はじめに

世界で猛威をふるうコロナウイルス の影響で、MWCやFacebook Developer Conferenceの開催が中止される中、毎年カリフォルニア州サンフランシスコ市で開催される世界最大のセキュリティカンファレンスのRSA Conference（RSAC） 2020が開催された。

本稿では、本カンファレンスに出展していたスタートアップの動向を俯瞰し、今後のセキュリティトレンドについて考察する。

(1) カンファレンス概要

RSACは、暗号化技術に関するテックカンファレンスとして1991年から毎年開催されている。現在は、暗号化だけでなくセキュリティに関する最新動向に関する基調講演、トレーニング・ワークショップ、スタートアップコンテストなどの500以上のセッションが開催され、700社近い出展者、45,000人以上の参加者が一堂に会す。

会場はサンフランシスコ市のMoscone Center（North、South、West）。昨年、Moscone Center Southの改装が完了してフロア面積が増えたため、例年とは異なり近隣ホテルのカンファレンスルームは利用されなかった。ホテルにとっては収入機会の損失だろうが、参加者にとってはすべてのプログラムに一つの会場で参加できるようになったことで利便性が格段に上がったはずだ。

(2) コロナウイルスによる影響

RSAC 2020は、本年2月18日の米国政府の中国からの入国拒否を受け、出展者数、来場者数の減少は避けられず、最悪の場合、中止もやむを得ない状況にあった。幸いにも開催中止は避けられたものの、コロナウイルスの拡大を考慮して、毎年RSACに出展しているゴールドスポンサーのAT&T社、プラチナスポンサーのIBM社、ゴールドスポンサーのVerizon社などの大企業は出展を見合わせた。出展を見合わせた大企業は、例年大きなスペースを確保して展示していたが、今年はキャンセルされたスペースにはソファーや椅子が置かれて休憩スペースとなっていた。

【写真2】休憩所になった出展を見合わせた企業のスペース

その他にも例年では見られない光景があった。カンファレンスに参加するためにはカンファレンスパスを受け取らなければならないのだが、受付会場に入ると、いくつもアルコール消毒液が置いてある。また、カンファレンスパスを印刷するためのパソコンの隣にはアルコール除菌されたウェットティッシュが置かれていた。これらは、例年では見られない光景だ。

【写真3】コロナウイルスを考慮した除菌セット

後述するInnovation Sandbox Contestは、例年だと満員で立ち見が出るくらい人気のプログラムだが、今年は会場の後ろの方の席は空席が目立った。展示会場は見た目は多くの参加者で賑わっているように見えたが、毎年RSACに出展している政府の責任者は、「今年は来場者数が少ない」と残念そうに話をしてくれた。

【写真4】空席が目立つInnovation Sandbox Contest会場

RSAC 2020におけるスタートアップトレンド

【写真5】Innovation Sandbox ContestのFinalists

(1) Innovation Sandbox Contestに見るスタートアップトレンド

(1)-1. 概要

RSACにはいくつも目玉があるが、そのうちの一つに、先述したInnovation Sandbox Contestがある。RSACの事務局が応募があったスタートアップの中から10社を厳選し、各スタートアップが、審査員の前で3分間のピッチを行い、その後の3分間で審査員からの質問に答える。

審査基準は以下の5つ。

1. 誰のどんな課題を解決しようとしているのか
2. 排他的なアイデアの独自性
3. 技術・サービスが与えるインパクトの大きさ
4. チームメンバー（アイデアを実現できるメンバーであること）
5. 市場開拓状況（提供済み、ベータテスト中など）

Innovation Sandbox Contestは今年で15回目を迎える。過去にInnovation Sandbox Contestに参加した企業のうち、48社が大企業に企業買収され、受け取った総投資額は52億ドルを超える。そのため、登壇企業も審査員も真剣だ。

【写真6】Innovation Sandbox Contestの審査基準

(1)-2. Finalist紹介

RSAC 2020 Innovation Sandboxに登壇した10社は以下のとおりだ（発表順）。

1) Vulcan Cyber社

Vulcan Cyber社は、企業のサイバーリスクを軽減するための自動修復機能を実装した脆弱性マネジメントプラットフォームを提供しているスタートアップ。同社の自動化技術は、脆弱性の修復作業を効率化させる。

【写真7】Vulcan社のサービス概要

2) Tala Security社

Tala Security社は、AIを駆使してエンドポイントのためのWebセキュリティを提供しているスタートアップ。同社のAIエンジンが常にWebサイトをチェックし、エンドポイントを脅威から守ってくれる。

【写真8】Tala社のサービスコンセプト

3) Sqreen社

Sqreen社は、サイバーアタックからSaaSアプリを守るソリューションを提供しているスタートアップ。同社のソリューションは複雑な設定や環境の変更が不要で、数分でアプリ内にWAF（Web App Firewall）を構築することができ、アプリの信頼性を高めることができる。

【写真9】Sqreen社のシステム連携事例

4) SECURITI.ai社

SECURITI.ai社は、PrivacyOpsと呼ばれるAIベースのプライバシー・マネジメントプラットフォームを提供しているスタートアップ。同社は各国のデータプライバシーに関する法令にも準拠し、プライバシーの保護だけでなくRPA（Robotic Process Automation）にも対応している。

【写真10】SECURITY.ai社のシステム概要

5) Obsidian Security社

Obsidian Security社は、SaaS向けにクラウドベースの脅威の検知・対応ソリューションを提供しているスタートアップ。同社はメジャーなサイバー攻撃をブロックした実績があり、アプリケーション、ユーザー、データを横断的に可視化できる。

【写真11】Obsidian社のサービス連携例

6) INKY Technology社

INKY Technology社は、画像認識、自然言語分析を組み合わせたEメールセキュリティ・ソリューションを提供している。主な利用方法は既存のEメールセキュリティ・ソリューションと組み合わせ、それらが取りこぼした脅威をINKY Technology社がブロックするというもの。

【写真12】Inky社による認証画面

7) ForAllSecure社

ForAllSecure社は、世界中のソフトウェアを安全にしようというミッションを持って活動しているスタートアップ。同社は、CMU (Carnegie Mellon University) Researchから生まれた会社で、米国防総省やFortune 1000の通信、航空宇宙、自動車、ハイテクなどの企業が同社のサービスを利用している。

【写真13】ForAllSecure社の導入実績

8) Elevate Security社

Elevate Security社は、セキュリティ問題の95%を占める人的エラーを削減するための行動分析プラットフォームを提供しているスタートアップ。同社のプラットフォームは従業員の振る舞いから作成したセキュリティスコアをもとに、人的エラーが起きないようにそれらを改善することに貢献できる。

【写真14】Pitch中のElevate Security社のco-founderのMasha Sedovaさん

9) BluBracket社

BluBracket社は、ソースコードに潜む脆弱性をGitHubなどのDevOpsツールと連携して検知できるソリューションを提供しているスタートアップ。同社はRSAC 2020直前に650万ドルの資金を集め、注目を集めていた。ソースコード、バイナリデータに潜む脆弱性検知ソリューションは非常にホットで、RSAC 2020で多くのスタートアップが出展していた。

【写真15】BluBracket社のソースコードチェックエコシステム

10) AppOmni社

AppOmni社は、企業向けSaaSのセキュリティ・マネジメントプラットフォームを提供しているスタートアップ。同社はSaaSのAPIをスキャンし、非常に重要で取り扱いに注意が必要なデータに対して、脅威の検出、管理、設定変更を支援する。

【写真16】App.Omni社のマネジメントダッシュボード

(1)-3.結果発表

登壇した10社のソリューションを大別すると、脆弱性管理（1社）、Webセキュリティ（1社）、クラウドアプリケーションセキュリティ（3社）、プライバシー管理（1社）、Eメールセキュリティ（1社）、ソフトウェアセキュリティ（2社）、行動分析（1社）となる。スタートアップの分布数は現在および将来の市場ニーズを反映する。大別したソリューションの数を見ると市場はクラウドアプリケーションを求めているのではないだろうか。

Innovation Sandbox Contestでは、ピッチ終了後に審査員が優勝社を決めるまでの間、45分間のデモタイムが設けられる。デモタイムでは、会場のサイドに設けられた10社の展示コーナーで自由に出展社と話ができる。

展示コーナーの人だかりを見る限り、BluBracket社に人が集まっていたため、「今年はBluBracket社が優勝するのかな？」と思ったが、そうはならなかった。

【写真17】トロフィーを持つ優勝者を囲んでのFinalists、審査員、MCとの記念撮影

今回、優勝の栄冠を手にしたのは、AIベースのプライバシー・マネジメントプラットフォームを提供しているSECURITI.ai社だった。最近の3年間ではプライバシーに関するセキュリティソリューションは2018年のBigID社に続き2社目だ。BigID社が優勝したときは、直前にFacebook社のプライバシー問題が発覚し、参加者の誰もがBigID社の優勝を疑わなかった。それから2年が経って、SECURITI.ai社が優勝したということで、プライバシーは投資家を含めた市場にとって未だに関心が高いことを改めて認識した。

(2) 展示会場に見る注目ポイント

RSACの展示会場は毎年、Moscone Center NorthホールとSouthホールだ。Northホールは比較的大企業の展示が多く、スタートアップはSouthホールに集まる。この数年は、NorthホールとSouthホールをつなぐ地下通路も展示会場として利用されるようになり、スタートアップが好んでその場所に出展している。

【写真18】多くの人で賑わう若いスタートアップが集まるEarly Stage Expo

まずは、これまでに展示会場で関心を集めたソリューションを振り返るとする。2017年は、CASB（Cloud Access Security Broker）で、CASBは2017年最大のトレンドと誰もが認めるところだろう。2016年には多くのスタートアップが大企業に買収されたこともあり、大企業、スタートアップが競ってCASBを展示していた。さらに2017年は、振る舞い検知技術をベースとするものであったが、IoTセキュリティに関する展示が登場し始めた。

2018年はSOAR（Security Orchestration Automation Response）に注目が集まり、Demisto社、Phantom社などのスタートアップが大企業に買収される年となった。SOARについては、2018年当時は、オーケストレーション機能が注目されていたが、2019年ではAIと連携した自動化機能に注目がシフトしていった。

2019年は、アタックシミュレーションに注目が集まり、オンプレミス型、クラウド型、ハイブリッド型と利用者のニーズに合わせたセキュリティシミュレーションが登場。非営利の研究団体のMITRE ATT&CKが作成した攻撃シナリオに対応したスタートアップも登場するようになった。

2020年に筆者が注目したのは、Eメールセキュリティだ。Eメールセキュリティを提供しているAgari社のブースは年を追うごとに大きくなり、セキュリティマーケットプレイスを提供しているAVANAN社も、Office 365と連携したEメールセキュリティの提供に力を入れていた。Slackなどのチャットコミュニケーションアプリを利用する企業やスタートアップは増えているが、Eメールは依然としてビジネスアプリの中心的な存在で、Eメールセキュリティは欠かせない機能ということであろう。

注目すべきは、AI、自然言語分析、画像認識技術を組み合わせて、巧妙化するフィッシングアタックを防げるように進化しているということだ。最近のEメールセキュリティのトレンドは、Proofpoint社などに見られるように、ハードウェアのリプレイスを目的とせず、逆に連携することでセキュリティ性を向上させようというものだと思う。ユーザーがすでに導入しているハードウェアと連携させることで、ユーザーにとっても導入ハードルが低く感じるはずだ。

もう一つ注目した点は、ソフトウェアもしくはアプリケーションの脆弱性（Vulnerability）管理だ。ハードウェアやインフラのパッチ管理は以前からあるが、ソフトウェア、アプリケーションの脆弱性管理はそれほど多くない。イスラエル出身のスタートアップのVdoo社やRSAC 2020にも出展していたIntezer社などがIoTアプリに潜む不正コードや脆弱性をソースコードレベルで検知するソリューションを提供しているが、RSACではInnovation Sandbox Contestに参加したBluBracket社などが、GitHubやJenkinsなどの開発ツールと連携し、複数の開発者が共同で開発したソースコードに不正コードや脆弱性が紛れ込んでいないかチェックするサービスを展示していた。

(3)RSAC 2020で興味を持ったスタートアップ

RSAC 2020で筆者は、全く新しいコンセプト、市中技術とのインテグレーションの可能性、マーケットニーズを頭の片隅に置いてスタートアップが多く集まるエリアを中心に出展社と話をした。以下にRSAC 2020で気になったスタートアップを紹介する。

(3)-1. Atakama社

暗号化技術の開発に端を発しているRSACらしく、Atakama社は、ファイルを暗号化して安全に共有できる仕組みを提供している。同社は、ファイルが特定のフォルダーに保存されると直ちにAES-256で暗号化する。そして、暗号化に使用した暗号キーを分断して、スマートフォンやパソコンに保存する。ユーザーがファイルを復元する場合、スマートフォンやパソコンなどで2FA（2 Factor Authentication）認証する必要がある。

現時点では、特定のフォルダーを用いて特定のメンバー間で安全にファイルを共有する仕組みになっている。また、Box、Google Drive、OneDriveとも連携していて、特定フォルダー方式でなくても、暗号化されたファイルを共有することができる。

【写真19】Atakama社の2FA（2 Factor Authentication）認証画面

(3)-2. Polarity社

Polarity社は、パソコンのスクリーンをピクセル単位で分析し、スクリーンに重要な情報が表示されていないかを確認できるソリューションを提供している。例えば、画面上にIPアドレスの情報が表示されていた場合、それを認識して、表示されているIPアドレスの詳細情報を表示する。Poliarity社は2014年に設立され、Kaiser Permanente社やShasta Ventures社などから1,100万ドル以上の資金を調達している成長過程にあるスタートアップだ。

【写真20】Poliarity社のダッシュボード

(3)-3. Flashpoint社

CASBを日本でマーケティングしていたときに、「クラウドアプリケーションを安全に利用する環境も必要だが、企業内アプリケーションを安全に利用できる環境が欲しい。」とよく聞いた。前述のInnovation Sandbox Contestで紹介したSqreen社やObsidian Security社のソリューションが、クラウドアプリケーションの安全性を確保するものであるのに対し、Flashpoint社は、同社のDeep & Dark Webデータや専門知識をもとに、企業が開発した企業内アプリケーションに潜む脅威を検知することもできるソリューションを提供している。Flashpoint社は2010年に設立され、8,300万ドル以上の資金をCisco Investments社、Bloomberg Beta社などの投資家から調達している。

(3)-4. Sysdig社

Sysdig社は、コンテナ環境のセキュリティソリューションを提供している企業だが、イメージファイルに潜む不正コード、脆弱性を検知するソリューションも提供している。GitHubやJenkinsなど、開発者に馴染みが深いDevOpsアプリと連携しているため、今までの開発フローを変えることなく、イメージファイルの安全性を確認・改善することができる。

例えばシステムを拡張する際、イメージファィルを生成し、それを使って複製することがある。イメージファイルを第三者から渡された場合、Sysdig社のソリューションを利用すれば、そのイメージファイルが安全なものなのかどうか、即座に確認することができる。

Sysdig社は、現在BluBracket社のようなソースコードの脆弱性チェック機能は提供していないが、同社のマイルストーンにはソースコードの脆弱性チェック機能の提供が組み込まれているそうだ。

Sysdig社は、2013年に設立され、250人以上のエンジニアを抱える企業だ。資金調達も順調で、既に1億9,000万ドル以上の資金を調達している。

(4) Automotive系セキュリティの不在

CESやAutomotive関連のカンファレンスには、キーマネジメント、内部通信の暗号化などのセキュリティソリューションが数多く展示されているが、RSACにはAutomotiveをターゲットとするセキュリティベンダーは参加していない。単にRSACの参加者の属性が違うからなのかもしれないが、CESやMWCがそうであったように、Automotiveを取り込むとカンファレンスとしてはさらに盛り上がるのではないかと思う。

おわりに

コロナウイルスの影響でRSAC2020の出展者、来場者はともに減少したが、最終的には展示会場は活気にあふれていた。イスラエルからやってきたReSec社のディレクターのJohn Melnikov氏は、「RSACが始まる前は心配だったけれど、今年も多くの人と話ができてよかったよ。」と話をしてくれた。個人的には、このくらいの混雑がちょうど良く、参加者は各ブースで企業やスタートアップとじっくりと話ができたのではないだろうか。

セキュリティの分野では、常に新しい脅威が生まれ、新しいソリューションが提供されるという、いわゆる「いたちごっこ」が続いている。それを反映するように、ここ数年のRSACでのホットなトピックスは、ランサムウェア、CASB、IoTセキュリティ、アタックシミュレーション、SOARと変わり続けている。一過性のトピックスもあれば、引き続き成長を続けるトピックスもある。そのため、RSACはセキュリティトレンドを知るための定点観測の場としては、必要不可欠なカンファレンスだと思う。

今回のRSAC 2020には、過去に人気を集めたトピックスがどのくらい成長しているのか、新たなトピックスが生まれているのか、を期待して参加したが、アタックシミュレーション、SOARは成長を続けていることが確認できた。そして、驚きだったのは、再びEメールセキュリティにスポットライトが当たっていることだ。企業アプリとしてEメールは欠かせないビジネスツールであるとともに、ハッカーにとってEメールは、企業ネットワークに侵入する最大の手段でもある。企業ネットワークは強固に守られているが、Eメールのユーザーは全員がセキュリティのエキスパートではない。"Eメールに関するセキュリティ知識が多くない人でも安全にEメールを利用できるようにする"というのが、Eメール・セキュリティプロバイダーの訴求ポイントなのだろう。Eメール・セキュリティソリューションを提供しているAgari社は毎年のようにブースが大きくなり、注目度も高まっている。

セキュリティについては比較的言葉の壁が低いこともあり、RSACで話題となったソリューションは時をおかずに日本に上陸すると思われる。Eメールセキュリティが日本で改めてスポットライトを浴びる日も近いのではないだろうか。

既存のシステム、抱えている課題により注目するポイントは企業、担当者それぞれで違うと思うが、RSACはあらゆるセキュリティニーズに対する答えを見つけられるカンファレンスだ。セキュリティに関わる仕事、セキュリティに興味がある人には、RSACの参加をお勧めする。