアがさらに進化すれば、身代金を支払うまでハッカーが車を乗っ取っるといった事件が発生するかもしれない。車内の会話や行動範囲などが遠隔でモニタリングされる、プライバシー侵害の可能性については言うまでもない。

DoTのルールに記載されるべき事項

「ベストプラクティス」では大衆の安全を守ることはできない。私たちに必要なのは、現代の強力なハッキングを防ぐことのできる、安全で頑丈なシステムやソフトが自動運転車に搭載されていることを保障する法規制や検査なのだ。

まず、自動運転車には航空機と同じくらい厳しい検査基準が課されるべきだ。アメリカ連邦航空局が実施する新しい機体の検査の様子を見たことがある人であれば、彼らは翼を壊れるまで伸ばしたり、窓に向かって大きなものを発射したりすることで、機体の限界点を調べているのを知っているだろう。政府はこれと同じくらい厳しい検査を、自動運転車のサイバーセキュリティに関しても行わなければならない。例えば、新しい車を全てDDoS攻撃やAPT攻撃にさらして、どこまで耐えられるか検査するというのは一案だろう。ハッカーに依頼して、彼らがシステムに侵入できるかや、どこに虚弱性があるのかを確認するというのも手だ。厳しい検査が導入されれば、私たちは自動運転車が一般に普及する前に安全を確保することができる。

自動運転車の実用化がはじまったら、次は更新型の認証システムが必要になる。普通の車に対して、排ガス検査や機械的な安全性に関する検査を行うように、自動運転車にもサイバーセキュリティに関する検査を行うべきだ。一旦検査に合格したとしても、サイバーセキュリティの世界はすぐに変化するため、継続的な更新が必要になる。定期的な検査や再認証がシステム化されれば、最新のパッチをインストールしていない車から、乗客や歩行者、路上を走る他の車の安全を守ることができる。また、認証システムにベンダーを巻き込むことで、自動運転テクノロジーやサービスを提供する企業にも、自動車メーカーと同じレベルのセキュリティ水準を求めることができる。

そして基準を満たしていないメーカーに対して、政府は厳しいペナルティを課さなければいけない。金融業界では、倫理綱領やその他の規制措置への違反は、罰金や民事・刑事訴訟などの厳しい懲罰を意味する。「ベストプラクティス」には何の効力もない。もしも政府が自動運転車を規制したいと考えるならば、安全を侵すような違反には厳しい罰を与える必要があり、特に1番の心配事項であるサイバーセキュリティについてはそのような取り組みが必須だ。

同時に、DoTが規制しなければいけない事項にはグレーエリアも多く含まれている。ガイダンスでは自動車メーカーの倫理が問われている一方で、それだけでは乗客や周りの人の安全は守ることができない。もしも自動運転車がハッキングにあって歩行者をひいてしまったら、その責任は誰にあるのだろうか?車の持ち主なのか、メーカーなのか、それとも自動運転車に乗っていた人なのか。駐車場やトンネルなど、電波の届かないところでは何がおきるのか?自動運転車に関するこのような難しい問いには、できるだけ早く答えを出していかなければならない。

自動運転車にとっての規制強化のメリット

自動運転車の進歩のために、この段階ではあまり規制を強めないほうが良いと言う人も中にはいる。イノベーションを制限したり、テクノロジーの進歩にブレーキをかけたりしたくないという主張だ。そのような主張に対しては、ブレーキをかけるのは良いことだと反論したい。もしも車にブレーキがなければ、時速90マイル(時速145キロ)で運転しようとは思わないだろう。つまりブレーキがあるからこそ早く動くことができ、必要に応じて速度を緩めることもできるのだ。

自動運転車に伴うリスクは、これまでのテクノロジーとは比較にならない。ほとんどの人にとって、Yahooの情報漏えいはそこまで大きな問題ではなく、パスワードを変更してクレジットレポートを注意して見ておけばいいくらいだった。個人情報の盗難にあった人や、ランサムウェアに感染してしまった人は、もっと破滅的で甚大なダメージを受けたかもしれない。しかし自動車に関して言えば、ハッキングは生死を分ける問題なのだ。

自動運転車は、より安全で便利で効率的な交通手段となる可能性が高いが、それを実現するために、私たちは安全性の確保に向けて、できることを全てやっていかなければならない。

原文へ

(翻訳:Atsushi Yukutake/ Twitter

Dyn DNSに対するDDoS攻撃はスクリプトキディによる犯行か

troll-2

経営リスクを分析するFlashPointは、先週発生したDynのDNSへのサイバー攻撃に関する予備調査結果を公表した。ロシア政府などに支援されたプロのハッカーによる攻撃ではないかとも噂されていたなかで、彼らが下した結論とは、今回の攻撃はアマチュアのハッカーによるものだった可能が高いというものだった。

先週の金曜日に起きたDynのドメインネームシステムに対するDDoS攻撃は、様々なWebサービスに大きな影響を与える結果となった。PayPal、Twitter、Reddit、GitHub、Amazon、Netflix、Spotify、RuneScapeなどのWebサービスでアクセス障害が発生したのだ。

ロシア政府の関与が噂されたのに加え、ハッカー集団のNew World Hackersをはじめとする様々な組織が、自分たちがこのサイバー攻撃の首謀者であると主張した。おかしなことに、あのWikiLeaksも同組織のサポーターが関与した可能性があるとツイートしている(おそらくジョークだろう)。

FlashPointはこれらの主張について「疑わしい」、「嘘である可能性が高い」とコメントし、その代わりにスクリプトキディ(他人が製作したスクリプトを悪用して興味本位で第三者に被害を与えるハッカー)たちによる犯行だったという説を主張しているのだ。

彼らがこの結果にたどり着く根拠となったのは、今回の調査で新たに分かった証拠の数々だ。今回の攻撃に使われたインフラストラクチャーは、Dynだけでなく有名なビデオゲーム企業にも攻撃を加えていたのだ。

「同社のサービスにはなんら影響がなかったとは言え、ビデオゲーム企業が標的にされたという事実はプロのハクティビスト、政府主導のハッカー、または社会的正義を掲げるコミュニティが関与していたという可能性を低め、オンラインのハッキング・フォーラムに現れるようなアマチュアによる犯行だった可能性を高めています」とFlashPointのAllison Nixon、John Costello、Zach Wikholmは分析資料のなかで語る。

Dyn DNSへの攻撃は、Miraiと呼ばれるマルウェアに感染したデジタルビデオレコーダーとWebカメラによって構成されたボットネットが引き起こしたものだ。このボットネットをコントロールするマルウェアのソースコードは今月初めにGitHubで公開されている。また、Miraiをリリースしたのはhackforums[.]netというハッキング・フォーラムに頻繁に現れるハッカーだったとFlashPointは主張している。

このような状況証拠は、英語で書かれたハッカー・フォーラムの読者と今回のサイバー攻撃とのつながりを示している。また、このhackforums[.]netはビデオゲーム会社を標的にしていることで有名なフォーラムであることをFlashPointは指摘している。

同社は「ある程度の自信をもって」この結論にたどり着いたと話す。

このコミュニティは「booters」や「stressers」と呼ばれる商業用DDoSツールの開発方法及びその使用方法を掲載していることで知られています。ハッカーたちはその「貸しDDoSサービス」とも言える有料サービスをオンラインで提供しており、マルウェアのMiraiやボットネットに関与しているハッカーの1人はこのフォーラムに頻繁に出入りしていることが知られています。「Anna-Senpai」というハンドルネームで活動するハッカーが10月初旬にMiraiのソースコードを公開しており、この人物こそが今月初めに「Krebs on Security 」とホスティングサービスプロバイダーのOVHを攻撃した人物だと考えられています。このフォーラムに頻繁に現れるハッカーたちはこれまでにも同様のサイバー攻撃を仕掛けていたことが知られていますが、それらの攻撃は今回よりもはるかに規模の小さなものでした。

FlashPointはさらに、ターゲットとなった企業が広範囲に及んでいること、そして金銭的な要求がなかったことから、今回の攻撃に金銭的または政治的なモチベーションがあったとは思えないと主張している。つまり、自分の能力を誇示したり何かを破壊することをモチベーションとするハッカーによる犯行だった可能性が高いということだ。そのようなハッカーたちは俗にスクリプトキディと呼ばれている。

セキュリティ企業のF-SecureでCHief Research Officerを務めるMikko Hypponenは、このFlashPointの分析に賛同している。「彼らは正しいと思います」と彼はTechCrunchとのインタビューで語る。「金曜日に起きたサイバー攻撃に、金銭的あるいは政治的なモチベーションがあったとは思いません。あの攻撃にはハッキリとした標的がなく、明確なモチベーションを見つけるのは難しい。なので、愉快犯による犯行だったのでしょう」。

サイバー攻撃に利用されたWebカメラがリコールされる一方で、IoTの安全性に関する問題は企業が単体で解決できる問題ではない。また、高いスキルを持つプロのハッカーでなくても、簡単に入手できるソフトウェアでボットネットをコントロールすれば、社会に大きな影響を与えるようなサイバー攻撃を仕掛けることができるかもしれないのだ。プロのサイバー攻撃の標的はもっとハッキリしており、公衆からの注目を得ることを避けようとしている。彼らのモチベーションは世界が焼け落ちるところを見ることではなく、もっと経済的なものだ。

今年の夏にIoTセキュリティのDojo-Labsを買収したセキュリティ企業のBullGuradは、ユーザーの個人ネットワークに接続されたIoTデバイスがShodanのサーチエンジンに掲載されているかどうかチェックできる無料のIoTスキャナー・ツールを提供している。Shodanのサーチエンジンは外部からアクセス可能なIoTデバイスをリストアップしており、そこに掲載されているデバイスはハッキングの対象になる可能性がある。

同社によれば、これまでに同社のツールによってスキャンされたユニークIPアドレスの数は10万以上にもおよび、そのうち4.6%のデバイスに脆弱性があることを発見したという。世界中に約40億台ものIoTデバイスが存在することから推定すれば、脆弱性のあるIoTデバイスは世界全体で1億8500万台も存在することになるとBullGuardは話す。

「IoTの脆弱性に対する本当の解決策はまだありません」とF-SecureのHypponenは話す。「IoTリスクに対応できる新しいセキュリティが必要ですが、消費者からデバイスの安全性を求める声はありません」。

IoTのセキュリティ強化を求める消費者は少ないものの、F-SecureはF-Secure Senseと呼ばれるセキュリティ製品の開発に取り組んでいる。だが、現状はまだそのツールに対する需要をテストしている段階だとHypponenは話す。彼によれば、IoTデバイスのセキュリティを強化するという動きは消費者からではなく、ネットワークからデータが流出することを恐れる企業から生まれるだろうと考えている。

「この状況に変化が起きるのは、IoTデバイスを標的としたサイバー攻撃ではなく、その背後にあるネットワークを標的とする大規模なサーバー攻撃が起きたときでしょう。人々のホームネットワークがランサムウェアに感染し、休暇中の写真が人質に取られ、しかもその攻撃がIoT洗濯機から侵入してきた時です。すると彼らは”対策するべきかも”ということに気付くのです」と話し、「これは今にも起きつつあることだ」と付け加えた。

「なので、ハッカーの攻撃対象はIoTデバイスではありません。IoTデバイスはベクトルです。彼らはそれをネットワークに侵入するための入口として利用しているのです。そして大半の場合、ネットワークをつなぐ鎖の弱点となるのが、IoTデバイスなのです」。

[原文]

(翻訳: 木村 拓哉 /Website /Facebook /Twitter

バイオメトリック・データのセキュリティを強化するHYPRが300万ドルを調達

shutterstock_177995624-e1417028652116

もし自分のアカウントがハッキングされたとしたら、真っ先に頭に浮かぶのはパスワードをリセットすることだろう。セキュリティ設定を強化するかもしれない。そして、そのアカウントやアプリをその後も使い続ける。だが、もしハッカーに指紋や虹彩などのバイオメトリック・データを盗まれたとしたら?指紋や眼球を交換することはできない。

そこで活躍するのがニューヨークを拠点とするHYPR Corpだ。同社が開発するサイバーセキュリティ・システムを利用すればアルファベットと数字が並んだパスワードの代わりに、システムによって保護されたバイオメトリック・データを安全に利用できるようになる。

CEOのGeorge Avetisovによれば、HYPRのシステムではバイオメトリック・データをいくつかの場所に分散して保存し、かつそのデータを暗号化する。これにより、そもそもハッカーがそのデータを解読することは困難なだけでなく、データを盗むためには複数のデータベースを1つずつ攻略していく必要がある。

HYPRでは、ユーザーの指紋や顔の特徴などのバイオメトリック・データはユーザーのモバイル端末に少なくとも一時的に保存される。データはHYPRによって暗号化され、その後はそのバイオメトリック・データを直接利用する必要がなくなる。

銀行アプリで送金手続きを完了するためにユーザーの虹彩データが必要だとしよう。その場合、HYPRは銀行に対してその手続きの間でのみ有効なユーザーの身元証明用のトークンを発行する。そのため、銀行が顧客の虹彩を直接スキャンする必要はない。

「トークン化」と呼ばれるこのプロセスは、マイクロチップを搭載したクレジットカードでも利用されている。これが磁気テープ型よりもマイクロチップ型のクレジットカードの方が安全性が高いとされる理由だ。

HYPRはシードラウンドにて300万ドルを調達したことを発表した。早い段階からHYPRの顧客となった金融分野の企業だけでなく、今後はそれ以外の業界にも進出していく。

hypr_cofounders

HYPRの共同創業者の2人。CEOのGeorge Avetisovと、CTOのBojan Simic。

 

金融業界だけでなく、自動車業界や家電業界からの需用もあると語るのはCEOのAvetisovだ。

「パンをトーストで焼くためにパスワードを入力する必要があるとしたら、誰もそれを使いたがりません。また、ハッキングされる恐れのあるPINを使って家や車のドアを開けるのは得策ではありません」と彼は話す。「私たちの生活にIoTが浸透していく今、私たちはメーカーと共同して銀行のアプリと同じような安全性をすべてのデバイスに持たせたいと思っています」。

今回のシードラウンドにはRTP VenturesBoldstart VenturesMesh Venturesなどが参加している。

RTP VenturesのManaging DirectorであるKirill Sheynkmanは、かつてPlumtree SoftwareのCEOを務めたこともある人物だ。彼によれば、HYPRは今回調達した資金を利用してチームの強化を図るだけでなく、金融、生命保険、そしてIoT分野の企業との提携を模索していく予定だ。

「今の時代では、マーケティング、セールス、事業開発へのフォーカスを業界横断的に行っていく必要があると思っています」とSheynkmanは語る。

RTP VenturesがHYPRへの出資を決断した理由の1つとして、HYPRのプロダクトが今の時代に求められているものだからだとSheykmanは話す。サイバーセキュリティという分野でバイオメトリック・データが主流になりつつあるなか、HYPRはすでにこの分野で顧客を獲得しているだけでなく、しっかりとしたプロダクトをマーケットに送り出していると彼は主張している。

私たちのオフィスのドアに顔認証システムが導入されるのはまだまだ先だと思うが、iPhoneやGoogle Pixelには指紋認証システムがすでに導入されている。また、無数の銀行アプリにはユーザー認証に音声認識の技術が使われている(声紋認証システムとも言われる)。

Juniper Researchの推測によれば、バイオメトリック認証を利用するアプリのダウンロード数は2019年までに7億7000万回を超えるという。これは昨年の600万回という数字に比べ、約130倍だ。

[原文]

(翻訳: 木村 拓哉 /Website /Facebook /Twitter