IT資産管理や名刺管理サービスを手がけるSKYが自社製品に関するバグバウンティ制度開始、報奨金は最大200万円

IT資産管理や名刺管理サービスを手がけるSKYが自社製品に関するバグバウンティ制度開始、報奨金は最大200万円

IT資産管理や名刺管理サービス、システム開発などを手がけるSKYは、同社製品の情報セキュリティー上の脆弱性に関する情報を報告したユーザーに報奨金を支払う「SKY脆弱性報奨金制度」を開始した。報奨金は最大で200万円になる。

脆弱性報奨金制度(Bug bounty program)は、自社製品やサービスの安全性向上を目的として海外の大手IT企業などがすでに実施しているが、SKYでも、「検知難易度の高い潜在的なセキュリティリスクをいち早く発見できる」手段として「SKY脆弱性報奨金制度」を設立し、ユーザーからの協力を求めることにした。この制度の設計からリリースまでは、SOC支援やCSIRT支援を行う川口設計の協力で行われた。

応募された情報は、受け付け順に審査され、認定が行われた後に公開される。報奨金は、緊急性、重要性などに基づき定められたベース金額に、共通脆弱性評価システム「CVSS」の値が乗算され、さらに、RCEか否か、脆弱性種別に応じて金額が加算される。最大で、脆弱性1件につき200万円となる。

この他、応募に関する条件、対象製品、情報の取り扱いなど、制度に関する詳細は、「Sky脆弱性報奨金制度規約」「Sky脆弱性報奨金制度ルールブック」をご覧いただきたい。IT資産管理や名刺管理サービスを手がけるSKYが自社製品に関するバグバウンティ制度開始、報奨金は最大200万円

【コラム】フツーのクルマを作ってください

最近のクルマは賢くあるべきところがフツーで、フツーであるべきところが賢い。勘弁して欲しい。ほとんどフツーのクルマを作って売ってみて欲しい。自動車メーカーが人々に与えているものはあまりにひどいので、消費者は余分に払ってでも少ししかついていないものを買うだろう。

最近のクルマは車輪付きの格安スマートフォンのようだ。ソフトが山ほどプレインストールされていて使いにくて動きが鈍い。自動車メーカーは常にユーザーインターフェースで苦労しているが、つい最近まで我々にとって最大の問題は「ツマミが多すぎる」ことだった。あの日々がなんと懐かしいことだろう!

タッチスクリーンと液晶のまん延によって、あらゆるクルマがカラオケルームのようになってしまった。アニメーションがブレーキで再生されたエネルギーを示し、スピードメーターは制限速度に近づくにつれて色を変え、ファンの速度や方向は3階層メニューの奥にある。機能を果たさないだけでない、このインターフェースは醜悪だ!UIの種類もレイアウトもアニメーションも「委員会がデザインして使う必要のない人に承認された」と叫んでいる。

もちろんプライバシーとセキュリティも心配だ。私が初めてクルマにGPSが付いているのを見たのは、20年ほど前、母親の古いRX300だった。「そうか、そうやって捕まえるのか」と私は思った。そして今、支払いが遅れたTesla(テスラ)は自分自身を拘束する。ようこそ、未来へ。あなたのクルマは潜入捜査官です。

輪をかけた屈辱は、これらの機能が大衆向けではなく、高級オプションとして売られていることだ。スクリーンはあまりに安いので、大量に買ってきて、どこにでも何にでもつけて、客には「次世代のモビリティーをお楽しみにください!」ということができる。しかし、実際にはこれはコスト削減対策であり、部品数を減らし、ダッシュボード開発チームはずっと楽をできる。その証拠に、ハイエンドモデルはノブとダイヤルに戻って「プレミアムなフィール」などと称している。

だから私が欲しいのは「フツーのクルマ」だ。私の考えるイメージを描いてみよう。

敢えてバカになれ

何よりもまず、スクリーンは一切いらない。これにはいくつか理由がある、実用的にも審美的にも。

実際のところ、この手のスクリーンがやることのほぼすべてを、すでにスマートフォンがやっている。ひどく時代遅れで、のろまで、メーカーブランド付きのSpotify(スポティファイ)やApple Music(アップルミュージック)のアプリなど必要ない。自分のスマホが完璧にこなしている。同様に、カーナビもスマホが完璧にやってくれる。いうまでもなく、すでにボイスコマンドも使える。

GPSやデータ(あるいは隠しマイクや隠しカメラ)がないことによって、あなたのクルマのプライバシーは当然高まる。それでもやつらはあなたのスマホにつながることはできるが、少なくとも、動きを追跡するためには昔のように車体の下にGPSパッケージをつける必要がある。

画像クレジット:Bryce Durbin / TechCrunch

メディア利用に関して言えば、AUX(補助)入力があればすべて事足りる。充電ケーブルも兼ねているし、他の新しいデバイスといつでも交換できる。ちょっとスマートなケーブル配線がなされていれば、スマホをコックピット周りの便利な場所にマウントできる。ただし、運転中に見たりタッチしろという意味ではない。Bluetoothが欲しいなら、ドングルを買えばよい。どうしても必要なものはボリュームつまみと、たぶん、ハンドルに付いた基本的な3ボタン再生コントロールくらいだろう。

大きなセンターLCDについているエアコン制御については2~3個ノブがあればいい。あの「ゾーン」なるものが実際機能すると思っている人は、いないよね?ゾーンが必要になるほど大きなクルマはない。青~赤のダイヤル、風力調整、エアコンと送風の切り替えがあれば十分だ。

計器クラスターには、普通の針式メーターがあればよい。スピード、燃料、オイル、水温、あとはチェックエンジン、タイヤ圧低下などいつものランプ群。

美的観点からいって、私はこれらのメーター類のデジタル・バージョンがいつも気に入らなかった。ドライバーは路上に集中すべきなのに、パネル内で常に変わり続ける鮮やかな情報表示には気を散らされる。メーターの針の目盛りの69と70の差は3mmほどで、67と68、68と69の差も同じだ。この連続的で予測可能な変化は直感的でありどんな運転目的にも十分な精度がある。デジタル表示の数字は大きくて瞬きがちで、71から69に変わる瞬間ドライバーの注目を引き続ける。2つの数値はまったく違って見えるので、視野の隅で確認するのは難しい。

シンプル、かつ安全に

メディア機能とカーナビをなくすことで、多くのコンピューティング能力を載せる必要はなくなるが、全部なくして欲しいわけではない。ここ数年、すべての新車に搭載することが義務付けられている安全機能がいくつか導入された、スマートなものもそうでないものも。トラクションコントロール(タイヤの滑りを制御する)やブラインドスポットモニター(後側方警戒支援)、車線逸脱警報、さらには自動緊急ブレーキ装置にもある程度のCPU能力が必要であり、使用されるべきだ。命を救うのだから。バックカメラは多くの人たちが手放したくないものの1つだろうが、基本的な近接センサーがどれほど役に立つかを知ったら驚くだろう。

エンジン自体も昔よりはるかにコンピュータ化されている。ただし室内のコンピュータ化とは異なり、これにはプラス効果がたくさんある。燃費改善、排ガス減少、信頼性向上、保守のための診断の簡易化などだ。安全で敏感なペダルとハンドルに必要なエレクトロニクスの正確なレベルが何かは議論のあるところだろうが、そこは専門家に委ねる。

実は、ウィンドウとドアロックのマニュアル式も提案する誘惑にもかられたのだが、それはわざとらしたの一線を越えそうだ(すでに大きく踏み出しているかもしれないが)。我々はビンテージカーを作ろうとしているのではない。過剰なテクノロジーを廃した現代のクルマを作りたいだけだ。ちなみにパワーシート位置調整は、今でも贅沢品だ。レバーを使おう。

私が提案したものはガゾリン車に限らないで念の為。電気自動車もまったく同じく悪い方向に走っている。これはノスタルジアではなく、有害なのに広く受け入れられているデザイン哲学を捨てようと言っている(わかった、多少のノスタルジアはある、でもほんの少しだけだ)。

もちろん、私の提案はシンプルさを謳っているにも関わらず、おそらく一種の高級車の類に行き着くだろう、つまりコストの最小化を目指しているわけではない。事実上現存するすべてのクルマは「最新」テクノロジーで設計されており、それは既存の金型や組み立て作業、品質管理などからの大がかりな離別を意味している。加えて、私はこのコンセプトが多くの人々を引きつけると思っているが、そんなに売れるものではない。ニッチなクルマであることに間違いはなく、価格はそれを反映したものになるだろう。

それでも、私が欲しいのは、すでに所有している他のデバイスのように通知を送ってきたり、ベルを鳴らしたり、エラーを報告してきたり、私に許可を求めたり、アップデートが必要になったりするような高圧的なところのないクルマだ。偽りの「昔はよかった」議論はおくとして、今の一連の機能にはとにかく大した意味がなく、もちろんそのでしゃばり方や質の悪さは正当化しようがない。ドライバーが運転するための、そしてみんながポケットに入れて持ち歩いているスーパーコンピューターを置き換えようするのではなく、必要なものを提供することに焦点を当てたクルマを作ることが、いったいどんなものなのか考えてみよう。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Devin Coldewey、翻訳:Nob Takahashi / facebook

バグバウンティ大手HackerOneが約56.6億円調達、在宅勤務によるクラウド利用増加が後押しに

バグ懸賞と侵入テストのスタートアップ、HakerOne(ハッカーワン)が4900万ドル(約56億6000万円)のシリーズEラウンドを完了した。この1年、在宅勤務の増加によってクラウド利用が急増した結果だ。

セキュリティ問題を探すハッカーと、問題を解決したい企業の間を取り持つ同社は、最近の成長について、12月のホリデーシーズンを前にインターネットを駆け巡った広く普及しているオープンソースロギングプラットフォーム、Log4j(ログフォージェイ)の欠陥をはじめすとる「ゼロデイ脆弱性」のまん延によって加速されたものだと語った。

同社は、この1年間に侵入につながっていた可能性のある重大、深刻な脆弱性を1万7000件以上発見しており、12月にLog4jバグが発見された後だけでも2000件以上の脆弱性が報告されたと語った。

HackerOneのCEOであるMarten Mickos(マーテン・ミコス)氏は、発見された攻撃の増加について、企業や政府が「これほど脅威にさらされたことはありません」と語った。

調達した資金は、研究開発および市場開拓業務の拡大に使用するつもりだと同社は言っている。

シリーズEの4900万ドルを加えて、HakcerOneの2021年設立以来の総調達額は1億6000万ドル(約184億7000万円)近くになった。ラウンドをリードしたのはGP Bullhound(GPブルハウンド)で、他に既存出資者のBenchmark(ベンチマーク)、NEA、Dragoneer Investment Group(ドラゴニア・インベストメント・グループ)、およびValor Equity Partner(ベイラー・イクイティー・パートナー)が参加した。

2012の開業以来、HackerOneは同社のバグ懸賞プログラムをさまざまな顧客に提供しており、リストには米国防省、Google(グーグル)、Dropbox(ドロップボックス)、Microsoft(マイクロソフト)、Twitter(ツイッター)の名前もある。

画像クレジット:Alexandre Dulaunoy / Flickr

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

アップルがiOS 15.3をリリース「活発に悪用された可能性がある」iPhoneの脆弱性を修正

Apple(アップル)は米国時間1月26日、iOS 15.3とmacOS Monterey 12.2のリリースにより、数十件のセキュリティ問題を修正した。

iOS 15.3では、同社が活発に悪用された恐れがあるとしている不具合を含む、合計10件のセキュリティバグが修正されている。CVE-2022-22587として追跡されているこの脆弱性は、IOMobileFrameBuffer(デバイスのメモリが画面表示を処理する方法を開発者が制御できるようにするカーネル拡張)のメモリ破壊バグで、悪意のあるアプリによるカーネルコードの実行につながる可能性がある。

また、AppleはmacOS Monterey 12.2をリリースした。ユーザーの最近のブラウジング履歴やGoogleアカウント情報が、Safari 15やサードパーティ製のウェブブラウザから流出する可能性があるというWebKitの不具合を研究者が発見し公表していたが、macOS 12.2ではそのバグに対する修正が含まれている。

この脆弱性は、ブラウザのフィンガープリンティングと不正行為の検出サービスを提供するFingerprintJSによって最初に発見されたもので、ブラウザにデータを保存するアプリケーションプログラミングインターフェース(API)であるIndexedDBのAppleによる実装に不具合があったという。

CVE-2022-22594として追跡されているこの不具合は、IndexedDBを使用しているウェブサイトが自分のドメインのみならず、ユーザーのブラウジングセッション中に他のウェブサイトが生成したIndexedDBデータベース名にアクセスすることを可能にし、ひいては、ユーザーが別のタブやウィンドウで訪れた他のウェブサイトを追跡することも可能にする。また、IndexedDBのデータベース名にユーザー固有の識別子を使っているGoogleなどのウェブサイトでは、攻撃者がユーザーのGoogleアカウント情報にアクセスできる可能性があるとFingerprintJSは警告している。

また、iOS 15.3には、アプリがルート権限を取得する可能性があるセキュリティ問題、カーネル権限で任意のコードを実行する問題、およびアプリがiCloudを通じてユーザーのファイルにアクセスできる問題の修正が含まれている。

一方、macOS Monterey 12.2では、合計13件の脆弱性が修正されている。後者は、以前に報告されたSafariでのスクロールの問題を修正し、MacBookにスムーズなスクロールをもたらすことも約束している。

また、レガシーバージョンのmacOS Big SurおよびCatalinaのセキュリティ修正プログラムもリリースされた。

今回の最新セキュリティアップデートの公開は、HomeKitを介して悪用され、持続的なサービス拒否(DoS)攻撃の標的となる可能性があるiOSおよびiPadOSの脆弱性が確認されたのを受けて、それを修正するためにAppleがiOS 15.2.2をリリースしてからわずか2週間後に行われた。

関連記事:アップルがAirTagストーカー問題に対応、「Personal Safety User Guide」を改定

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

アップルがiOS 15.3をリリース「活発に悪用された可能性がある」iPhoneの脆弱性を修正

Apple(アップル)は米国時間1月26日、iOS 15.3とmacOS Monterey 12.2のリリースにより、数十件のセキュリティ問題を修正した。

iOS 15.3では、同社が活発に悪用された恐れがあるとしている不具合を含む、合計10件のセキュリティバグが修正されている。CVE-2022-22587として追跡されているこの脆弱性は、IOMobileFrameBuffer(デバイスのメモリが画面表示を処理する方法を開発者が制御できるようにするカーネル拡張)のメモリ破壊バグで、悪意のあるアプリによるカーネルコードの実行につながる可能性がある。

また、AppleはmacOS Monterey 12.2をリリースした。ユーザーの最近のブラウジング履歴やGoogleアカウント情報が、Safari 15やサードパーティ製のウェブブラウザから流出する可能性があるというWebKitの不具合を研究者が発見し公表していたが、macOS 12.2ではそのバグに対する修正が含まれている。

この脆弱性は、ブラウザのフィンガープリンティングと不正行為の検出サービスを提供するFingerprintJSによって最初に発見されたもので、ブラウザにデータを保存するアプリケーションプログラミングインターフェース(API)であるIndexedDBのAppleによる実装に不具合があったという。

CVE-2022-22594として追跡されているこの不具合は、IndexedDBを使用しているウェブサイトが自分のドメインのみならず、ユーザーのブラウジングセッション中に他のウェブサイトが生成したIndexedDBデータベース名にアクセスすることを可能にし、ひいては、ユーザーが別のタブやウィンドウで訪れた他のウェブサイトを追跡することも可能にする。また、IndexedDBのデータベース名にユーザー固有の識別子を使っているGoogleなどのウェブサイトでは、攻撃者がユーザーのGoogleアカウント情報にアクセスできる可能性があるとFingerprintJSは警告している。

また、iOS 15.3には、アプリがルート権限を取得する可能性があるセキュリティ問題、カーネル権限で任意のコードを実行する問題、およびアプリがiCloudを通じてユーザーのファイルにアクセスできる問題の修正が含まれている。

一方、macOS Monterey 12.2では、合計13件の脆弱性が修正されている。後者は、以前に報告されたSafariでのスクロールの問題を修正し、MacBookにスムーズなスクロールをもたらすことも約束している。

また、レガシーバージョンのmacOS Big SurおよびCatalinaのセキュリティ修正プログラムもリリースされた。

今回の最新セキュリティアップデートの公開は、HomeKitを介して悪用され、持続的なサービス拒否(DoS)攻撃の標的となる可能性があるiOSおよびiPadOSの脆弱性が確認されたのを受けて、それを修正するためにAppleがiOS 15.2.2をリリースしてからわずか2週間後に行われた。

関連記事:アップルがAirTagストーカー問題に対応、「Personal Safety User Guide」を改定

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

アップルがAirTagストーカー問題に対応、「Personal Safety User Guide」を改定

AppleのAirTagsがストーカー目的使われていることを伝える報道が最近数多くあったことを受け、米国時間1月25日同社は、現行の「Personal Safety User Guide」を改定し、近くにある未知のAirTagを発見したり、AirTagが音を発しているのに気づいた際に消費者が何をすべきかに関する新たな情報を追加した。同ガイドはAirTagのアラートの意味や、AirTagあるいはその他の「Find My(探す)」のネットワークアクセサリーが自分を追跡しているとき何をすべきかを具体的に説明している。Androidユーザー向けの説明も書かれている。

ガイドの改定を最初に見つけたのは、9to5MacAppleInsiderの両サイトだ。AppleはTechCrunchに対し、米国時間1月25日にユーザーガイドを改定し、AirTag関連の情報を追加したことを正式に認めた。

しかし、ガイド自体は新しいものではない。同じマニュアルは以前、個人の安全が脅かされていることを心配する人たちや、Apple製品を通じて何らかの方法でストーカー行為を受けたり追跡されたりする可能性を懸念する人たちに向けた情報を提供していた。総じてこのマニュアルは、以前パートナーと情報を共有していたが、今後は自分のアカウントやデータ、位置情報などを相手がアクセスできないことを確実にしたい人たちを手助けすることが主な目的だった。

しかしAirTagの場合、ストーカーに発つながるのはパートナーによる虐待行為に限らない。たとえばThe New York Times(ニューヨーク・タイムズ紙)のある記事は、自動車泥棒が盗もうとしている高価な車の位置を突き止めるためにAirTagデバイスを使う様子を報じている。他にも、地元のスポーツジムなどの公共施設を離れたあと、AirTagに追跡されていることを示すアラートを受けたと言っている人がいた。ティーンエージャーの子どもを追跡するために本人に伝えることなくAirTagを使う親もいると記事は伝えている。

Appleは、紛失物トラッカー業界の中で、近くにある未知のBluetooth追跡デバイスに関する事前警告を実装した最初の主要テック企業であることから、こうしたストーカー状況が白日に晒らされることになった。NYTが指摘するように、研究者の中には、AppleのAirTagは、テクノロジー由来のストーカー問題を必ずしも生み出していないと主張する人もいる。むしろ、AirTag固有のアラート・システムによって、すでにまん延していた問題が暴露されたとも考えられる。しかしAppleにとって不幸なことに、ユーザーの安全とプライバシーに焦点を当てていることを会社として強く宣伝してきたことから、状況は対外的責任問題になっている。

AirTagストーカー問題について、何人ものApple広報担当者が声明を発表しているが、新しいガイドは本件に関するより公式な書類だと考えられる。

同ガイドはユーザーに対し、どんな時にアラートを受けるのか、なぜAirTagが音を鳴らすのが聞こえることがあるのか、新しいAndroid用Tracker Detect(トラッカー検出)アプリをどうやって使うかなどを説明している。中でも重要なのは、未知のAirTagに追跡された時にどうすればよいか、見つけられないときに音を鳴らす方法などが書かれたAppleのサポートページが紹介されていることだ。

関連記事:アップル、正体不明のAirTagを発見するAndroidアプリ「Tracker Detect」をリリース

今回の改定にともない、ユーザーガイドはPDFではなく検索可能なウェブサイトで公開されている。これによってGoogle(グーグル)などの検索エンジンによるコンテンツのインデック化が改善され、検索クエリにもとづいてユーザーが目的のページに到達しやすくなる。また、新しい個人の安全に関する文書やガイダンスが発行された際のガイド改定も容易になる。

AirTag情報以外にも、改定されたガイドには、当初発行された時にはなかったAppleの新しい機能に関する情報が入っている。AppleのApp Privacy Report(アプリ・プライバシー・レポート)や復旧用連絡先の設定方法などだ。他にもHome KitとHome App、プライベート・ブラウジング・モード、メッセージや電話、FaceTime、メールなどで相手をブロックする方法、不審な活動の証拠を記録するためにスクリーンショットを撮る方法、アカウント復旧用連絡先を設定する方法などを扱うセクションが追加された。

アカウントのセキュリティとプライバシーの管理に関する既存の情報と合わせることで、今回改定されたガイドは、従来バージョンよりも包括的な文書になっている。

しかし、AirTagをめぐる問題は、情報の不足や消費者が取るべき行動に関する混乱ではなく、AirTag自身が簡単にストーカー目的に使えてしまうことだ。安価で入手しやすいことに加えて、警告音の大きさは気づくのに十分なほどではなく、クルマの下やナンバープレートの裏などに仕かけられた時はなおさらだ。そして、未知のAirTagに関するアラートが発信される頻度はあまりにも少ない、とプライバシー擁護派は指摘する。

Appleは上記やその他の不満に対して、AirTagの機能を変更することによる対応はしていないが、今回のガイドの公開は、同社が少なくとも問題を認識し、消費者に何らかの情報を提供しようとしていることを示している。

画像クレジット:James D. Morgan / Contributor / Getty Images

原文へ

(文:Sarah Perez、翻訳:Nob Takahashi / facebook

100台を超えるテスラ車が遠隔操作の危険性にさらされる、サードパーティ製ツールに脆弱性

Tesla(テスラ)車のオーナーに人気の高いオープンソースのログ記録ツールに、セキュリティバグが見つかった。これにより、セキュリティ研究者は世界中の数十台のテスラ車にリモートアクセスできたと述べている。

この脆弱性に関するニュースは2021年1月初め、ドイツのセキュリティ研究者であるDavid Colombo(デヴィッド・コロンボ)氏のツイートで初めて明らかになった。コロンボ氏は、25台以上のテスラを「完全に遠隔操作」できるようになったが、その詳細を公表せずに、悪意のあるハッカーに警告を与えず、影響を受けたテスラ車のオーナーに問題を開示することに苦労していたと述べている。

現在、このバグは修正されていることをコロンボ氏は確認している。TechCrunchはこの記事を、脆弱性が悪用される可能性がなくなるまで掲載を保留していた。コロンボ氏はブログで調査結果を発表した。

コロンボ氏がTechCrunchに語ったところによると、この脆弱性は「TeslaMate(テスラメイト)」というツールで見つかった。これはテスラ車のオーナーが自分の車両に接続して、車両のエネルギー消費量、位置情報の履歴、走行統計などの隠されたデータにアクセスし、問題のトラブルシューティングや診断を行うために使用する無料でダウンロードできるロギングソフトウェアだ。TeslaMateは、テスラ車マニアたちが家庭用コンピューターで実行していることも多いセルフホスト型のウェブダッシュボードで、テスラのAPIにアクセスすることで、クルマの所有者のアカウントに紐付けられている車両のデータに触れることができる。

しかし、匿名でのアクセスを許可したり、デフォルトのパスワードを変更せずに使用しているユーザーがいたりといったウェブダッシュボードのセキュリティ上の欠陥が、一部のテスラ車オーナーによる設定ミスと相まって、100台分を超えるTeslaMateのダッシュボードが、テスラ車を遠隔操作するために使用する車両オーナーのAPIキーを含めて、直接インターネットに漏洩するという事態を引き起こした。

コロンボ氏はTechCrunchに電話で、影響を受けたテスラ車の数はもっと多いだろうと語っている。

漏洩したTeslaMateのダッシュボードの1つには、あるテスラ車がカリフォルニア州を横断している最近の移動ルートが表示されていた。TeslaMateはその後、脆弱性を修正し、テスラは数千のAPIキーを失効させた(画像クレジット:David Colombo)

コロンボ氏によると、TeslaMateのダッシュボードがデフォルトでは保護されていないことを発見したのは、2021年、漏洩したダッシュボードを偶然見つけたことがきっかけだったという。インターネットで他のダッシュボードを検索した結果、同氏は英国、欧州、カナダ、中国、米国でダッシュボードが露呈されたテスラ車を発見した。

しかし、ダッシュボードが露呈しているテスラ車のオーナーに個別に連絡を取ることは非常に困難であり、多くの場合、影響を受けたテスラの顧客に連絡できる方法を正確に知ることはできないと、コロンボ氏は説明する。

さらに悪いことに、露呈したダッシュボードからテスラ車ユーザーのAPIキーを抽出することが可能だったため、悪意のあるハッカーが、ドライバーに気づかれず、テスラ車に長期的なアクセスを続けることができてしまったのだ(APIは、インターネット上で2つのソフトウェアが相互にやり取りすることを可能にする。この場合、テスラの車両と同社のサーバー、Teslaアプリ、またはTeslaMateダッシュボード)。テスラのAPIへのアクセスは、所有者のアカウントに紐付けされたプライベートAPIキーによって、テスラ車の所有者に制限されている。

コロンボ氏は、流出したAPIキーを利用することによって、ドアや窓のロック解除、クラクションの吹鳴、キーレス運転の開始など、車両の一部機能に遠隔操作でアクセスできることを、アイルランドのあるテスラ車オーナーに確認したという。また、車両の位置情報、最近の走行ルート、駐車場の場所など、車両内部のデータにもアクセスできたとのこと。ただし、APIへのアクセスを利用してインターネットから遠隔的に車両を動かすことができるとは思えないと、コロンボ氏はいう。

今回のセキュリティ問題は、テスラのインフラにあったわけではないものの、業界標準の措置であるパスワードが変更された時に顧客のAPIキーを失効させるなど、テスラはセキュリティを向上させるためにもっとできることがあると、コロンボ氏は述べている。

TeslaMateは内密に脆弱性を報告した後、アクセスを防ぐためにユーザーが手動でインストールしなければならないソフトウェア修正を配信した。

TeslaMateプロジェクトの保守管理者であるAdrian Kumpf(エイドリアン・クンプフ)氏は、コロンボ氏のメールを受け取ってから数時間以内に更新プログラムを配信したと、TechCrunchに語っている。このソフトウェアはセルフホスト型であるため、ユーザーが誤って自分のシステムをインターネットに露呈させてしまうことを防ぐことはできないと、クンプフ氏はメールで語っており、TeslaMateの説明書では以前から、ソフトウェアを「ホームネットワーク上にインストールするように。さもなければ、あなたのテスラAPIトークンが危険にさらされる可能性があります」と警告していると付け加えた。また、クンプフ氏は、高度なインストールオプションを選択したユーザーは影響を受けないはずだ、とも述べている。

テスラが数千人のドライバーのAPIキーを失効させたことから、この問題は当初考えられていたよりも広範囲に渡っていた可能性があると、コロンボ氏はTechCrunchに語った。なお、テスラには本記事掲載前にコメントを求めたが、回答は得られなかった(テスラは2020年に広報チームを廃止している)。

画像クレジット:Patricia de Melo Moreira / AFP / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

二要素認証の危殆化でハッキングされた暗号資産取引所Crypto.com、被害は約38.7億円以上に

Crypto.com(クリプト・ドットコム)は、先週末に同社のプラットフォームで発生した最近のハッキングについて、米国時間1月20日ウェブサイト上の声明で新しい詳細を共有し、483人のユーザーが影響を受け、1500万ドル(約17億円)相当以上のETH(イーサリアム)、1900万ドル(約21億6400万円)相当のBTC(ビットコイン)「その他の通貨」6万6200ドル(約750万円)相当の不正な引き出しが発生したと発表した。現在の暗号資産価値で3400万ドル(約38億7300万円)以上の価値がある総損失は、Crypto.comが声明を発表する前にアナリストが予測したものよりもさらに高いものだ。

同社の事後報告は、CEOのKris Marszalek(クリス・マルザレック)氏がBloomberg TVとのインタビューで侵害を認めたわずか1日後に行われた。彼の確認は、資金を盗まれたと訴える複数のCrypto.comユーザーから苦情が寄せられた後に行われた。それまで同社は「インシデント」としか言及せず、曖昧な対応に終始していたのだ。マルザレック氏はインタビューの中で、侵害がどのように発生したかについての詳細を共有していなかったが、彼はCrypto.comが影響を受けたすべてのアカウントに払い戻したことを認めていた。

本日の声明によると、Crypto.comは米国時間1月17日に「2FA(二要素)認証操作がユーザーによって入力されることなく取引が承認されていた」という疑わしい活動を検出したとのことだ。サイトは問題を調査するために14時間すべての引き出しを停止した。

Crypto.comは、攻撃者がすべてのユーザーに義務づけられている二要素認証を呼び起こさずに取引を承認することができた方法については述べていない。TechCrunchが詳細を問い合わせたところ、同社は今日発表された声明以外には、この侵害についてコメントすることを拒否した。

同社は「すべての顧客の2FAトークンを失効させ、追加のセキュリティ強化策を追加した」後、顧客にプラットフォームにログインして2FAトークンを再度設定するよう求めたと述べている。追加措置には、新しい引き出し用住所の登録と最初の引き出しの間に24時間の遅延が義務づけられているため、ユーザーは通知を受け、引き出しが不正と思われる場合はCrypto.comチームに連絡して「反応し、対処する十分な時間」を確保することになる。

同社は侵入後、内部監査を実施し、第三者のセキュリティ会社と契約してプラットフォームのチェックを行ったという。セキュリティ強化のため、2FAから「真の多要素認証」に移行する計画を発表したが、この変更の予定スケジュールは示していない。

Crypto.comはまた、2月1日から「一部の市場でWorldwide Account Protection Program(WAPP)」を導入すると発表した。これは、不正引き出しが発生した場合「認定ユーザー」に対して最大25万ドル(約2800万円)まで資金を回復するプログラムである。このプログラムの適用を受けるには、ユーザーは、多要素認証が利用可能なすべての取引タイプで多要素認証を有効にしなければならない。また、報告された不正取引の少なくとも21日前にアンチフィッシングコードを設定し、警察に被害届を提出し、それをCrypto.comにも提供し、鑑識調査に協力するための質問事項に答えなければならない。さらに、ジェイルブレイク(脱獄)デバイスを使用していないことが必要だと同社は述べている。

Crypto.comは世界第4位の暗号取引所だが、ここ数カ月は米国市場に強くアプローチしており、俳優のMatt Damon(マット・デイモン)を起用したバイラル広告や、ロサンゼルス・レイカーズとクリッパーズアリーナの命名権7億ドル(約797億円)の購入などのスタントを行っている。自社のことを「最も急成長している」暗号取引所と呼び、今週初めにはこの分野のアーリーステージのスタートアップを支援するために、ベンチャーキャピタル部門を5億ドル(約569億円)に拡大しました。今週の侵害事件と同社の対応の遅れによって、米国内での成長が停滞する恐れがある。

関連記事:Crypto.comのCEOが数百の顧客アカウントがハッキングされたことを認める

画像クレジット:Seb Daly / RISE via Sportsfile Flickr under a CC BY 2.0 license.

原文へ

(文:Anita Ramaswamy、翻訳:Akihito Mizukoshi)

リモートワークとクラウドの大量導入で1Passwordが約706億円の特大資金獲得、評価額約7740億円に

パスワード管理プラットフォームの1Passwordが6億2000万ドル(約705億7000万円)という巨額のシリーズCを終え、68億ドル(約7739億5000万円)の評価額となった。

この投資をリードしたのはIconiq Growthで、Tiger GlobalやLightspeed Venture Partners、Backbone Angels、そして同社の2億ドル(約227億6000万円)のシリーズA1億ドル(約113億8000万円)のシリーズBをリードしたAccelが参加した。その他の投資家としてCrowdStrikeのCEOであるGeorge Kurtz(ジョージ・カーツ)氏やGeneral MotorsのCEOであるMary Barry(メアリー・バリー)氏、そしてLinkedInの会長Jeff Weiner(ジェフ・ワイナー)氏らも参加した。また、このラウンドでは個人投資家のRyan Reynolds(ライアン・レイノルズ)氏やRobert Downey Jr.(ロバート・ダウニー・Jr.)氏、そしてJustin Timberlake(ジャスティン・ティンバーレイク)氏らからの投資もあった。

この特大のラウンドは、1Passwordのこの1年間の目覚ましい成長の結果によるものだ。同社はTechCrunchに、2021年7月のシリーズB調達以来、有料ビジネス顧客ベースが9万人から10万人以上に増え、Datadog、Intercom、Snowflakeなどの大企業加入者を加え、社内従業員数を475人から570人に増えたと述べている。この背景には、リモートワークやハイブリッドワークの継続、クラウドアプリの急速な普及、仕事による燃え尽き症候群の加速という3つの要因があると同社はいう。

同社によると、後者の点は特に懸念すべきサイバーセキュリティの脅威となりつつあるという。オフィスワーカーの80%、セキュリティ専門家の84%が、パンデミックの結果、燃え尽きたと感じており、12%が結果的に職場のすべてのものに同じパスワードまたはほんの数種のパスワードを使っていることが判明しているという。

「ストレスや燃え尽き症候群があると、2つのことが起こることがわかっています。まず、人は簡単な方法を探します。過労になると、セキュリティを後回しにするようになるのです。ストレスと燃え尽き症候群のもう1つの副作用は、変化したいという願望であり、それは大量辞職が起こります。IT部門が認識していないアプリやサービスを持ち出すことになるので、セキュリティの問題につながります」と1PasswordのCEOであるJeff Shiner(ジェフ・シャイナー)氏はいう。

1Passwordは、今回調達した資金を継続的な成長のために使用する。同社は、エンジニアリングおよびカスタマーサポートチームを3倍に増やし、サインインの成功と失敗を可視化する、ビジネスに焦点を当てたイベントAPI機能を構築し、さらに買収資金を調達する予定だという。

「戦略的買収を検討しています」とシャイナー氏はいう。「私たちは2021年にSecret Hubを買収しましたが、今後も買収を検討し、それらが私たちのミッションと目標の達成にどのように役立つかを検討していきます」。

最終的に、シリーズCの資金調達ラウンドで1Passwordにかなりの資金が提供されたが、Shiner氏は同社には「まだ」イグジットの計画はないという。

シャイナー氏にとって「資金は、これから大きなことをやろうとするときの安心材料」になるという。

関連記事:企業の秘密を「マシン・ツー・マシン」で保護する1Passwordが110億円調達、約2180億円の評価額に

画像クレジット:Boris Zhitkov/Getty Images

原文へ

(文:Carly Page、翻訳:Hiroshi Iwatani)

車上荒らし防止に取り組むFordとADTのジョイントベンチャー企業「Canopy」

自動車メーカーのFord(フォード)と、ホームセキュリティやビジネスセキュリティ、アラーム監視サービスを提供するADTは、現在の車両セキュリティの脆弱性に対処することを目的としたジョイントベンチャーCanopy(キャノピー)を立ち上げた。

Canopyはまず、車両に取り付けて周囲を監視し、盗難や破壊行為などの問題をドライバーに警告するアフターマーケットアクセサリーを提供する予定だ。

車両に内蔵されたアラームシステムは、盗難の抑止に役立つ場合もあるが、決して安全とはいえない。2020年、FBIは自動車盗難によって74億ドル(約8479億円)の損失が発生したと推定しており、これには自動車そのものとその内容物の盗難が含まれている。Canopyの製品は、過去10カ月間、米国のトラック運送会社や英国の貨物バンなどで試験運用されており、フォードの車両カメラシステムの専門知識とADTの監視サービスを組み合わせて、商業・小売業の顧客が車両盗難を回避できるようにすることを目的としている。

Canopyは、ADTにとって初の自動車セキュリティへの進出であり、他社と協力して新しい輸送技術を迅速に構築、買収、試験運用するFordの新しいベンチャーインキュベーターであるFordXの製品だ。2018年、FordXはドックレスeスクーターのシェアリング企業であるJelly(ジェリー)を手がけ、これがFordによるSpin(スピン)買収の基礎となった。Canopyは、従来のビジネスライン以外で拡張性のあるモビリティソリューションのポートフォリオを拡大するフォードの戦略の次のステップとなるようだ。

Canopyの自己吸着型アクセサリーは、あらゆる車種に対応し、2023年初頭までにオンラインとさまざまな実店舗で販売される予定だ。カメラ、レーダー、音響センサーなどのセンサーを用いて、クルマの周囲に関するデータを収集する。そして、車内とは独立したOSがデータを処理し、LTEやWi-Fi経由でクラウドサーバーに共有します。ADTのモバイルセキュリティおよび戦略的プロジェクト担当副社長Leah Page(リア・ペイジ)氏によると、盗難の可能性がある場合は、モバイルアプリやADTの5000人のモニターエージェントに報告されるという。

「ADTが製品にもたらす要素について考えると、それはまさにAIソリューションの導入を支援することです」と、ペイジ氏はTechCrunchに語った。「つまり、鳥が通り過ぎるのと、誰かがトラックの荷台に侵入して何かを盗むことの違いがわかるということです。そのような事象が発生すると、ADTに情報が入り、監視員がどう対応すればよいかがわかります。状況に応じて、オーナーや緊急連絡先への通報から、警察への通報まで、あらゆる対応が可能です」。

今後、Canopyは、クルマのハードウェアに統合し、そのクルマのカメラとセンサーに依存して同じ安全機能を実行する別の監視システムをリリースする予定だ。FordがCanopyの最初の統合企業となるが、Canopyのすべての技術をどの自動車メーカーでも利用できるようにすることが目的だ。

「このサービスを顧客にとって本当に意味のあるものにするためには、マルチメーカーで、現在すでに路上を走っているクルマのセキュリティの懸念に対応できるような方法で行う必要がありました」と、FordXのディレクターでCanopyの暫定CEOであるChristian Moran(クリスチャン・モラン)氏はTechCrunchに語った。「私たちは、ターゲットであるトラックやバンなど、無数の車種に対応できる1つのソリューションを検討しています」。

Canopyは当初、高価な貨物を運ぶ大規模な運送会社と、トラックの荷台に数千ドル相当の工具や機器を積んでいて、しばしば盗難の被害に遭う中小企業のオーナーの両方を考えて、商業顧客に焦点を合わせていた。来年早々には、このような顧客が最初のターゲットとなる。しかし、試験運用を通じて、一般消費者向けの使用例も出てくるようになった。

「トラックやバンの荷台に自転車やカヤックを積んでトレイルに出かける人たちから、これらのものは非常に高価なものなので守って欲しいという、非常に大きなフィードバックがありました」とモランは述べた。「さらに、これは当初の機能ではありませんでしたが、試験運用の参加者の多くから、夜間、外が暗いときにクルマの周りをライブストリーミングするのがお気に入りの機能の1つであるという声を聞きました。つまり、誰もいない暗い駐車場に入って、アプリを使って自分のクルマの周りを見ることができることを想像してみてください」。

試験運用の間、Canopyは2つの異なる盗難未遂の証拠をクルマの所有者に渡すことになったとモランはいう。そして、顧客が警察や保険会社と協力するためにCanopyの映像を使うことができると付け加えた。

FordとADTは、このジョイントベンチャーにFordが6300万ドル(約72億円)、ADTが4200万ドル(約48億円)の合計1億500万ドル(約120億円)を投資している。この資金は、英国と米国の製品、エンジニアリング、市場開拓の各チーム全体の雇用に充てられる他、アフターマーケット製品のサプライチェーンと物流を整備し、今後数年間で規模を拡大できるようにする予定だ。

画像クレジット:Ford Motor Company

原文へ

(文:Rebecca Bellan、翻訳:Yuta Kaminishi)

米ホワイトハウスがオープンソースソフトウェアセキュリティサミット開催、GoogleがOSS保護に官民の協力を呼びかけ

米ホワイトハウスがオープンソースソフトウェアセキュリティサミット開催、GoogleがOSS保護に官民の協力を呼びかけ

Google

Googleは1月13日(現地時間)、オープンソースソフトウェアを保護するために官民の協力が必要だと訴えました。これは、2021年12月から大きな話題となっているオープンソースライブラリのLog4jに見つかった脆弱性の問題を受け、Linux FoundationApacheソフトウェア財団(ASF)も参加する形で米ホワイトハウスが開催した、オープンソースソフトウェアセキュリティサミットで発表したもの。

この中でGoogleは、重要なインフラや国家安全保障のシステムで採用されているオープンソースソフトウェアは、そのセキュリティを維持する作業のほとんどをボランティアが行っていると指摘。オープンソースソフトウェアはコードが広く公開されており、その透明性と多くの目が監視しているために、一般的に安全だという前提で使われています。しかし、いくつかのプロジェクトには多くの目が向けられているものの、それ以外のプロジェクトにはまったく目を向けられていないとしています。

実際、SteamやiCloud、Amazon、Twitter、Mincraftなどでも利用されているロギングライブラリのLog4jの場合、Github上のメンテナはわずかに3人だったとも伝えられています。

「私たちの生活におけるデジタルインフラの重要性を考えると、そろそろ物理的なインフラと同じように考えてもいいのではないでしょうか。オープンソースソフトウェアは、オンライン世界の多くの部分をつなぐ組織であり、道路や橋と同じように注目し、資金を提供する必要があります」と、業界と政府が協力して、重要なオープンソースプロジェクトを支援すべきだと呼びかけます。

なお、オープンソースのセキュリティの優先順位を管理し、脆弱性の修正を支援するOpen Source Security Foundation(OpenSSF)がすでにありますが、Googleはこうした組織をサポートするために1億ドル(約114億円)を支出しているとのことです。

(Source:GoogleEngadget日本版より転載)

企業のセキュアなデータ活用を促進するデータカタログSaaSを手がけるQuollio Technologiesが5000万円のシード調達

データカタログSaaSによりデータガバナンスの実現を目指すQuollio Technologies(クオリオ)は1月11日、シードラウンドにおいて、第三者割当増資による5000万円の資金調達の実施を発表した。引受先はインキュベイトファンド。調達した資金はプロダクトの開発と組織体制の強化にあてる。またα版を近日リリースする予定。

現在データは「21世紀の石油」とも呼ばれるほど大きな存在となっており、様々なデータを資産として活用することが企業に求められている。しかしデータは、活用可能性と同時に誤用や漏洩・損害・賠償のリスクも含んでおり、未然防止が大きな課題となっている。そのため、「詳細がわからないデータについてはリスクを恐れ利用禁止にする」といった、データ活用そのものを萎縮させるという課題も発生している。

そうした問題を解決するための施策がデータガバナンスだ。データの入手背景や禁止事項などの詳細情報(メタデータ)を正しく理解し、リスクをカバーした状態でデータを活用するために欠かせないものとなっている。データ資産1つ1つのメタデータを管理し、より細かい粒度で制限することで、従来「アクセス禁止」「利用しないでおこう」とひとくくりで利用を否定していたデータに対して、「特定の条件下なら、このデータを使用しても大丈夫だ」といった柔軟な判断を可能とし、セキュアで自由なデータ活用を促進する。

データガバナンスは最近登場した新たな概念ではなく、DMBoK (Data Management Body of Knowledge) を筆頭に、2000年代から議論が重ねられてきた領域という。昨今では、企業の扱うデータ量が膨張し、データ利活用に関わる人数も増加している潮流から、データガバナンスを再び重要視する企業が増えているそうだ。

ただ、データガバナンスの概念自体の移り変わりの速さや、企業ごとに必要なデータ基盤・体制が大きく異なるためにデファクトスタンダードが生まれにくいという状況にある。特に日本では、市場を牽引するプレイヤー不足や経営側がデータ基盤について理解が浸透していないことから、海外よりも遅れを取っているという。こうした状況を解決するためクオリオは、データガバナンスに対する専門的な知見とデータ活用における現場オペレーションへの深い理解によって国内市場を牽引する存在となり、企業のデータ活用にイノベーションを起こすことを目指しているという。

クオリオは、「世界中の情報と知を繋げ、人類の新たな価値創造を促進する」をミッションに掲げ、2021年8月に設立。創業メンバーは、データサイエンスやデータエンジニアリングといった各領域におけるプロフェッショナルを中心に構成しており、データガバナンスの実現に向けた最初のソリューションとして、データカタログサービスの開発を行っている。

ごちゃごちゃしがちなスマートホーム機器を統合・連携、ユーザーにプライバシーのベールをもたらすHomey

ほぼすべてのスマートホームデバイスに接続することができて、さまざまなスマートルールを設定でき、多くのセキュリティ機能を追加することできると聞けば、おそらくHomey(ホーミー)が何を提供しようとしているのか、あなたはきっとある程度想像することができるだろう。Homeyは、スマートホームプロバイダーにデータを転送する代わりに、広告主にデータを盗まれないよう安全にデータを管理してくれることを約束している。

Homeyは、2014年からヨーロッパで事業を展開しており、米国時間1月5日のCESで米国での事業展開を発表した。この会社が解決する重要な問題は、多くのスマートホームソリューションが非常に継ぎ接ぎな状態で繋がっており、その過程で、それらが悪意のある目的にも使用できる巨大なデータコレクターになってしまっているということだ。これまで顧客は、それがスマートホームを持つためのコストであると受け入れさせられてきたが、ここに別の方法があると同社は考えている。同社は、顧客データを盗聴したり販売したりすることはなく、個人情報を使ってユーザープロファイルやターゲット広告を作成することもないと主張している。

スマートホームプロバイダー同士の目隠しに加えて、同社のスマートホームハブ「Homey Pro」は、楽しい新機能をいくつか携えてきている。IFTTT(If This Then That )で遊んだことがある人なら、きっと賢い自動化を思いついたことがあるはずだ。誰かがドアベルを鳴らすと電気をつける、夜10時以降はスピーカーの音量を下げる、などだ。Homeyのアプリは、このような機能をアプリのコアアーキテクチャに大量に組み込んでいる。同社はこうした自動化を「フロー」と呼び「カーテンを閉めたら寝室の照明を常に暗くする」「玄関の鍵をかけたらサーモスタットを自動的に下げ、照明を落とし、アラームを有効にする」など、さまざまな例を挙げている。

もちろん、フローはGoogle、Alexa、Siriショートカットなどの音声アシスタントを使って起動することも可能だ。また、モバイルやApple Watch用のウィジェットも提供されている。

音声コントロールやフローなど、あって当たり前の機能に加え、アプリはエネルギー使用をリアルタイムで分析するツールを提供し、さらなる節電方法を提案してくれる。例えば、洗濯機の「温水」サイクルと「冷水」サイクルのエネルギー消費を比較したり、最もエネルギー効率の良い(そして最も悪い)部屋がどれかを教えてくれたりする。

Homeyは、そのスマートハブが1000以上のブランドの5万以上のスマートホームデバイスと接続ができ、iOS、Android、ウェブアプリで全体のコントロールや設定を行うことができると謳っている。ハブは、Zigbee、Z-Wave Plus、Wi-Fi、Bluetooth、433MHz無線に加え、家中にコマンドを送信するための赤外線通信LEDを備えており、豊富な接続性を兼ね備えている。

Homeyアプリは、69ドル(約7980円)のHomey Bridgeを介して、またはHomeyハードウェアを必要としないアプリのみのソリューションとして、スマートホーム機器のコントロールに使用することができる。無料版のHomeyアプリでは最大5台のデバイスをコントロールできるが、プレミアム版では家庭全体で無制限にスマートデバイスを接続することができる。プレミアム版のアプリは、月額2.99ドル(約340円)で利用できる。

「家庭にはそれぞれ個性があり、一律に対応できるものではありません。今日のスマートホームシステムのほとんどは、単一のブランド、技術、またはユースケースが中心となっています。例えば、Philips Hueは照明には最適ですが、ただそれだけです」とHomeyのメーカーであるAthom(アトム)の共同創業者兼クリエイティブディレクターのEmile Nijssen(エミール・ナイセン)氏は語る。「その結果、スマートホームはあらゆる種類のアプリですぐに複雑になり、ごちゃごちゃしてしまいます。私たちがHomeyで目指しているのは、現状を変え、すべてのスマートデバイスを統一し、同時に消費者のプライバシーを確保する、オープンで手頃な価格のユーザーフレンドリーなシステムを作ることです」。

画像クレジット:Homey

原文

(文:Haje Jan Kamps、翻訳:Akihito Mizukoshi)

サービスとしてのガバナンス事業を展開する東京大学発Scrumyが約4500万円調達、プロダクト開発と組織体制強化

サービスとしてのガバナンス事業を展開する東京大学発Scrumyが約4500万円調達、プロダクト開発と組織体制強化

企業のガバナンスを構築・維持・強化するための情報ライフサイクル管理SaaS「Scrumy」を提供するScrumy(スクラミー)は1月6日、シードラウンドにおいて、約4500万円の資金調達を実施したことを発表した。引受先は、イーストベンチャーズ4号投資事業有限責任組合と個人投資家。調達した資金で、おもにプロダクト開発と組織体制の強化を行うとしている。

Scrumyは、ガバナンスと情報セキュリティーを強化する「情報ライフサイクル管理」のための総合ガバナンスプラットフォーム。システムやソフトウェア開発の情報を一元管理し、適切な権限管理にもとづいて流動的なステークホルダーとの協働を可能にする安全な開発環境を構築する。システムやソフトウェアの開発工程に「情報ライフサイクル管理」という考え方を取り込むことで、「これまでにない新しい開発文化を創造」するという。

そうした作業を、ScrumyはGaaS(サービスとしてのガバナンス。Governance as a Service)という形で提供している。それは、GRC(ガバナンス・リスク・コンプライアンス)、需要、リソース、契約、ワークフロー、ドキュメント管理のための総合ソリューションであり、「情報セキュリティ強化」と「業務効率化」を両立させるサービスとのこと。

Scrumy代表取締役CEOの笹埜健斗氏は、東京大学大学院学際情報学府でガバナンスと情報セキュリティを強化するための研究を行ってきた。Scrumyは東大発研究開発型スタートアップだ。企業の持続可能な経営の最大の基盤となるガバナンスに注目しているという笹埜氏は、「無意味な大量の『データ』から、意味のある『インフォメーション』、さらには知恵や文化のレベルにまで高められた『ナレッジ』に変換、さらには循環させていく仕組みをデザインし、企業の情報インフラを構築していくべきだ、というのが私たちの確固たる哲学です」と話している。

【コラム】Web3こそが関心や大きな注目が価値を生むアテンションエコノミーの欠陥を修復できる

不均衡なクリエイターエコノミーや貧弱なセキュリティ、一元的な管理や不満を持つコミュニティなど、Web 2.0の欠陥はここ数カ月間で明らかになった。

まず、Facebookの元プロダクトマネージャーであるFrances Haugen(フランシス・ハウゲン)は2021年10月に、当ソーシャルメディアの巨人は「安全性よりも利益を優先している」と議会で証言した。そしてそれを合図にしたかのように、Facebookの中央集権的なサービスが世界中でダウンした。この障害は非常に広範囲におよび、Facebook自身がサーバーにアクセスすることさえできなかった。

そんな中、不満を抱いた匿名のハッカーが、Amazonが運営する人気ストリーミングサービス「Twitch」の膨大な内部データを公開した。このハッカーは、ソースコードやトップクリエイターの報酬情報とともに、Twitchコミュニティを「オンライン動画ストリーミングの分野におけるさらなる破壊と競争の促進」を企てる「嫌な毒の巣窟」と呼び、改善を呼びかけた。

これらのプラットフォームが成長し、普及し、収益を上げているにもかかわらず、旧態依然とした人々が多くのことを取り違えたことは明らかだ。ネットワーク効果、大規模なスケール、勝者総取りの経済性を重視した中央集権型のWeb 2.0は、もはや社会のためにはならない。

今こそ変化を起こす時だろう。Web3の起業家として、より協調的・創造的でユーザー中心のインターネットを育むオープンなインフラを構築するにあたって、前世代のテクノロジーの根本的な欠陥を解決するのは私たちの役目だ。

Web3がどのように現在のデジタルエコノミーの最も顕著な問題点を解決できるのかを説明しよう。

セキュリティやデータ管理の不備

Twitchは、背景をAmazonの創業者である億万長者Jeff Bezos(ジェフ・ベゾス)の写真に置き換えるなどのいたずらに悩まされ続けている。これらのセキュリティ問題は元従業員からの報告にもあったように、常在していたようだ。

中央集権的な組織と共有しているデータはすべて危険にさらされていることがわかってきた。銀行、小売業者、SNSプラットフォームからの個人情報の流出が何年も続いていることからも、インターネット上のものは何であれ、真の意味でのプライバシーを保てるとは考えられない。

Web3は暗号プリミティブに基づいて構築されており、多くの場合オープンソースコードを採用しているため、誰でもコードをレビューすることでプロジェクトに貢献することができる。これによりユーザーのセキュリティが向上し、透明性が競争力につながる。これは、単にプライバシーに基づいているだけではなく、実際にユーザーの価値を守ることにつながる。セキュリティ研究者の@samczsunは、0x、Livepeer、Kyber、Nexus Mutual、Aragon、Curveなどのプロトコルに潜在するエクスプロイトを特定し、失われた可能性のあった価値を数十億ドル(数千億円)分救済した。

相互運用可能な規格の意味するところは、ERC-721ベースのNFTは多数の異なるフロントエンドアプリケーションで取引や閲覧ができ、ERC-20トークンは注目と価値を得るために競い合う金融商品のエコシステム全体にアクセスできるということだ。これにより、プラットフォームにとってはリスクが上がり、セキュリティ侵害があった場合にユーザーの流出につながる可能性がある。

有害性とプラットフォームの説明責任

Twitchのハッカーたちは、違法で不道徳な行為を行ったが、ある点では正しかったと言える。ストリーミングプラットフォームの有害性は増しており、大規模なハイテク企業は問題の大きさに見合った対応をするのに苦労している。だがWeb 2.0の世界では、ストリーマーには実行可能な代替手段がない。YouTubeやFacebook Liveに移行することはできても、それはまた別の有害なアテンション・エコノミーのプラットフォームに置き換えるだけのことになる。

これらの現実は、クリエイターがこれまで以上に力を持つ環境を受けた結果だ。ファンは好きなクリエイターを好きなプラットフォームでフォローし、それがクリエイターに大きな影響力を与える。有害性から逃れるためには、クリエーターはクローズド・プラットフォームから出て、コミュニティとの直接的な関係を通じて自分の運命をコントロールするためのWeb3ツールが必要だ。

またWeb3は、ユーザーとプラットフォーム間の力関係を再調整し、ユーザーは自分のデータをコントロールできるようになる。Spruceのようなデータ管理プラットフォームが提供する相互運用性とポータビリティのおかげで、Web3プラットフォームによってユーザーは簡単に「退場による意思表示」を行い、別のプラットフォームに移行できるようになる。

ConfluxやMoralisのような企業によって、ブロックチェーンや規格を超えた規模拡大が容易になったため、競合他社は機会があればいつでも迅速に行動を起こすことができる。例えば、NFTの取引プラットフォームであるOpenSeaが、どのNFTが取り上げられるかを知った上でインサイダー取引を行っていた可能性があることがユーザーに発覚した際には、Artionのような代替プラットフォームが登場し、NFT市場で認識されている不満の一部を解消した。このような市場の動きに対する迅速な反応は、規模の大きさと閉鎖的なアクセスに依存して新規参入を阻む従来のWeb2.0のエコシステムには存在しないものだ。

しかし、Web3.0はユーザーとの直接的な関係をはるかに超えている。これらのプラットフォームはユーザーが所有し、コミュニティが主体となっているため、コミュニティが自ら節度ある行動をとるような動機付けがなされている。動画配信のケースでは、大切なメンバーを他所に追いやるようなヘイト・レイドを望むコミュニティはないだろう。

Web2.0の世界では、ユーザーはプラットフォームが行動を起こすのを待たなくてはならない。Web3では、ユーザーは内蔵されたガバナンスとモデレーションのメカニズムを通じて行動することができる。Mirrorのブログプラットフォームでは、毎週誰が記事を書いて公開するかをユーザーが投票で決めている。Web3 indexでは、掲載されているプロジェクトが後続のプロジェクトの追加や削除を管理し、エコシステムの健全な成長を確実にしている。

Facebookの内部告発者は、Facebookには2層構造の司法制度があり、有名人は一般ユーザーとは異なる扱いを受けていることも明らかにした。一般のアカウントが利用規約に違反するとペナルティを受けることがあるが、多くのフォロワーを持つアカウントは同じ行為をしても逃げられる可能性がある。

Web3ではこの点も修正され、ブロックチェーンの不変性のおかげで透明性が高まり、検閲にも耐えられるようになった。意思決定はSnapshotのようなツールを使ってオープンに行われ、より広範なコミュニティによって推進される。ガバナンスはブロックチェーン上で行われ、誰もが見ることができる。裏取引や二層構造の司法制度はない(もちろん、投票でそう決められた場合は別だが)。すべてコミュニティ主導で行われるため、方向性や透明性のレベルに納得がいかない場合は、参加者は簡単に去ることができる。

不均衡なクリエイターエコノミー

Twitchのリークにより、トップパフォーマーと一般のクリエイターの支払い額に大きな格差があることが明らかになった。このようなダイナミクスは、プラットフォームと一部のクリエイターのみの間でインセンティブの合意を形成する。少数のクリエイターが収益の大半を占めるようになると、プラットフォームは最も重要なインフルエンサーに注目を集めるようになる。

Web3のパラダイムは、アクセスを民主化し、クリエイターとファンの間のサイロを解消することで、このようなインセンティブのズレを解消する。NFT、デジタルペイメント、トークン、クラウドファンディングといったWeb3のクリエイター向けマネタイズメカニズムは、クリエイターに優しいやり方で条件を平等にする。glass.xyzのようなプラットフォームを利用しているアーティストたちは、魅力的なライブストリームとともにNFTによって、Web 2.0モデルで販売するよりもはるかに優れた方法でコンテンツを収益化できることを発見した。

Web3では、ユーザーは自分のプラットフォームを所有することができ、多くの場合トークンによって調整される。ユーザーはプラットフォームの成長によって直接利益を得られるため、例えばモデレーションのような重要なサービスを提供する動機にもなる。

また、ユーザーはファントークンを購入することで、お気に入りのクリエイターにさらにコミットし、情熱を共有することで、健全なファンコミュニティを育むポジティブなフィードバックループを構築することができる。Rally、Socios(Chiliz上に構築)、Rollなどのプラットフォームは、クリエイターが自分の評判、権威、創造性を仲介者なしで直接収益化できるツールを提供する。これによりクリエーターがプラットフォームとなることで、インセンティブがさらに合致に近づく。クリエイターは関与のルールを定義することができ、利害関係のない第三者に干渉されずに、健全なコミュニティの維持に必要なことを行うことができる。

インターネットのアップグレードは、社会にとって良いこと

社会構造や経済構造の多くが民間企業数社が管理するインフラに依存していることは、間違いなく有害である。また、そのような企業が説明責任を果たさず、変革を約束しても注目が集まらなければ道半ばで終わってしまうようでは、ダメージはさらに大きくなる。

しかしWeb 2.0を完全に排除することはそれほど重要ではなく、社会が切実に必要としているインターネットのアップグレードを行うことが重要なのだ。Web 2.0のツール自体は非常に大きなポジティブなインパクトを持っているが、そこにはトレードオフもある。Web 2.0の構造的な誘引により、責任を負わない柔軟性に欠けるビッグテックによる独占が起こった。Web3は、先行するWeb 2.0の良い点を取り入れ、すべてのユーザーの間でエコノミーとインセンティブを調整することで、インターネットを進化させ、広告モデルの悪影響を回避できる。

文化とコントロールという点では、中央集権的なクローズド・プラットフォームよりも分散型サービスの方が圧倒的に有利だ。Web3は、データのポータビリティと相互運用性によってユーザーに力を与え、自己管理型のコミュニティをサポートするような動機を中心に置き直すことで、コミュニティを育成するためのまったく新しい方法を提案している。

ハウゲンは正しい。「Facebookを解体することが重要なのではありません。進むべき道は、透明性とガバナンスです」。私たちは皆、より良いものを得られるべきだ。そして、透明性とコミュニティのガバナンスを優先するサービス、プラットフォーム、製品こそが、次のデジタル経済の時代に繁栄するだろう。

画像クレジット:Peter Dazeley / Getty Images

原文へ

(文:Doug Petkanics、翻訳:Dragonfly)

【コラム】プーチンと習近平の進化した偽情報の手法は新たな脅威をもたらす

TechCrunch Global Affairs Projectは、テクノロジー部門と世界政治のますます複雑になっている関係を検証する。

情報領域が国家間の競争においてますます活発で重要なものとなる中、2つの国が全面的に乗り出している。中国とロシアは、地政学的な利益を促進するために洗練された情報戦略を展開しており、その手法は進化している。ロシア政府はもはや、極論を展開するコンテンツを大量に生成するプロキシトロールファームに依存するのではなく、軍事インテリジェンス資産を利用して、プラットフォーム検知メカニズムを回避するために、よりターゲットを絞った情報活動を行うようになっている。また、世界で500万人超の命を奪ったパンデミックの責任を取らされるのではないかという懸念から、中国政府は「戦狼外交を使ってネット上で陰謀論を展開し、リスクをかなり回避するようになっている。自由で開かれたインターネットというビジョンを維持するために、米国は反撃のための戦略を練らなければならない。

ロシアの情報操作の手口は進化している

多くの指標から見て衰退しつつあるロシアは、短期的には近隣諸国や地政学的競争相手の機関、同盟、国内政治を混乱させることによって、非対称的手段でその相対的な弱さを補おうとしている。ロシア政府は、自らの活動を世間に知られることで失うものは少なく、得るもの方が多いため、その帰属に特に敏感でもなければ、反動も気にしていない。そして大西洋共同体を混乱させ、分裂させ、自国の利益を損ないかねない外交政策を自信を持って協調して実行できないようにするために、ロシアは偽情報を使って混乱をあおり、無秩序を助長している。

これを達成するために、ロシアは2016年の米大統領選挙を妨害するための「広範かつ組織的な」キャンペーン以来、その手法の成熟を示す少なくとも2つのテクニックを使用している。第一に、情報操作を本物の運動と見せるために、ターゲットとする社会の声や制度を定期的に活用しており、しばしばターゲット人口内にトロールを隠したり、ローカル市民のソーシャルメディアアカウントを借りたり抗議行動をあおる本物の活動家を採用したりしている。これは、ますます洗練されているプラットフォーム検知の仕組みを回避するためでもあり、米国内でコンテンツモデレーションの議論が政治化するのを悪化させるためでもある。

第二に、ロシアの偽情報屋は、自分たちや他者が持つ印象を作り出すために大規模な活動を継続する必要はなく、その印象だけで選挙結果の正当性に対する疑念を生み、党派間の不和を悪化させるのに十分であることを認識している。このようにロシアは、特に選挙という場面において、不正操作の可能性に対する広範な懸念を利用し、たとえ不正操作が成功しなくても、不正操作が行われたと主張することで、目的を達成することができる。

中国はロシアを見習い、策を弄している

一方、中国は新興国であり、干渉活動を世間に知られることで得るものは少なく、失うものは大きい。ロシアとは異なり、安定した国際秩序を望んでいるが、米国が主導する現在の枠組みよりも自国の利益に資する秩序を望んでいる。その結果、情報領域における中国の活動は、責任あるグローバル大国としての中国のイメージを高め、その威信を傷つけるような批判を封じ込めることを主目的としており、米国とそのパートナー国を無能で偽善者と決めつけることで民主主義の魅力に水を差している。

中国にとって、こうした利益を追求するためには、他の強者のプロパガンダ・ネットワークに便乗し、民衆の支持を取り繕い、自国の人権記録に関する会話を取り込むという3本柱の戦略が必要だ。中国は独自のインフルエンサー・ネットワークを持たないため、ロシアのプロパガンダでおなじみのオルタナティブな思想家たち(その多くは西洋人)に定期的に頼っている。北京が国内で禁止しているプラットフォームで中国寄りの立場を支持させることの難しさを強調し、中国の狼戦士外交官はTwitterで定期的に偽の人物と関わりを持っている。また、中国の人権記録に対する批判を跳ね返すために、ハッシュタグキャンペーンや巧妙なビデオを使って、新疆ウイグル自治区のイスラム教徒の扱いに関する議論を取り込もうとしている。

独裁者たちの連携、ただし時々

長期的な目標には大きな違いがあるものの、ロシアと中国は、民主主義の世界的な威信を損ない、多国間機関を弱め、民主的な同盟関係を弱めるという、複数の直接的な目標を共有している。その結果、両国はいくつかの同じ戦術を展開する。

ロシア、中国とも、特に人種問題において、米国を偽善者と見なす「whataboutism」を用いている。Twitterで多くのフォロワーを獲得するためにクリックベイトコンテンツを利用し、聴衆が戦略的資産であることを認識している。しかしロシアと中国は、政治的な出来事に関する公式発表を疑い、自分たちの活動に対する非難から逃れ、客観的な現実など存在しないという印象を与えるために、複数の、しばしば矛盾する陰謀説を定期的に流している。2国とも、自分たちの好む物語を広めるために大規模なプロパガンダ組織を運営している。

また、同じような物語を数多く展開している。ロシアも中国も、ある種の西側の新型コロナウイルスワクチンの安全性に関する記録に対する信頼を低下させ、米国とその同盟国のワクチンを効果のないものとして描写するよう働きかけている。とはいえ、ロシアは主に分極化を深め、制度やエリートに対する信頼を低下させるような分裂的なコンテンツを押し出すことに注力しており、同時に既存のメディアにおける反ロシア的な偏向とみなされるものを押し退けている。一方、中国は自国の統治モデルの利点強調することに主眼を置き、自国の権利侵害に対する批判を偽善と決めつけている。ロシアの国営メディアは、ロシアの国内政治をほとんど取り上げない。ロシア政府の目標は、視聴者をロシアに引き寄せるのではなく、政治的な西側から遠ざけることだ。中国は、その逆だ。

米国との競争において、ロシアと中国がさまざまな領域で協力関係にあることはよく知られている。その証拠に、両国の情報活動には、互いのコンテンツを配信するという極めて象徴的な合意以上の正式な連携はほとんど見られない。これはまったく驚くべきことではない。中国は、ロシアが宣伝するシナリオを増幅させたり、ロシアの情報戦略の他の成功要素を模倣したりするために、ロシアと正式に協力する必要はない。

今後の展開

ロシアと中国の情報戦略はともに進化している。ロシアの偽情報活動は標的が絞られ、発見が難しくなっている。一方、中国は以前よりも主張が強く、繊細さに欠けるアプローチを取っている。ロシアにとって、こうした変化は、2016年以降、その活動に対する認識が高まっていることが背景にあるようで、同時に新しいプラットフォーム政策と検出メカニズムの導入を促し、選挙の正当性をめぐる党派的な議論が今日まで響いている時代を迎えた。中国にとって、情報戦略への変更は、主に新型コロナのパンデミックという、地政学的な点で独特の重要性を持つ世界的危機によって動機づけられているようで、中国にとって新しいアプローチを試す機会を作り続けることになる。

ロシアと中国の情報領域への取り組み方に対するこうした重大な変化を認識した上で、米国は独自の手法を必要としている。強固な戦略には、抑圧的な支配の失敗を強調するために真実の情報を活用すること、不安定な偽情報キャンペーンを行う者を阻止したりコストを課すために米国のサイバー能力を展開すること、プラットフォームの透明性、特に信頼できる研究者を規範とするような法律を実施することが含まれる。最後に、情報の自由は民主主義社会にとって有益であり、権威主義的な競争相手に課題を与えるものであるため、米国は世界中で情報の自由をより強力に擁護する必要がある。

民主主義社会と権威主義社会との間の結果として起こる事においては、独裁者が主導権を握っている。この措置は、米国がそれを取り戻すことを確実にするための大胆で責任ある行動の出発点となるものだ。成功させるために、米国とその民主的パートナーは迅速に行動しなければならない。

編集部注:寄稿者Jessica Brandt(ジェシカ・ブラント)氏はAI and Emerging Technology Initiativeの政策担当ディレクターで、ブルッキングズ研究所の外交政策プログラムのフェロー。

画像クレジット:masterSergeant / Getty Images

原文へ

(文:Jessica Brandt、翻訳:Nariko Mizoguchi

ブラウザ拡張機能としてサイバーセキュリティを提供するGuardioが初の外部資金調達で約53億円獲得

クラウドでの次世代コンピューティングに関しては、PCにインストールするウイルス対策ソフトはもう限界かもしれない、ともいわれている。その次に来るものと信じられているプロダクトを構築したスタートアップが米国時間12月14日、初の外部資金調達となる大規模なラウンドを実施し、ニュースになっている。

Guardio(ガーディオ)は、ウェブ利用時や、インターネットを利用して相互接続するデジタルサービス(メッセージングサービス、買い物、銀行サービスなどを想定しているが、今のところモバイルサービスはない)利用時に、疑わしい活動や悪意のある活動を監視するブラウザ拡張機能を構築した。同社はTiger Globaがリードし、Emerge、Vintage、Cerca Partners、UnionそしてSamsung Nextが参加したラウンドで4700万ドル(約53億円)を獲得した。ブラウザ拡張機能は、コンピューターやインターネット接続の遅延に影響を与えず「ただバックグラウンドで座っているだけ」だとCEOのAmos Peled(アモス・ペレド)氏はインタビューで語った。「当社は、ユーザーにアドバイスしたり手助けしたりしたいのです。ポジティブな摩擦を信じています」。

2018年に自己資金で設立されたテルアビブ拠点のGuardioは、すでに100万もの拡張機能ユーザーを集めている。それが早い段階でこれだけの資金調達ができた理由の1つでもある。Daniel Sirota(ダニエル・シロタ)氏、Michael Vainshtein(マイケル・ベインシュテイン)氏と共同で創業したペレド氏によると、通常、平均的なユーザーに対するGuardioの検出率は最初の1週間で73%だ。そこでデータ漏洩や悪意のある拡張機能、その他の悪意のある活動の可能性があるアクティビティを特定することができているという(時間の経過とともに、この数字はシステムがより多くを学習するにつれて大きくなるようだ)。

現在、フリーミアム製品のアクティブユーザーは100万人だが、そのうち10万人は有料ユーザーで、消費者と「マイクロ」(つまり零細)企業が混在しているとペレド氏は話す。今後は、この2つの路線で成長を続け、さらに幅広い製品群へと拡大していく予定だ。地域的には、ペレド氏が指摘するように、約1700万の零細企業が存在する米国市場での継続的な成長に重点を置くことになる。このような零細企業は、専属のセキュリティ専門家を置いておらず、セキュリティ関連に費やすリソースも必ずしも多くはないが攻撃の影響を受けやすく、その規模ゆえに攻撃が原因で倒れる危険性も高い。

会社設立のきっかけについてペレド氏は、そのような規模の組織の多くが、すでにセキュリティ保護にある程度の費用を支払っているが、そのほとんどが古いウイルス対策ソフトであり、目的にかなっていないという認識からだったと話す。

「攻撃者は適応しており、昔のようなエクスプロイトやOSに対する攻撃ではなく、ブラウザの仕組みを悪用するようになりました。数十年にわたって存在しているウイルス対策ソフトなどの保護レイヤーがうまく適応できなかったため、セキュリティ環境に隙が生じたのです。インターネットに接続するOSを更新しているユーザーの多くは、ウイルス対策ソフトを使用していました。そのため、多くのウイルスが侵入してきたのです」。

ここ数年、サイバーセキュリティのスタートアップが大量に市場に参入しているが、その多くは企業向けに展開し、大企業や消費者に特有のアーキテクチャのセキュリティに焦点をあてている。そこで、この2つの境界に位置するグループ向けの製品を開発し、そのための強力な牽引力を見出す能力が投資家の目にとまった。

Guardioは、3人の創業者が共同で立ち上げた2番目のスタートアップだ。最初のArpeelyは、機械学習と深層学習技術によるリアルタイムメディアオークションに特化しているとのことだ。

「このチームはサイバー、プロダクト、市場開拓の専門知識を結集し、この市場を破壊しイノベーションを起こすのに最適なポジションにいます。自己資金起業での牽引力はその証です」とTiger Globalのパートナー、John Curtius(ジョン・カーティス)氏は声明で述べた。

画像クレジット:JuSun / Getty Images

原文へ

(文:Ingrid Lunden、翻訳:Nariko Mizoguchi

ノーコードのセキュリティ自動化プラットホーム「Torq」が約57億円調達

オレゴン州ポートランドのTorqは、セキュリティをノーコードで自動化するスタートアップで、以前はStackPulseという名称だった。同社は米国時間12月7日、Insight PartnersがリードするシリーズBのラウンドで5000万ドル(約56億9000万円)を調達したことを発表した。上場企業であるエンドポイントセキュリティのプラットフォームSentinelOneが新たな投資家としてラウンドに参加し、またこれまでの投資家であるGGV CapitalとBessemer Venture Partnersも参加した。Torqの総調達額は、これで7800万ドル(約88億7000万円)になる。

関連記事:小さな企業でも突然のシステム障害に迅速に対処できるようにするStackPulseが29億円調達

最近では、ノーコード / ローコードのプラットフォームが流行しているが、セキュリティ分野ではあまり見かけない傾向にある。NS1、eToro、Armis、Healthy.ioなどがユーザーとして名を連ねるTorqは、使いやすいグラフィカルなインターフェースを用いて、セキュリティチームがセキュリティ製品間のルーティング・ワークフローを自動化することを支援する。その点では、Microsoft Power Automateとあまり変わらず、セキュリティに特化している点では同じだ。

Torqは、現代の企業がデータの安全性を保つために導入している複雑に入り組んだセキュリティツールをまとめることができるという点で期待されている。サービスのワークフローは、一定の間隔で、またはアラートから起動することができる。例えば、クラウドリソースへの特権的なアクセスを求める従業員からのSlackリクエストに反応したり、疑わしいファイルの分析プロセスを自動化したりするような、シンプルなワークフローだ。

画像クレジット:Torq

LemonadeのCISOであるJonathan Jaffe(ジョナサン・ジャッフェ)氏によると「Torqのオートメーションで私たちチームのセキュリティ管理が変わりました。一例を挙げると、Torqを使ってウェブアプリケーションのファイアウォールのブロッキングのルールを管理すると、悪質なトラフィックのブロックに要する時間が70分の1になり、捕捉率は90%を超えました。これはとても大きな改善です」という。

TorqのCEOで共同創業者のOfer Smadari(オフェル・アダリ)氏によると、以前の資金調達から今回までの間、同社はユーザー体験の改良に集中してきた。「ユーザー体験への投資を増やし、ユーザーが他のシステムにもっと容易に接続できて、複雑なワークフローを簡単に作ることが可能で、インターフェースのスピードと応答性を上げるようにしました。また、創業時から一貫して、大小さまざまなエンタープライズをサポートできるためにスケーラビリティとレジリエンスに重点的に投資してきました」と氏は述べている。

特に今回の資金で重点投資を行いたいのが、サービス利用がかなり大規模になっている顧客や見込み客への対応だ。アダリ氏によると、同社のサービスの上で顧客が動かしているワークフローの平均数が毎週2〜3倍ずつ増加している。「顧客は、一度始めたらその後の拡張はとても速い。私たちが、そんな成長をサポートできるほどのサービスのデプロイになっていることを、有事になる前に確認しなければならない」という。

Torq自身は、セキュリティのチームをルーチンワークから解放してセキュリティ業界の人材不足に対応することが目的でも、しかしアダリ氏によると、同社にとって当面の最大の課題が雇用だ。

しかしInsight PartnersのマネージングディレクターであるSteve Ward(スティーブ・ワード)氏は次のように述べている。「短期間でTorqが成功したことは、プラットフォームがビジネスのあらゆる側面にわたってより良い保護の提供を目指すセキュリティチームの仕事を楽にしてくれることの証明だ。同社の直感的なプロダクトと経験豊富なチームにより、Torqは急速に業界のリーダーになりつつある。成長を続けているTorqとの提携は、私たちを元気にしてくれます」。

画像クレジット:Torq

原文へ

(文:Frederic Lardinois、翻訳:Hiroshi Iwatani)

ノーコードのセキュリティ自動化プラットホーム「Torq」が約57億円調達

オレゴン州ポートランドのTorqは、セキュリティをノーコードで自動化するスタートアップで、以前はStackPulseという名称だった。同社は米国時間12月7日、Insight PartnersがリードするシリーズBのラウンドで5000万ドル(約56億9000万円)を調達したことを発表した。上場企業であるエンドポイントセキュリティのプラットフォームSentinelOneが新たな投資家としてラウンドに参加し、またこれまでの投資家であるGGV CapitalとBessemer Venture Partnersも参加した。Torqの総調達額は、これで7800万ドル(約88億7000万円)になる。

関連記事:小さな企業でも突然のシステム障害に迅速に対処できるようにするStackPulseが29億円調達

最近では、ノーコード / ローコードのプラットフォームが流行しているが、セキュリティ分野ではあまり見かけない傾向にある。NS1、eToro、Armis、Healthy.ioなどがユーザーとして名を連ねるTorqは、使いやすいグラフィカルなインターフェースを用いて、セキュリティチームがセキュリティ製品間のルーティング・ワークフローを自動化することを支援する。その点では、Microsoft Power Automateとあまり変わらず、セキュリティに特化している点では同じだ。

Torqは、現代の企業がデータの安全性を保つために導入している複雑に入り組んだセキュリティツールをまとめることができるという点で期待されている。サービスのワークフローは、一定の間隔で、またはアラートから起動することができる。例えば、クラウドリソースへの特権的なアクセスを求める従業員からのSlackリクエストに反応したり、疑わしいファイルの分析プロセスを自動化したりするような、シンプルなワークフローだ。

画像クレジット:Torq

LemonadeのCISOであるJonathan Jaffe(ジョナサン・ジャッフェ)氏によると「Torqのオートメーションで私たちチームのセキュリティ管理が変わりました。一例を挙げると、Torqを使ってウェブアプリケーションのファイアウォールのブロッキングのルールを管理すると、悪質なトラフィックのブロックに要する時間が70分の1になり、捕捉率は90%を超えました。これはとても大きな改善です」という。

TorqのCEOで共同創業者のOfer Smadari(オフェル・アダリ)氏によると、以前の資金調達から今回までの間、同社はユーザー体験の改良に集中してきた。「ユーザー体験への投資を増やし、ユーザーが他のシステムにもっと容易に接続できて、複雑なワークフローを簡単に作ることが可能で、インターフェースのスピードと応答性を上げるようにしました。また、創業時から一貫して、大小さまざまなエンタープライズをサポートできるためにスケーラビリティとレジリエンスに重点的に投資してきました」と氏は述べている。

特に今回の資金で重点投資を行いたいのが、サービス利用がかなり大規模になっている顧客や見込み客への対応だ。アダリ氏によると、同社のサービスの上で顧客が動かしているワークフローの平均数が毎週2〜3倍ずつ増加している。「顧客は、一度始めたらその後の拡張はとても速い。私たちが、そんな成長をサポートできるほどのサービスのデプロイになっていることを、有事になる前に確認しなければならない」という。

Torq自身は、セキュリティのチームをルーチンワークから解放してセキュリティ業界の人材不足に対応することが目的でも、しかしアダリ氏によると、同社にとって当面の最大の課題が雇用だ。

しかしInsight PartnersのマネージングディレクターであるSteve Ward(スティーブ・ワード)氏は次のように述べている。「短期間でTorqが成功したことは、プラットフォームがビジネスのあらゆる側面にわたってより良い保護の提供を目指すセキュリティチームの仕事を楽にしてくれることの証明だ。同社の直感的なプロダクトと経験豊富なチームにより、Torqは急速に業界のリーダーになりつつある。成長を続けているTorqとの提携は、私たちを元気にしてくれます」。

画像クレジット:Torq

原文へ

(文:Frederic Lardinois、翻訳:Hiroshi Iwatani)

ACSL、政府調達に適合するセキュアな産業用空撮小型ドローン「SOTEN」(蒼天)を受注開始

ACSL、政府調達に適合するセキュアな産業用空撮小型ドローン「SOTEN(蒼天)」を受注開始

産業用ドローンの開発・販売を行うACSL(エーシーエスエル)は12月7日、高いセキュリティー機能を備えた産業用空撮小型ドローン「SOTEN(蒼天)」とそのオプション品の受注を開始した。これは、新エネルギー・産業技術総合開発機構(NEDO)の「安全安心なドローンの基盤技術開発」事業の成果を受けてACSLが商品化したもの。

日本政府は2020年9月14日、「政府機関等における無人航空機の調達等に関する方針について」(小型無人機に関する関係府省庁連絡会議)を発表し、「調達はセキュリティが担保されたドローンに限定」し「既存導入されているドローンについても速やかな置き換え」を実施する方針を明らかにした。これを受けてNEDOでは、ドローンを制御するソフトウェアやデータ管理を行うクラウドシステムなど、ISO15408(コモンクライテリア。コンピューターセキュリティーのための国際規格)に基づき開発すべき標準機体とセキュリティーの仕様を定めた。それが「SOTEN(蒼天)」の開発につながった。

「SOTEN(蒼天)」の特徴は次の4つ。

  • セキュアな国産ドローン
    ISO15408に基づくセキュリティ対策を実施。データの漏洩や抜き取りを防止し、機体の乗っ取りへの耐性も備えている。主要部品は、国産品もしくは信頼性の高い海外からの調達品を採用。通信と撮影データの暗号化、国内クラウドでの取得データの保護など、セキュリティー強化を図っている
  • 簡単に切り替えられるカメラ
    小型空撮ドローンとしては初となるカメラの「ワンタッチ切り替え方式」を採用。標準カメラの他、赤外線カメラ+可視カメラ、マルチスペクトルカメラ、光学ズームカメラ(開発中)が交換できる。機体上部に上向きにカメラを装着できるマウントもある
  • 高い飛行性能
    最大対気速度毎秒15mと風に強く、災害現場などの厳しい状況でも安全に運用が可能。準天頂衛星システム「みちびき」(SLAS/SBAS)に対応し、正確な位置情報を把握できる
  • 閉域網LTE通信、オフライン対応地図などに対応
    LTE通信によりインターネットを介した操縦ができ、山間地やプラント内などで自動飛行による補助者なし目視外飛行(Level3)が行える。インターネットが使えない場所でも、基地局アプリにオフライン地図を表示し、ドローンを自動飛行させることが可能

「SOTEN(蒼天)」概要

  • 寸法:アーム展開時637×560mm(プロペラ含む)
    アーム収納時162×363mm
  • 重量:1.7kg(標準カメラ・バッテリー含む)
  • 最大飛行時間
    標準バッテリーで22分(標準カメラ搭載時)
    標準バッテリーで25分(標準カメラ非搭載時)
    大容量バッテリーで25分(標準カメラ搭載時)
    大容量バッテリーで29分(標準カメラ非搭載時)
    (すべて風速8m/s条件下)
  • 最大伝送距離(障害物や電波干渉がない場合):4km
  • 防塵・防水性:IP43(カメラ、ジンバル、バッテリー搭載時)
  • 標準カメラ:動画4K対応、静止画時2000万画素
  • オプションカメラ:赤外線カメラ+可視カメラ、マルチスペクトルカメラ、光学ズームカメラ(開発中)
  • リモートID:Bluetooth
  • GNSS:GPS+QZSS(準天頂衛星みちびき)+GLONASS+SLAS/SBAS
  • クラウド:撮影画像・動画保管機能、フライトログ保管機能
  • セキュリティ対策:フライトログ・撮影データ漏洩防止、通信の暗号化、機体と送信機のペアリング
  • 機能:自動飛行、画像トラッキング、3方向センサーによる衝突回避
  • 機体制御プロトコル:MAVLink準拠
  • 付属品:標準送信機、バッテリー、標準充電器、セキュアフライトマネジメントクラウド(3年分、5GB)
  • オプション品:スマートコントローラー、送信機フード、予備プロペラ、教習送信機、プロペラガード、LTE通信モジュール、収納ケース(ハード)、大容量バッテリー(94Wh)、収納ケース(ソフト)、マルチマウント、3連充電器、上部カメラマウント(開発中)
  • 価格:オープン価格