創業2年目のセキュリティ系スタートアップ、「Capy」がイスラエルに行くという。Microsoft Venturesが世界6拠点で展開しているアクセレータープログラム「Microsoft Accelerator」に採択され、共同創業者でCEOの岡田満雄氏と同CTOの島田幸輝氏はイスラエルでバッチプログラムに参加するという。日本を離れる直前の島田CTOにTechCrunchは話を聞いた。
Capyは法人登記自体は米デラウェア州なので法的には米企業だが、創業者は2人とも日本人。そういう意味では日本チーム。イスラエルでのアクセレーターに参加するということで、これは珍しい。市場をグローバルに捉えて世界を目指す、というとき、多くの日本人はアメリカやアジアに目を向けるが、セキュリティ系企業を多く輩出するイスラエルを目指すのは、Capyにとっては自然なことだったようだ。「Microsoftのアクセラレタープログラムがセキュリティに特化しているのが決め手。プライバシーポリシーのことも含め、幅広いセキュリティ・ソリューションを考えているので、さまざまな専門家からの意見が聞ける」(島田CTO)のがポイントだったという。Microsoft Venturesは2年前からイスラエルのアクセレーターを開始しているが、セキュリティとヘルスケアの2領域に特化している。過去の参加社数は48社。Capyが参加するのは5回目のバッチプログラムだという。メンター数は123名と多く、技術的サポートだけでなく、法務やマーケティング、PRなどさまざまな点で包括的支援をするのが特徴だそうだ。
Capyといえば2013年にIVSのLaunch Padで優勝したことから「パズルCAPTCHA」というアイデアをご存じの方も多いだろう。1つだけ穴が残ったジグソーパズルに最後のピースをはめることで、ボットをはじくというものだ。現在広く使われているCAPTCHAは、Googleが買収して今も使っているreCAPTCHAのように歪んだ文字列を人間に読ませるというものが主流だが、これは皆さん良くお苛立ちのように、「人間のオレにすら読めねぇよ!」というレベルにまで達していて結構やっかいな問題となっている。サービス提供側からしても、めんどうなCAPTCHAを押し付けることはユーザービリティ低下につながり、離脱率の増加は機会損失となる。
Capyは人間には直感的に答えが分かるし、タッチデバイス全盛のいま、指でさっと操作ができるという良さがある。
IVSのコンテストでCapyが優勝したとき、そのあまりにもシンプルなアイデアから「えっ、そんなアイデアで大丈夫?」と思ったエンジニアは少なくなかったようだ。正直ぼくも、エッジ検出は画像処理の基本だし、簡単に突破できてしまうのではないかと思った。ただ、CEOの岡田氏は米オレゴン大学と京都大学の大学院で情報学を専攻し、暗号研究をしていた人物。一瞬で突破できる「スネークオイル」を売ろうなんて考えるわけがない。
そう思ってCTOの島田氏にこの辺のことを聞いたところ、単純に画像処理で正解の座標を求めてピースを動かすだけでは、このパズルCAPTCHAは突破できないのだという。人間らしい動かし方かどうかを同時に見ているのだという。……と、いうことは、サンプルとして人間に数百回もやらせた上でその動きをデータセットとして用意しておいて、適当なノイズを入れて攻撃すれば突破できるのでは? と、ぼくは食い下がった。
この問いに対する島田氏の回答は明快だった。
つまるところCAPTCHAというのは人間とコンピューターを機械的に区別するための仕組みだが、これはスパム対策と同じでイタチごっこの側面がある。もし突破するような攻撃が出てくれば、すぐに追加の仕組みを入れていくことで、「ハッカーは、こちら(Capy)の学習を超えないといけない。(Capyが専門にやることで)どんどんハッカーが解くより速く進化させることができる。導入企業には、ハッカー対策の対抗戦をアウトソースしてもらうというイメージ」と説明する。手の内を明かしすぎるとハッカーたちに有利になるため詳しくは教えてもらえなかったが、画像処理自体も実は結構むずかしくなっているのだという。つまり、テキスト文字列をユーザーに読ませるという課題での人間とコンピューター(ハッカー)の戦いはもうとっくに終わっているので、次のやり方で新たなレースを始めたということになるだろうか。
もう1つ、11月をめどに「Capyアバターキャプチャ(仮名)」のリリースを予定しているという。これは、「お皿の上に料理をのせる」「ゾウがいたら餌をあげる」「帽子があれば、女の子にかぶせてあげる」というような、絵の全体的な意味を理解して、「これが期待されている動作だろう」という操作(画面上のモノを動かす)を人間が行うものだ。この絵のパターンは事前にかなりの数が用意されているが、その個別の意味解釈を事前にハッカーが予想してコンピューターに教えておくことは極めて難しいという。なぜならパターンの追加は人間には容易だが、そうしたパターン全てに対応する汎用的な知識をコンピューターに教えるというのは、事実上AIを実装するようなものになるからだ。
Capyアバターキャプチャでは、絵のバリエーションを自動生成する仕組みを入れていて、これはコンピューターがいくら学習しても追いつけないだろうという。頭にかぶるものは帽子だけではないし、お皿に載せるものも特定の料理や果物だけではない。人間はそういう知識を膨大にもっている。また、導入企業は、自社IPのキャラクターなどを入れて簡単にカスタマイズできる。Capyでは、このアバターキャプチャはオンラインゲームと親和性が高いだろうと見ているという。
Capyのように画像ベースのCAPTCHAが登場してきたのには、タッチデバイスが増えているという事情以外にも、「文字の判別能力は、コンピュータと人間でほとんど変わらなくなってきている」(島田CTO)ということがあるそうだ。人間にギリギリ読める文字であれば、コンピューターにも読めるし、コンピューターに読めないほど歪んだ文字は、もはや人間にも読めないということだ。これはOCRの精度向上という開発インセンティブが存在するからだ。名刺の自動読み取りや古文書の電子化など、画像中の文字認識というのは社会的需要が大きいのでアルゴリズムの研究が進んでいる。「ディープラーニングを使うと歪んだ文字や写真に写った文字でも99.8%は読めてしまう。画像の中に斜線を入れただけではほとんど意味がない」のだという。
ちなみに、いずれ文字認識以外でも人間とコンピューターの差はなくなるのだろうか? という、ややSFチックなぼくの問いに、島田CTOは「人間とコンピューターの差がなくなってきたときに残るのは、究極的には芸術しかないとぼくは思っています」と笑う。ある音楽がモーツアルトかどうかはコンピューターにも判別できる。しかし、その音楽が「美しいかどうか」は人間にしか分からない。
と、そういう数十年後に起こるかもしれない未来の話は置いておいておこう。
Capyは「画像を動かして、特定の位置にはめる」「デバイスごとに最適なキャプチャを出す」という特許を日米中韓、イスラエル、EU、インドで申請中という。実装はJavaScriptによるので、ブラウザが使える環境なら導入可能。ただ、CAPTCHAというのはパスワードの代わりになるわけじゃない。CAPTCHAはボットを防ぐ仕組みだ。一方、悪意のあるハッカー(人間)の侵入を防ぐために、Capyは最近リスクベース認証の製品として「Capyリスクベース認証」をリリースしている。IPアドレスや使用ブラウザ、言語、ログイン時間などの情報から「その人らしい」ログインか、あるいは不正利用者によるログインであるかを判別(推定)するというものだ。たとえばそのユーザーにとって初めて国であるなど不自然な場所からのアクセスであれば、その時点でログインをさせない、あるいは別の認証を要求するといったことが可能になる。
リスクベース認証はFacebookやGoogleなどエンジニアリングをコアに置くネット企業では数年前から導入されているが、ユーザーとしていちばん対応してほしい金融系のサービスなどでは導入が遅れている。これはリスクベース認証の「ソリューション」が一般に高価なことにも原因がある。Capyでは、1ユーザーあたり月額10円が最高価格で、さらにボリュームディスカウントを適用することで、地方銀行などITに割ける資金力に余裕のない層もターゲットとしたいと島田氏は話す。競合製品が数億円であるのに対して、数百万円という運用コストになるという。一方、Capyキャプチャのほうは1回の表示あたり0.8円が上限でボリュームディスカウントがある。低価格に抑えることで大手に使ってもらい、エンドユーザーを増やすのが狙い。すでに大手ネット系サービスなどで導入例があるという。
Capyは現在フルタイムの社員は5人。黒字化目前で、いまは一気に拡大するフェーズだという。2011年に個人投資家からシード資金を調達し、2013年5月にはジャフコから約1億円のシリーズAの資金調達をしている。