記事を探す

2023.6.1 イベントレポート InfoCom T&S World Trend Report

RSAC 2023参加レポート〜次世代のSecurity業界を担うStartupたちの共演（Innovation Sandbox）〜

小室智昭（Tom Komuro）

この記事をシェアする

本記事は、NTTコミュニケーションズイノベーションセンターの小室智昭氏より寄稿いただいた原稿をそのまま掲出しています。

1. はじめに

RSACは、暗号化技術に関するテックカンファレンスとして1991年から毎年開催され、今回が32回目の開催となる。現在は、暗号化だけでなくセキュリティに関する最新動向に関する基調講演、トレーニング・ワークショップ、スタートアップコンテストなどが開催される全米最大のセキュリティ系カンファレンスで、COVID-19前は42,000人以上が集まった(出典: RSAC)。さらに今年は未発表のサービスを初めて発表するRSAC Launch Padが復活し、3社が5分間のPitchを行った。

　会場はSan Francisco市のMoscone Center(North、South、West)で今年も注目の若いスタートアップたちはEarly Stage Expo会場に集結していた。

【写真1】RSAC 2023の会場となったCoscone Center(出典：筆者撮影)

2. 投資家目線のセキュリティ業界動向

"The State of Venture Capital in Cybersecurity"というテーマの投資家によるパネルは初日の8:30開始にもかかわらず、入場制限がかかるほど大盛況だった。

　まず、Cybersecurity、Privacyの分野を中心に投資をしているNightDragon社CEOのDave DeWaltさんが、2022年のセキュリティ業界の動向を説明した。Dave DeWaltさんによると、2022年はM&Aの数、M&Aの金額、投資の数、投資額は記録的だそうだ。M&Aに関しては、$1B以上のM&Aが13件あり、1年間で263件、総額にすると$119.8Bを超えた。投資に関しては、1年間で1,037件、総額は$18.5Bを超えた。

　好調な資金調達を背景に、Abnormal社、Beyond Identity社、JupiterOne社、Material社、Nord Security社、Perimeter 81社、Sonar社、Teleport社などの15社のUnicornが新たに生まれた。Nord Security社は個人向けVPNサービスでUIもよくできていて、日本にも多くのユーザーがいる。

　Uncornまでの道のりは、2020年、2021年と比べて大きくスピードアップしたということはないようだ。

　投資に関しては、EarlyなStartupだけではなく、1Password社、Fireblocks社、Sonar社、Arctic Wolf社、BlueVoyant社、CriticalStart社、Abnormal社、Semperis社、Drata社、そして2019年にInnovation Sandboxに優勝したAxonius社などの95社が$50M以上の資金調達を行っている。

　その中でも注目すべきStartupとして、Island社、Axonius社、Pentera社、SALT社、Perimeter 81社、Talon Cyber Security社、Snyk社の名前が上がった。この中にEnterprise Browserを提供している2社の名前が上がっているのは、Enterprise Browserが2023年に大きく成長する期待の表れだろう。Island社は日本展開に向けてすでに日本の代理店と契約し、Talon Cyber Security社は資金調達のペースを比べるとIsland社を上回っている。

　日本ではM&Aに悪い印象を持つ人が多いが、M&AはIPO以上に価値があるExitだと考えるStartupのCEOは多い。Google社に買収されたSOAR(Security Orchestration, Automation and Respoinse)を提供しているSiemplify社の他にも、Cider社、CyberMDX社、Illusive社などが注目すべきM&Aによるとして名前が上がっていた。

　パネルに登壇したYL Ventures社Managing PartnerのYoav Leitersdorfさん(以降、Yoavさん)によると、2022年のホットトピックスは以下の4つだそうだ。

Identity and access Management(IAM)
Application Security
Vulnerability and Risk Management
Zero Trust Network ccess & SASE Security is not only Cyber

その中でも、以下の2つの領域から多くのStartupが生まれたそうだ。

Identity and access Management(IAM)
Application Security

今思うと、XDR(eXtended Detection and Response)一色だったRSAC 2022のExpoの殆どがStartupを抜け出た企業だったかも知れない。

　Yoavさんは、2023年はIOT SecurityとIdentity Managementに注目していると説明し、続けてChatGPTなどのLLM(Large Languege Model)を活用したソフトウェア開発サイクルのcopilotにも注目していると話した。

【写真2】投資家目線の2022年のセキュリティトレンド(出典：筆者撮影)

3. RSAC Innovation Sandbox

　RSAC 2022はAfter COVID-19と言われていたが、COVID-19の影響が残りRSAC Innovation Sandbox(以降、Sandbox)の参加者は多くはなかった。しかし、RSAC 2023は開場30分前に会場に着いたところ、すでに100人以上の参加者が列を作っていて、Sandboxの人気の復調を感じた。

【写真3】会場を待つ参加者たち(出典：筆者撮影)

　今回で18回目を迎えたSandboxは、今回も司会はProgram Committee ChairのHugh Thompsonさん(以降、Hughさん)が務め、Opening Talkもいつもお決まりの1回目のSandboxの様子だった。

　今回のSandboxには、2022年のSandboxの優勝者のTalon Cyber Security社CEOのOfer Ben-Noonさんが招待され、「景色が変わった」と昨年の優勝後の状況について話をした。

　今年も100社以上の応募の中から審査員による投票で10社のFinalistsが選ばれた。Finalistsの10社を私の視点で分類するとWeb3 Security(1社)、3rd Party Security(1社)、Security for Developer(3社)、Data Security(1社)、Security for AI(1社)、Cloud Security(1社)、Encryption(1社)、EnterpriseTech(1社)となった。開発者向けSecurityが多いのは、最近のDevSecOpsブームを反映してのことだと思う。

　各Startupは3分の持ち時間で自社のサービスを説明し、3分間の質問時間の間に5人の審査員からの質問に回答する。審査員はStartupを(1)解決しようとしている課題、(2)アイデアの独自性および先進性(特許出願)、(3)マーケティング戦略、(4)製品が市場に与えるインパクト、(5)チームメンバーと実現性、(6)市場の評価の6つのポイントで評価する。毎年、評価ポイントはスライドで参加者に見せていたが、今年は評価ポイントのスライドはなかった。ただ、評価ポイントは昨年と変わっていなかったと思う。それでは、Startup Pitchをもとに各社をカテゴリーごとに紹介する。

【写真4】RSAC Innovation SandboxのFinalists (出典：筆者撮影)

(1) Web3 Security

(1-1) Anchain.ai社

　Hughさんが”Guardians for Web 3 Digital Asset"と紹介したAnchain.ai社は、Web 3 Digital Assetを保護するソリューションを提供している。Anchain.ai社Co-founder & CEOのVictor Fangさん(以降、Victorさん)は、自社のサービスを"SOC for Web 3"と呼んでいた。Victorさんは、「Web 3のハッキングインターフェースは超複雑で、あるケースでは異常検知に6日、修正に97日かかった。」と既存の課題を説明した。同社は、Monitoring & Alerting、Automatic Response、Attach Simulation、3rd Party Integrationの4つのコアサービスにより、異常検知から修正までをたった数分で完了できるようにし、Web 3 Digital Assetを守っている。個人的な感想だが、創業メンバーや資金援助している顔ぶれが将来の成長を予感させる。

【写真5】Anchain.ai社のWeb 3 SOC(出典: 筆者撮影)

(2) 3rd Party Security

(2-1) Astrix Security社

　Hughさんが"人間の数をはるかに凌ぐ自動化の世界をセキュアにする"と紹介したAstrix Security社は、外部アプリやIOT機器といった人間以外からのシステムへのアクセスをセキュアにするサービスを提供している。Astrix Security社Co-founder & CEOのAlon jacksonは、「業務の効率化を図るため、社員がアプリにアクセスするよりアプリ同士のトランザクションの方がはるかに多くなっていて、それがData Breach、Complaiance違反の原因となっている。」と説明した。同社は、アプリ同士のConectivityの検知をワンストップで提供している。さらにそのデータを元に、3rd Partyアプリのリスクスコアも提供している。

(3) Security for Developer

(3-1) DAZZ社

　Hughさんが”Cloud Security Remidiation"と紹介したDAZZ社は、開発フローに基づき効率的なDevSecOps環境を提供している。Co-founder & CEOのMerav Bahatさんは「セキュリティ攻撃は日々複雑化しながら成長し、対策コストも増えている。その上、世の中にはセキュリツールが氾濫し、セキュリティチームはセキュリティツールに溺れている。」と説明した。同社のLog4Shellは、クラウド環境、開発環境など全てのデータを分析し、既存のセキュリティツール、コード、クラウドリソースなどのセキュリティリスクを発見し、最短ルートで問題の修正を行う。導入も4日程度と短く、API連携することで大規模環境にも対応できるそうだ。

(3-2) Endor Labs社

　Hughさんが”セキュリティノイズに惑わされずに、開発者およびセキュリティチームがOpen Sourceを積極的に利用できるようにする"と紹介した通り、Endor Labs社はOpen Sourceとして公開されているコードやモジュールを開発者が安全に利用できるようにするソリューションを提供している。Endor Labs社Co-founder & CEOのVarun Badhwarさんは、「開発されているコードの80%がOpen Sourceで平均で77の外部パッケージが利用され、脆弱性の95%はそれらの外部パッケージが原因となっている。」とソフトウェア開発の現状と課題を説明した。同社は、4,700万件以上のOpen sourceの分析を元に、安全で持続可能な最適なOpen Source Libraryを開発者に提案している。同社のLibraryを使うと、周囲のComplianceに関するノイズに惑わされることなく、特定の環境において問題を引き起こす原因の解明に集中できるそうだ。

　また、同社はLLMのDroidGPTを開発し、開発者の漠然とした質問でも最適なOpen Source Packageを提案できるようにした。

【写真6】Endor Labs社の技術のアドバンテージ(出典：筆者撮影)

(3-3) Pangea社

　Hughさんが"Turing the fragmented world of security into a simple set of API"と紹介したPangea社は開発者が優れたアプリをセキュリティを考慮しつつも迅速にCodingできるように、認証、許可、監査ログ、権限管理、ライセンシングなどのセキュリティ機能を独自のAPIを通じて開発者に提供している。Pangea社Co-founder & CEOのOliver Friedrichsさんは、「ある開発者は、同社のファイルスキャン、ファイル浄化機能を実装したObject Storageサービスを開発した。」と同社のサービスのCase Studyを説明した。また、同社はCrowdStrike社などのCybersecurityのリーダーたちとパートナーを組み、世界レベルのThreat Intelligenceを開発者に考慮して"Pay as you go"モデル(Amazonモデル)で提供している。同社は現在14のサービスを提供していて、年末までには24のサービスを提供する予定だ。

(4) Security for AI

(4-1) HiddenLayer社

　Hughさんが"企業のMLモデルのセーフガード"と紹介したHiddenLayer社は、コード、動作環境、MLモデルに依存しないMLモデル向けSecurity Platformを提供している。

　HiddenLayer社Co-founder & CEOのChris Sestitoさんは、「今日のAIはMalware、Data Posoning Attach、inference attacksに脆く、簡単にハッキングされてしまう。」と説明し、「Githubには自動劇に攻撃を仕掛けるツールが30個以上もある。」と続けた。同社のソリューションは、Data Scientistやセキュリティチームが本来の業務に集中できるようにし、MLモデルに不必要な複雑さとデータへの厳重なアクセス権限管理から解放してくれる。

【写真7】HidenLayer社が解決しようとしている課題(出典: 筆者撮影)

(5) Data Security

(5-1) Relyance AI社

　Relyance社Co-founder & Co-CEOのAbhi Sharmaさんは、プライバシーに関して「データ保護に関する急激な意識の変化、AIやプライバシーに関する法規制の爆発的な増加、世界中でのAI/MLの変化」が起きていると説明した。Relyance AI社のAIエンジンは、常にデータ処理をマッピングし、継続的にコードを監視し、企業ポリシー、契約上の義務、法規制の基準にマッチしているかリアルタイムに判断する。また、たった60分の導入期間で、DevOps/BizOpsのサイクルをスピードアップも可能とする。

(6) Cloud Security

(6-1) Valence社

　HughさんがValence社を"Removing the mess from your SaaS mesh"と紹介したように、同社は、複雑に連携しているクラウドアプリを安全に利用するためのSecurityソリューションを提供している。同社Co-founder & CEOのYoni Shohetは、「SaaSに関する過剰なアクセス権限付与、データ共有、自動化がリスクにつながっている。」と説明した。同社のプラットフォームはクラウドアプリのリスクを発見・分析し、対応が必要な場合は、自動的もしくはアプリ提供者への改善を依頼する。同社は、ユーザー自身のクラウドアプリだけでなく、3rd Partyのクラウドアプリに対してもリスクの発見・分析が可能なため、Workflow全体でクラウドアプリの安全性を確保できる。

(7) Encryption

(7-1) Zama社

　Hughさんが"homomorphic encryption(準同型暗号)でBlockchainとAIに関する機密性の問題を解決する"と紹介したZama社Co-founder & CTOのPascal Pailierさんは、既存の暗号化・複合化の「遅い、限定的、複雑」という課題を解決し、End-to-Endで機密情報を秘匿化する暗号ツールのFHE(Fullu Homomorphic Encryption)をOpen Sourceとして開発者に提供している。現在同社は、Blockchainをターゲットに市場開拓を行なってる。

(8) EnterpriseTech

(8-1)SafeBase社

　SafeBase社は、Hughさんが紹介した通り、企業の信頼性を高めるための企業内の情報流通の透明性を高めるソリューションを提供している。

RSAC 2023 Innovation Sandboxは、コード、動作環境、MLモデルに依存しないMLモデル向けSecurity Platformを提供しているHiddenlayer社と開発者が優れたアプリをセキュリティを考慮しつつも迅速にCodingできるように、認証、許可、監査ログ、権限管理、ライセンシングなどのセキュリティ機能を独自のAPIを通じて開発者に提供しているPangea社が争い、今回はHiddenlayer社が優勝した。

　2023年1月にTel Avivで開催されたCyberTech GlobalでもAIモデル/MLモデルが正しく答えを導けるようにトレーニングデータを保護するソリューションを出展しているStartupを見かけた。今回のHiddenlayer社の優勝がこの分野のStartupを刺激し、さらに優秀なStartup、製品が出てくることを期待する。