導入コストは従来の100分の1 ― 不正アクセス検知サービスのカリウスがソニーとISIDから資金調達

法人向けの不正アクセス検知サービス「FraudAlert(フロードアラート)」を提供するカリウスは4月11日、ソニーのCVCであるSony Innovation Fund電通国際情報サービス(ISID)を引受先とした第三者割当増資を実施し、資金調達を完了したと発表した。金額は非公開だが、関係者によれば数千万円程度だという。

カリウスのFraudAlertは、他人のID・パスワードを不正に利用してサービスへのログインを行う、いわゆる「なりすまし攻撃」を検知するためのサービスだ。アクセスに使われた端末、IPアドレスなど、約50のパラメーターをもとにアクセス者がユーザー本人であるかどうかを判断する。カリウス代表の島津敦好氏によれば、すでに事業会社への導入が進んでいるほか、メガバンクをはじめとする複数の金融機関への導入に向けて最終調整段階だという。

日本に対する「なりすまし攻撃」が2013年頃から急増

海外では、なりすまし攻撃を検知し、必要に応じて2段階認証を求めるなどの対策が早い段階から採用されている一方で、日本の金融機関などではそのような防止策の普及が遅れてきた。島津氏はその原因として、「ハッカーには外国人が多く、言語の壁があったので、そもそも日本のサイトがなりすまし攻撃の対象になることは少なかった」と話す。

しかし、ブラウザに翻訳機能が搭載されるようになり、2013年頃から日本に対するなりすまし攻撃が急増。2014年に警察庁が発表した資料では、2013年に検挙した不正アクセス行為のうち79.5%が「利用者のパスワード設定・管理の甘さにつけ込んだもの」とされている。また、一般社団法人日本クレジット協会によれば、2016年におけるクレジットカード不正使用の被害額合計は前年比17.4%増の約140億円となっている。

「これまでの日本のセキュリティは、社内にあるデータの漏えいを防ぐという発想だった。しかし、例えばEvernoteなどに書かれたパスワードが盗まれ、それを利用して不正アクセスをするというようなケースが増えるにつれて、なりすまし攻撃に特化したソリューションが求められるようになった」と島津氏は話す。しかし、従来のサービスはオンプレミス型が主流で、10年以上前に作られた金融機関の基幹システムに組み込むには相当なコストを要する。

そこでカリウスは、「ライセンスだけで5億円、ハードウェアにもそれと同程度の費用がかかるオンプレミス型のものに比べて50〜100分の1のコストで導入できる」(島津氏)クラウド型の不正アクセス防止サービスを提供している。

FraudAlertは不正アクセスの検知に特化しており、その後に必要な画像認証や2段階認証などの認証システムはサードパーティのものを利用している。「認証の分野はハッカーとの『いたちごっこ』で、今使っている技術も4ヶ月〜1年経つと使えなるという世界。だが、サイトに訪れるたびに出てくる認証方法が毎回変わればハッキングは困難になる。だからこそ、複数のサードパーティ認証サービスを入れ替わりで使えるこのモデルにした」と島津氏は語る。

ところで、認証と言えば、島津氏は画像認証システムの「パズルCAPTCHA」で知られるCapy出身の人物だ。Capyの中で同じことを実現してもよさそうだけれど、同社を離れ、新会社を設立した経緯について島津氏は「画像認識はブラウザでしか使えない技術。IoTなどが普及するにつれて、その限界を感じるようになっていた。また、当時のユーザーからも『お金は払うから、画像認識の先のセキュリティもつくってくれ』というような声もあり、ニーズを肌で感じていた」と話す。

「セキュリティマーケットは情報の非対称性が大きい市場。日本はシステムインテグレーターの存在が大きく、エンドユーザーにはセキュリティに詳しい人がいない。また、そもそも2013年以前は『なりすまし攻撃』が少なかったので、ベンダー側にもあまり詳しい人がいなかった。だから、海外のサービスが日本に入っていこうにも、チャネルがないし、コストが高いから売れないという状況があった。そこで、日本産システムを、日本の会社が、日本語で提供するというのは大きなビジネスチャンスがあるのではないかと考えた」。

ソニーとISIDと手を組み、販売チャネル強化と海外進出狙う

今回の出資に参加したISIDは、金融機関向けソリューション、製品開発ソリューションをはじめとする幅広い分野で事業を展開する。また、グローバルFinTechイベント「FIBC」を毎年主催していることなどでも知られている。そのISIDと手を組むことで、カリウスは「日本のセキュリティマーケットで6割を占める」(島津氏)金融機関へのリーチを高めていく。

カリウス代表の島津敦好氏

また、海外比率の高いソニーグループのSony Innovation Venturesが資本参加することにより、カリウスは将来的な海外展開も視野に入れているようだ。「Apple Payやeウォレットが急速に普及するインド、そして、少し遅れて東南アジアなどでニーズが高くなると考えている」と島津氏はいう。

将来的なビジネス構想について島津氏は、「すべてのモノがインターネットにつながると、最終的には様々なモノとIDがひも付けされた世界になる。最初はサイバーセキュリティが私たちの事業領域にはなるが、徐々にリアルのセキュリティにも移行していく構想がある」と話してくれた。

2015年に創業のカリウスにとって、今回が同社初の外部調達となる。

パズルCAPTCHAの「Capy」、MS Venturesで採択されて創業者らがイスラエルに

創業2年目のセキュリティ系スタートアップ、「Capy」がイスラエルに行くという。Microsoft Venturesが世界6拠点で展開しているアクセレータープログラム「Microsoft Accelerator」に採択され、共同創業者でCEOの岡田満雄氏と同CTOの島田幸輝氏はイスラエルでバッチプログラムに参加するという。日本を離れる直前の島田CTOにTechCrunchは話を聞いた。

Capyは法人登記自体は米デラウェア州なので法的には米企業だが、創業者は2人とも日本人。そういう意味では日本チーム。イスラエルでのアクセレーターに参加するということで、これは珍しい。市場をグローバルに捉えて世界を目指す、というとき、多くの日本人はアメリカやアジアに目を向けるが、セキュリティ系企業を多く輩出するイスラエルを目指すのは、Capyにとっては自然なことだったようだ。「Microsoftのアクセラレタープログラムがセキュリティに特化しているのが決め手。プライバシーポリシーのことも含め、幅広いセキュリティ・ソリューションを考えているので、さまざまな専門家からの意見が聞ける」(島田CTO)のがポイントだったという。Microsoft Venturesは2年前からイスラエルのアクセレーターを開始しているが、セキュリティとヘルスケアの2領域に特化している。過去の参加社数は48社。Capyが参加するのは5回目のバッチプログラムだという。メンター数は123名と多く、技術的サポートだけでなく、法務やマーケティング、PRなどさまざまな点で包括的支援をするのが特徴だそうだ。

Capyといえば2013年にIVSのLaunch Padで優勝したことから「パズルCAPTCHA」というアイデアをご存じの方も多いだろう。1つだけ穴が残ったジグソーパズルに最後のピースをはめることで、ボットをはじくというものだ。現在広く使われているCAPTCHAは、Googleが買収して今も使っているreCAPTCHAのように歪んだ文字列を人間に読ませるというものが主流だが、これは皆さん良くお苛立ちのように、「人間のオレにすら読めねぇよ!」というレベルにまで達していて結構やっかいな問題となっている。サービス提供側からしても、めんどうなCAPTCHAを押し付けることはユーザービリティ低下につながり、離脱率の増加は機会損失となる。

Capyは人間には直感的に答えが分かるし、タッチデバイス全盛のいま、指でさっと操作ができるという良さがある。

IVSのコンテストでCapyが優勝したとき、そのあまりにもシンプルなアイデアから「えっ、そんなアイデアで大丈夫?」と思ったエンジニアは少なくなかったようだ。正直ぼくも、エッジ検出は画像処理の基本だし、簡単に突破できてしまうのではないかと思った。ただ、CEOの岡田氏は米オレゴン大学と京都大学の大学院で情報学を専攻し、暗号研究をしていた人物。一瞬で突破できる「スネークオイル」を売ろうなんて考えるわけがない。

そう思ってCTOの島田氏にこの辺のことを聞いたところ、単純に画像処理で正解の座標を求めてピースを動かすだけでは、このパズルCAPTCHAは突破できないのだという。人間らしい動かし方かどうかを同時に見ているのだという。……と、いうことは、サンプルとして人間に数百回もやらせた上でその動きをデータセットとして用意しておいて、適当なノイズを入れて攻撃すれば突破できるのでは? と、ぼくは食い下がった。

この問いに対する島田氏の回答は明快だった。

つまるところCAPTCHAというのは人間とコンピューターを機械的に区別するための仕組みだが、これはスパム対策と同じでイタチごっこの側面がある。もし突破するような攻撃が出てくれば、すぐに追加の仕組みを入れていくことで、「ハッカーは、こちら(Capy)の学習を超えないといけない。(Capyが専門にやることで)どんどんハッカーが解くより速く進化させることができる。導入企業には、ハッカー対策の対抗戦をアウトソースしてもらうというイメージ」と説明する。手の内を明かしすぎるとハッカーたちに有利になるため詳しくは教えてもらえなかったが、画像処理自体も実は結構むずかしくなっているのだという。つまり、テキスト文字列をユーザーに読ませるという課題での人間とコンピューター(ハッカー)の戦いはもうとっくに終わっているので、次のやり方で新たなレースを始めたということになるだろうか。

もう1つ、11月をめどに「Capyアバターキャプチャ(仮名)」のリリースを予定しているという。これは、「お皿の上に料理をのせる」「ゾウがいたら餌をあげる」「帽子があれば、女の子にかぶせてあげる」というような、絵の全体的な意味を理解して、「これが期待されている動作だろう」という操作(画面上のモノを動かす)を人間が行うものだ。この絵のパターンは事前にかなりの数が用意されているが、その個別の意味解釈を事前にハッカーが予想してコンピューターに教えておくことは極めて難しいという。なぜならパターンの追加は人間には容易だが、そうしたパターン全てに対応する汎用的な知識をコンピューターに教えるというのは、事実上AIを実装するようなものになるからだ。

Capyアバターキャプチャでは、絵のバリエーションを自動生成する仕組みを入れていて、これはコンピューターがいくら学習しても追いつけないだろうという。頭にかぶるものは帽子だけではないし、お皿に載せるものも特定の料理や果物だけではない。人間はそういう知識を膨大にもっている。また、導入企業は、自社IPのキャラクターなどを入れて簡単にカスタマイズできる。Capyでは、このアバターキャプチャはオンラインゲームと親和性が高いだろうと見ているという。

Capyのように画像ベースのCAPTCHAが登場してきたのには、タッチデバイスが増えているという事情以外にも、「文字の判別能力は、コンピュータと人間でほとんど変わらなくなってきている」(島田CTO)ということがあるそうだ。人間にギリギリ読める文字であれば、コンピューターにも読めるし、コンピューターに読めないほど歪んだ文字は、もはや人間にも読めないということだ。これはOCRの精度向上という開発インセンティブが存在するからだ。名刺の自動読み取りや古文書の電子化など、画像中の文字認識というのは社会的需要が大きいのでアルゴリズムの研究が進んでいる。「ディープラーニングを使うと歪んだ文字や写真に写った文字でも99.8%は読めてしまう。画像の中に斜線を入れただけではほとんど意味がない」のだという。

ちなみに、いずれ文字認識以外でも人間とコンピューターの差はなくなるのだろうか? という、ややSFチックなぼくの問いに、島田CTOは「人間とコンピューターの差がなくなってきたときに残るのは、究極的には芸術しかないとぼくは思っています」と笑う。ある音楽がモーツアルトかどうかはコンピューターにも判別できる。しかし、その音楽が「美しいかどうか」は人間にしか分からない。

と、そういう数十年後に起こるかもしれない未来の話は置いておいておこう。

Capyは「画像を動かして、特定の位置にはめる」「デバイスごとに最適なキャプチャを出す」という特許を日米中韓、イスラエル、EU、インドで申請中という。実装はJavaScriptによるので、ブラウザが使える環境なら導入可能。ただ、CAPTCHAというのはパスワードの代わりになるわけじゃない。CAPTCHAはボットを防ぐ仕組みだ。一方、悪意のあるハッカー(人間)の侵入を防ぐために、Capyは最近リスクベース認証の製品として「Capyリスクベース認証」をリリースしている。IPアドレスや使用ブラウザ、言語、ログイン時間などの情報から「その人らしい」ログインか、あるいは不正利用者によるログインであるかを判別(推定)するというものだ。たとえばそのユーザーにとって初めて国であるなど不自然な場所からのアクセスであれば、その時点でログインをさせない、あるいは別の認証を要求するといったことが可能になる。

リスクベース認証はFacebookやGoogleなどエンジニアリングをコアに置くネット企業では数年前から導入されているが、ユーザーとしていちばん対応してほしい金融系のサービスなどでは導入が遅れている。これはリスクベース認証の「ソリューション」が一般に高価なことにも原因がある。Capyでは、1ユーザーあたり月額10円が最高価格で、さらにボリュームディスカウントを適用することで、地方銀行などITに割ける資金力に余裕のない層もターゲットとしたいと島田氏は話す。競合製品が数億円であるのに対して、数百万円という運用コストになるという。一方、Capyキャプチャのほうは1回の表示あたり0.8円が上限でボリュームディスカウントがある。低価格に抑えることで大手に使ってもらい、エンドユーザーを増やすのが狙い。すでに大手ネット系サービスなどで導入例があるという。

Capyは現在フルタイムの社員は5人。黒字化目前で、いまは一気に拡大するフェーズだという。2011年に個人投資家からシード資金を調達し、2013年5月にはジャフコから約1億円のシリーズAの資金調達をしている。