法人向けの不正アクセス検知サービス「FraudAlert(フロードアラート)」を提供するカリウスは4月11日、ソニーのCVCであるSony Innovation Fundと電通国際情報サービス(ISID)を引受先とした第三者割当増資を実施し、資金調達を完了したと発表した。金額は非公開だが、関係者によれば数千万円程度だという。
カリウスのFraudAlertは、他人のID・パスワードを不正に利用してサービスへのログインを行う、いわゆる「なりすまし攻撃」を検知するためのサービスだ。アクセスに使われた端末、IPアドレスなど、約50のパラメーターをもとにアクセス者がユーザー本人であるかどうかを判断する。カリウス代表の島津敦好氏によれば、すでに事業会社への導入が進んでいるほか、メガバンクをはじめとする複数の金融機関への導入に向けて最終調整段階だという。
日本に対する「なりすまし攻撃」が2013年頃から急増
海外では、なりすまし攻撃を検知し、必要に応じて2段階認証を求めるなどの対策が早い段階から採用されている一方で、日本の金融機関などではそのような防止策の普及が遅れてきた。島津氏はその原因として、「ハッカーには外国人が多く、言語の壁があったので、そもそも日本のサイトがなりすまし攻撃の対象になることは少なかった」と話す。
しかし、ブラウザに翻訳機能が搭載されるようになり、2013年頃から日本に対するなりすまし攻撃が急増。2014年に警察庁が発表した資料では、2013年に検挙した不正アクセス行為のうち79.5%が「利用者のパスワード設定・管理の甘さにつけ込んだもの」とされている。また、一般社団法人日本クレジット協会によれば、2016年におけるクレジットカード不正使用の被害額合計は前年比17.4%増の約140億円となっている。
「これまでの日本のセキュリティは、社内にあるデータの漏えいを防ぐという発想だった。しかし、例えばEvernoteなどに書かれたパスワードが盗まれ、それを利用して不正アクセスをするというようなケースが増えるにつれて、なりすまし攻撃に特化したソリューションが求められるようになった」と島津氏は話す。しかし、従来のサービスはオンプレミス型が主流で、10年以上前に作られた金融機関の基幹システムに組み込むには相当なコストを要する。
そこでカリウスは、「ライセンスだけで5億円、ハードウェアにもそれと同程度の費用がかかるオンプレミス型のものに比べて50〜100分の1のコストで導入できる」(島津氏)クラウド型の不正アクセス防止サービスを提供している。
FraudAlertは不正アクセスの検知に特化しており、その後に必要な画像認証や2段階認証などの認証システムはサードパーティのものを利用している。「認証の分野はハッカーとの『いたちごっこ』で、今使っている技術も4ヶ月〜1年経つと使えなるという世界。だが、サイトに訪れるたびに出てくる認証方法が毎回変わればハッキングは困難になる。だからこそ、複数のサードパーティ認証サービスを入れ替わりで使えるこのモデルにした」と島津氏は語る。
ところで、認証と言えば、島津氏は画像認証システムの「パズルCAPTCHA」で知られるCapy出身の人物だ。Capyの中で同じことを実現してもよさそうだけれど、同社を離れ、新会社を設立した経緯について島津氏は「画像認識はブラウザでしか使えない技術。IoTなどが普及するにつれて、その限界を感じるようになっていた。また、当時のユーザーからも『お金は払うから、画像認識の先のセキュリティもつくってくれ』というような声もあり、ニーズを肌で感じていた」と話す。
「セキュリティマーケットは情報の非対称性が大きい市場。日本はシステムインテグレーターの存在が大きく、エンドユーザーにはセキュリティに詳しい人がいない。また、そもそも2013年以前は『なりすまし攻撃』が少なかったので、ベンダー側にもあまり詳しい人がいなかった。だから、海外のサービスが日本に入っていこうにも、チャネルがないし、コストが高いから売れないという状況があった。そこで、日本産システムを、日本の会社が、日本語で提供するというのは大きなビジネスチャンスがあるのではないかと考えた」。
ソニーとISIDと手を組み、販売チャネル強化と海外進出狙う
今回の出資に参加したISIDは、金融機関向けソリューション、製品開発ソリューションをはじめとする幅広い分野で事業を展開する。また、グローバルFinTechイベント「FIBC」を毎年主催していることなどでも知られている。そのISIDと手を組むことで、カリウスは「日本のセキュリティマーケットで6割を占める」(島津氏)金融機関へのリーチを高めていく。
また、海外比率の高いソニーグループのSony Innovation Venturesが資本参加することにより、カリウスは将来的な海外展開も視野に入れているようだ。「Apple Payやeウォレットが急速に普及するインド、そして、少し遅れて東南アジアなどでニーズが高くなると考えている」と島津氏はいう。
将来的なビジネス構想について島津氏は、「すべてのモノがインターネットにつながると、最終的には様々なモノとIDがひも付けされた世界になる。最初はサイバーセキュリティが私たちの事業領域にはなるが、徐々にリアルのセキュリティにも移行していく構想がある」と話してくれた。
2015年に創業のカリウスにとって、今回が同社初の外部調達となる。