ライブコマースからセキュリティへ、東大発のFlattが2.2億円を調達して新たな挑戦を加速

写真左からFlattに個人投資家として出資したメルカリCTOの名村卓氏、Flatt代表取締役の井手康貴氏

「ライブコマースアプリ『PinQul』を手がける東大発スタートアップ」としてこれまでにも何度か紹介してきたFlatt昨年8月には同サービスのクローズを発表していた同社だが、新たな資金調達を踏まえて次のチャレンジとして選んだサイバーセキュリティ事業をさらに加速させていくようだ。

Flattは7月11日、サイバーエージェント(藤田ファンド)、ディノス・セシール、メルカリCTOの名村卓氏を引受先とする第三者割当増資により約2.2億円を調達したことを明らかにした。名村氏については、投資家としてだけでなく技術顧問として技術・組織面でもFlattをサポートするという。

同社は2017年5月の創業。エンジニアとしてFiNCやメルカリに在籍していた代表取締役の井手康貴氏など東大生メンバーが中心となってスタートしたチームだ。過去には2017年5月にヘイ代表取締役社長の佐藤裕介氏やペロリ創業者の中川綾太郎氏らから数百万円、2018年4月にも複数の個人投資家から2700万円の資金調達を実施している。

Flattは最初のプロダクトとしてライブコマースアプリのPinQulを2017年10月にローンチした後、翌年8月にクローズを発表。現在は2019年から取り組むサイバーセキュリティ事業が同社の主力事業だ。

これまではWebサービス向けの脆弱性診断事業を展開してきたが、今後はSaaS型のセキュリティサービスなど自社プロダクトのローンチも控えているという。

若い世代を主なターゲットとしたコンシューマー向けのライブコマースアプリから、法人向けのサイバーセキュリティ事業への方向転換は随分と毛色が変わったようにも思う。ただPinQulがスタートする際に取材をした時から井手氏は「この2つの領域で迷った結果、最終的にライブコマースを選んだ」という旨の話をしていたので、彼らにとっては割と自然な選択だったのかもしれない。

改めて次の事業ドメインとしてセキュリティを選んだ理由について聞いたところ「マーケットが大きい上に将来性も見込めることに加え、テックドリブンな領域であり、社会的な貢献度も見込めるなど自分たちの中でいくつかポイントがあって最初から候補として考えていた」(井手氏)という。

「近年では車や家電など、あらゆるものがインターネットに繋がってより効率化されていく流れが進んでいる。この流れは不可逆のものであり、これによってネットワークに繋がる機器が今後さらに増えていく。繋がっていくポイントの1つ1つが脆弱性の穴になり、セキュリティの重要性やニーズはより高まっていく。業界自体もまだまだアップデートしていく余地が大きい」(井手氏)

これまで数ヶ月間に渡って展開してきた脆弱性診断自体は、自動(ツール)と手動を組み合わせたオーソドックスなもので、Webサービスを展開するITスタートアップを中心にレガシーな企業のサポートなどもしてきたそう。

大手企業や以前TechCrunchでも紹介したココンなどすでに既存のプレイヤーがいくつも存在する領域ではあるが、マーケット自体が大きく需要に対してプレイヤーも少ないため、単体でも事業としては成り立つそう。ただFlattとしては今夏を目処に自社プロダクトをローンチする計画で、そちらによりリソースを投下していきたいという。

新プロダクトは現在クローズドβ版で検証をしている段階で具体的な内容はまだ明かせないとのことだけれど、井手氏やCCOの豊田恵二郎氏の話を踏まえると「脆弱性診断を実際にやっていく中で感じた課題や『脆弱性診断だけではカバーできない領域』に対応していく法人向けのSaaS」になるようだ。

社名も近々Flatt SECURITYに変更し、今後はセキュリティ領域に注力していくつかのプロダクトを展開する方針。この辺りは今回加わった投資家の1人であり技術顧問にも就任している名村氏のサポートも受けながら進めていくようで、新プロダクトについてもアイデアのタネは名村氏とのディスカッションから生まれたものだという。

「インターネット上でのサービスが発展する一方で、サービスを脅かすことへの驚異は異常なスピードで増え、かつ高度化しています。セキュリティはもはや、如何なる会社にとっても手を抜くことのできない重要な要素となっています。Flattのような若く優秀なエンジニア集団であれば、きっとこんな世界の救世主になるようなサービスを生み出すことができるだろうと確信し、今回協力をさせていただくことになりました」(名村氏のコメント / Flattのリリースより)

調達した資金に関しても新プロダクトの開発・マーケティングに向けた人材採用への投資がメイン。中長期的にセキュリティ領域で複数のプロダクトを手がけることも見据え、R&Dも進めていく。

サイバーセキュリティ上の脅威に晒されている医療業界

【編集部注】著者のRobert Ackerman Jr.は、アーリーステージのサイバーセキュリティ企業を対象とするベンチャーファームAllegis Capitalの創業者兼ディレクターである。また元政府関係のテクノロジーイノベーターやサイバーセキュリティプロフェッショナルを雇用するサイバースタートアップたち向けの、スタートアップ「スタジオ」であるDataTribeの創業者でもある。

情け容赦のないサイバーアタックが、あらゆる産業の企業をひどく苦しめ、そのダメージの修復に巨額の支出を強いている。そして混乱の中で失われるものが、他の産業に比べて大きな ―― しばしばとりわけ大きな ―― ものになる産業もある。ほとんど常に、怪しげな勢力からの注目を集めている企業被害者が、米国第2位の産業である医療業界だ。ハッカーによる業務妨害が、時間や、お金、そして操業停止につながるだけでなく、人命をも危機に晒すのだ。

医療業界自身も部分的な責任を負っている。患者へのケアの質を最大限に引き出すという素晴らしいお題目の下では、狭まった視野がそれ以外の要素への考慮を浅いものとしてしまう。特にサイバーセキュリティは後回しになる傾向がある。

総じて医療機関は、他の業界と比べると、サイバーセキュリティに対して半分程度の費用しか費やしていない。こうした理由や、盗まれた患者履歴のブラックマーケットでの異常な高値などから、沢山のハッカー集団が引き付けられ、病院は終わることのないサイバー戦場と化している。大手セキュリティ企業であるFortiGuard Labsは、2017年には1医療機関が1日あたり平均3万2000件の侵入攻撃を受けたと発表している。これは他の産業における平均値である1組織あたり1万4300件を上回るものだ。

明らかに致命的な攻撃もある。たとえば、メリーランド州を拠点とする巨大な医療グループであるMedStar Healthは、ランサムウェア攻撃によって厳しい機能不全に追い込まれた。特に人命が脅威に晒されたことで、全国ニュースの見出しとして取り上げられてしまった。よく知られたセキュリティ上の脆弱性を使った攻撃を受け、MedStar Healthは電子メールと膨大な履歴データベースへのアクセスを遮断されただけでなく、数日間にわたってがん患者に対する放射線治療を行うことができなくなった。

このようなトラブルは、多くの場合医師または他の医療従事者が攻撃者から送られたメールの開封を促され、その中のリンクや添付ファイルをクリックすることによって始まるのが典型的なケースだ。クリックによってマルウェアがPCにダウンロードされるこうした攻撃は「フィッシング」攻撃と呼ばれる。攻撃者はこのダウンロードされたソフトウェアを使用して、医療機関の財務、経営および医療情報システムにアクセスする。

攻撃者はまた、病院内ネットワークを使用して、人工呼吸器、X線およびMRI装置、医療用レーザー、さらには電動車椅子に至る、さまざまな接続された医療機械および機器に手を広げることができる。

ネットワークに接続されている医療機器は、ハッカーに乗っ取られて悪用される危険性がある。

病院やその他の医療提供者は、より良いサーバーセキュリティの習慣を身に付けなければならない。

脅威を複雑にしているのが、広く普及しているにもかかわらず脆弱な Internet of Medical Things(IoMT:医療機器のインターネット)機器たちだ。こうした機器は複数のサプライヤーの部品とソフトウェアを、あまりセキュリティに注意を払うこと無く統合している。個別の患者でさえも標的にされることがある。数年前、元米国副大統領のディック・チェイニーの医師たちは、攻撃者がこのような装置をハックして患者を殺す可能性があるという懸念について触れたレポートが出されたために、彼のペースメーカーのネットワーク機能を無効にした。

それは対処しなければならない差し迫った状況だ。病院やその他の医療提供者は、より良いサーバーセキュリティの習慣を身に付けなければならない。まず手始めに医療機関は、ソフトウェアへのパッチ適用と更新プロセスに対する、迅速性と徹底性を改善しなければならない。可能な限り組織は、ソーシャルメディア攻撃やその他の攻撃に備えために、組織的なサイバー意識向上の訓練を行うだけでなく、脅威情報と自動化を活用する必要もある。

IoMT機器が増えるにつれて、より入念なネットワークのセグメンテーションとインスペクションが必要となる。セグメント化された戦略をとることで、組織はネットワークの様々なポイントにおける、ユーザーやアプリケーション、そしてデータフローを制御するための検査基準や方針を策定することができるようになり、セキュリティ上の脅威をより素早く検出し隔離することが可能になる。そして、ネットワークの可視性の面では、医療機関はクラウドを含むネットワーク全体に対しての、より深い洞察を必要としている。

同時に、病院やその他の医療機関は、患者の記録の保護により留意しなければならない。紙による記録から電子化された電子健康記録(EHR:Electronic Health Record)への移行以来、一般的に記録は医師によって更新されたあと、他の病院の専門家に送られるようになった。ここでの問題は、病院という組織は、金融情報がロックされ共有されることがない銀行のような組織ではないということだ。こうした暗号化されていない情報は、利益を虎視眈々と狙うハッカーの攻撃に対して脆弱だ。

これに対する解決策として使われることが多いのが準同型暗号(homomorphic encryption)である。これは暗号化したままのデータ操作を可能とする興味深い技術であり、最も価値のある医療情報を保護できる素晴らしい可能性を秘めている。特にこの技術は、しばしばサイバー泥棒たちの標的になる、機密性の高い医療記録と個人識別情報(PII:personally identifiable information)を安全に保護することができる。

データが豊富に含まれるヘルスケア記録が、ブラックマーケットではクレジットカードの10倍以上の価値を持つというのは事実だが、この技術を用いることで最も攻撃的な「データ狙い」のハッカーを撃退することができる。

だがこうした改善は、十分な金銭的投資や労力の投入なしには成し遂げられない。病院が日々のケアの品質に、これ以上ないほどに焦点を当てていることは称賛に値するものの、彼らも時代が変わっている事に気付き、自分たちのミッションをより広い視野で眺めなければならない。そうしたことに追いついていないために、病院は多くの場合、止むことのないランサムウェア攻撃に対して支払いを行い、システムがダウンしている間に起きる可能性のある健康に対する脅威を最小化しようとする。

病院たちが変化への道を追求する上で直面する障害の中には、医療分野で激化しているM&A活動もある。異なる医療技術を含むIT統合への挑戦は、新しく併合された組織間での情報共有の必要性と同時に、新たな脆弱性を生み出してしまう。

医療機関の評判と信頼は、脅威の真の影響度への理解と、それらを防ぐための十分な対策をとることにかかっている。ヘルスケア業界には、セキュリティに関する能力を向上させること以外の選択肢はない。まさに私たちの生命が懸かっているのだ。

[原文へ]
(翻訳:sako)