ダブリンに拠点を構えるEvervaultは、APIを介する暗号化を販売する開発者向けセキュリティのスタートアップだ。Sequoia、Kleiner Perkins、Index Venturesなどの大手投資家から支援を受けている。同社は2021年8月中旬、クローズドベータを終え、暗号化エンジンへのオープンアクセスを発表した。
E3と称される同社の暗号化エンジンを試す待機リストには、約3000人の開発者が登録していると同社は述べている。
クローズドプレビューに参加している「数十の」企業には、ドローン配送会社のManna、フィンテックスタートアップのOkra、ヘルステック企業のVitalなどが名を連ねている。Evervaultによると、同社のツールは4種のデータ(アイデンティティおよび連絡先データ、財務および取引データ、健康および医療データ、知的財産)の収集や処理を必要とするコアビジネスを持つ企業の開発者をターゲットにしているという。
E3で提供する最初のプロダクトスイートはRelayとCagesだ。Relayは、開発者がアプリの入出力時にデータを暗号化および復号化するための新しい方法を提供する。Cagesは、AWS上で実行される信頼性の高い実行環境を使用して、プレーンテキストデータを処理するコードを開発者スタックの残りの部分から分離することで、暗号化されたデータを処理する安全な方法を提供する。
創業者のShane Curran(シェーン・カラン)氏によると、EvervaultはAmazon Web ServicesのNitro Enclavesにプロダクトをデプロイした最初の企業になるという。
「Nitro Enclavesは基本的に、コードを実行でき、データ自体の中で実行されるコードが本来実行されるべきコードであることを証明できる環境です」と同氏はTechCrunchに語っている。「AWS Nitro Enclavesに関するプロダクトのプロダクションデプロイメントを行ったのは当社が最初です。そのアプローチを実際的に遂行する当事者という意味では、私たちが唯一の存在だと言えるでしょう」。
データ侵害がオンラインで深刻な問題であり続けていることは、もはや周知の事実であろう。そして残念なことに、アプリメーカーによる杜撰なセキュリティ対策、さらにはユーザーデータの安全性に対する配慮の全面的な欠如について、プレーンテキストのデータが漏洩したり不正にアクセスされたりした場合に責任を問われる頻度が高くなっている。
アプリエコシステムのこの不幸な「特性」に対するEvervaultの解決策は、開発者がAPIを介する暗号化を極めてシンプルに行えるようにすることであり、暗号化キーの管理などの負担を軽減するものである。(「DNSレコードを変更して当社のSDKを含めることで、5分でEvervaultを統合」というのが、同社のウェブサイト上の開発者を惹きつけるピッチだ)。
「私たちが行っている高いレベルの取り組みにおいて【略】私たちが真に注力しているのは、どのような観点からもセキュリティとプライバシーにまったくアプローチしていない(という状況にある)企業を、暗号化で稼働状態にし、少なくとも、制御機能を実際に実装できるようにすることです」とカラン氏は語る。
「最近の企業が抱える最大の問題の1つとして、企業がデータを収集した後、そのデータは実装とテストセットの両方に散らばっているような状態になっていることが挙げられます。暗号化の利点は、データがいつアクセスされ、どのようにアクセスされたかを正確に把握できることにあります。ですから、データに何が起こっているのかを確認し、それらの制御を自分たちで実装するためのプラットフォームが提供されるだけでいいのです」。
何年にもわたって発生してきたおぞましいデータ漏洩スキャンダル(そしてデータ漏洩デジャヴ)、さらには欧州の一般データ保護規則(GDPR)をはじめとするデータ保護法の改正により脆弱なセキュリティやデータの悪用に対する罰則が強化されたこともあり、企業幹部はデータを適切に保護する必要性に一層の注意を払うようになっている。こうした中「データのプライバシー」を提供することを約束するサービスをアピールし、データを保護しつつ開発者が有用な情報を抽出できると主張するツールを売り込むスタートアップが増えている。
関連記事
・米T-Mobileで顧客データ漏洩、犯罪者フォーラムで販売
・EUがAmazonに過去最大約971億円の罰金、ターゲット広告目的で顧客データを使用
Evervaultのウェブサイトはまた「データのプライバシー」という用語を次のような意味の定義として展開している。「プレーンテキストのユーザー / 顧客データにアクセスできる権限のない当事者はいない、ユーザー / 顧客および権限のある開発者は誰がいつどの目的でデータにアクセスできるかを完全に制御できる、プレーンテキストのデータ侵害を終結する」(つまり、暗号化されたデータは理論上はまだ漏洩する可能性があるが、重要なのは、情報が強固に暗号化されている結果、保護されたままになるということだ)。
この分野のスタートアップが商用化しているテクニックの中に、準同型暗号がある。準同型暗号とは、暗号化されたデータを復号することなく分析できるプロセスだ。
Evervaultの最初のオファリングはそこまで踏み込んでいない。ただし同社の「暗号化マニフェスト」には、この技術を注視していると書かれている。そしてカラン氏は、このアプローチをいずれは取り入れる可能性が高いことを認めている。しかし、同社の最初の焦点は、E3を稼働させ、幅広い開発者を支援できるオファリングを提供することにあると同氏はいう。
「完全な準同型(暗号化)はすばらしいことです。通常のサービスを構築しているソフトウェア開発者をターゲットにする場合、最大の課題は、その上に汎用アプリケーションを構築することが非常に難しいことにあります。そこで私たちは別のアプローチを採用しました。そのアプローチとは基本的に、信頼できる実行環境を使用することです。そして私たちはAmazon Web Servicesチームと協力して、Nitro Enclavesと呼ばれる彼らの新しいプロダクトの最初のプロダクションデプロイメントを行いました」とカラン氏はTechCrunchに語った。
「私たちがより重視しているのは、基盤となる技術そのものではなく、すでにこの分野に多額の投資をしている企業のために最善のセキュリティプラクティスを採用し、暗号化がどのように機能するかについて知識を持たないような平均的な開発者でも利用できるようにすることです」と同氏は説明する。「Evervaultが他のプライバシーやセキュリティ企業と違う最大のニュアンスはそこにあります。私たちが開発を進めるのは、何かを構築するときに通常はセキュリティについて考えることなく、それを中心にすばらしいエクスペリエンスを築こうとしている開発者のためです。それはまさに、『アートの始まり』の間にあるギャップを埋め、それを平均的な開発者にもたらすことに他なりません」。
「時間の経過とともに、完全な準同型暗号化はおそらく私たちにとって簡単なものになりつつあるのですが、平均的な開発者が立ち上げて実行するためのパフォーマンスと柔軟性という点では、現在の形式をベースにして構築することはあまり意味がありませんでした。しかし、そこに私たちは注目しています。私たちは学究的環境から生まれてくるものを実際的に精査しています。現実の環境に適合させることができるかどうかを検討しているのです。しかし当面は、今てがけているような信頼できる実行環境がすべてです」とカラン氏は続けた。
カラン氏によると、Evervaultの主な競合相手はオープンソースの暗号化ライブラリであり、開発者は基本的に自分で暗号化作業を行うことを選択している。そのため、同社はオファリングのサービス面に照準を合わせている。開発者が暗号化管理タスクを実行しなくて済むようにすると同時に、データに明確に触れる必要がないようにすることで、セキュリティリスクを軽減する。
「この種の開発者たち、つまりすでに自分たちで暗号化を行うことを考え始めている開発者たちを考慮すると、Evervaultの最大の差別化要因としてまず統合のスピードが挙げられますが、さらに重要な点は暗号化されたデータの管理そのものにあります」とカラン氏。「Evervaultではキーを管理していますが、データは保持しておらず、お客様は暗号化されたデータを保持していますが、キーは保持していません。つまり、Evervaultで何かを暗号化したいと思っても、すべてのデータについて、プレーンテキストで保有することは決してありません。一方、オープンソースの暗号化では、暗号化を行う前のある時点でプレーンテキストデータを保有する必要があります。これが私たちが見ている基本の競合他社です」。
「もちろん、Tim Berners-Lee(ティム・バーナーズ-リー)氏のSolidプロジェクトのような他のプロジェクトもいくつかあります。ですが、暗号化に対して開発者エクスペリエンスに焦点を当てたアプローチに特化しているところが他にあるかどうかは明確とは言えません。APIセキュリティ企業は明らかに数多く存在します【略】しかし、APIを介する暗号化は、私たちが過去に顧客との間で出会ったことのないものです」と同氏は付け加えた。
関連記事:WWWの父ティム・バーナーズ=リー氏のInruptがプライバシープラットフォームSolidのエンタープライズ版をリリース
Evervaultの現在のアプローチでは、アプリメーカーのデータはAWS上の専用の信頼できる実行環境でホストされていると見ているが、情報は今のところプレーンテキストとして存在している。しかし、暗号化が進化するにつれ、アプリがデフォルトで暗号化されるのではなく(Evervaultの使命は「ウェブを暗号化する」ことだとされている)、ユーザーデータがいったん取り込まれてから暗号化されれば、すべての処理が暗号化されたテキスト上で実行されるため、ユーザーデータを復号する必要がなくなる未来を想像することも可能になる。
準同型暗号は当然のことながらセキュリティとプライバシーの「聖杯」と呼ばれており、Dualityのようなスタートアップはそれを追い求めて奔走している。しかし、現場、オンライン、そしてアプリストアでの現実は、はるかに初歩的なままだ。そこでEvervaultは、暗号化のレベルをより一般的なものにしようとすることには大きな価値があると考えている。
カラン氏はまた、多くの開発者は収集したデータを実際にはあまり処理していないと指摘し、そのため、信頼できる実行環境内でプレーンテキストデータをケージングすることで、いずれにしてもこうした種類のデータフローに関連するリスクの大部分を取り除くことができると主張している。「現実には、最近のソフトウェア開発者の多くは、必ずしも自分でデータを処理しているわけではありません。彼らはユーザーから集めてサードパーティのAPIと共有しているだけなのです」。
「Stripeを利用して何かを構築しているスタートアップを見てみると、クレジットカードはシステム内を流れていますが、最終的には必ず別の場所に渡されることになります。これは、最近のスタートアップのほとんどが行っている傾向だと思います。ですから、Amazonのデータセンターのシリコンのセキュリティに依存して実行を信頼することができるのは、ある意味最も理に適っていることです」。
規制面では、このデータ保護のストーリーは、通常のセキュリティスタートアップの展開よりも少し微妙なところがある。
欧州のGDPRは確かにセキュリティ要件を法制化しているが、旗艦的なデータ保護レジームは、個人データに付随する一連のアクセス権も市民に提供している。これは「データプライバシー」に関する開発者ファーストの議論では見落とされがちな重要な要素だ。
Evervaultは、チームの初期の焦点は暗号化であり、データアクセス権は今のところ意識の中心にはなっていないことを認めている。しかしカラン氏は「時間をかけて」「アクセス権もシンプル化する」プロダクトを展開する計画だと語ってくれた。
「今後、Evervaultは次の機能を提供していく予定です。暗号化されたデータのタグ付け(例えばタイムロックデータの利用)、プログラム的な役割ベースのアクセス(例えば従業員がUIでプレーンテキストのデータを見れないようにする)、そしてプログラム的なコンプライアンス(例えばデータのローカリゼーション)です」と同氏はさらに説明した。
画像クレジット:Janet Kimber / Getty Images
[原文へ]
(文:Natasha Lomas、翻訳:Dragonfly)