2023.6.1 イベントレポート InfoCom T&S World Trend Report

RSAC 2023参加レポート〜次世代のSecurity業界を担うStartupたちの共演(Innovation Sandbox)〜

本記事は、NTTコミュニケーションズ イノベーションセンターの小室智昭氏より寄稿いただいた原稿をそのまま掲出しています。

1. はじめに

RSACは、暗号化技術に関するテックカンファレンスとして1991年から毎年開催され、今回が32回目の開催となる。現在は、暗号化だけでなくセキュリティに関する最新動向に関する基調講演、トレーニング・ワークショップ、スタートアップコンテストなどが開催される全米最大のセキュリティ系カンファレンスで、COVID-19前は42,000人以上が集まった(出典: RSAC)。さらに今年は未発表のサービスを初めて発表するRSAC Launch Padが復活し、3社が5分間のPitchを行った。

 会場はSan Francisco市のMoscone Center(North、South、West)で今年も注目の若いスタートアップたちはEarly Stage Expo会場に集結していた。

【写真1】RSAC 2023の会場となったCoscone Center(出典:筆者撮影)

【写真1】RSAC 2023の会場となったCoscone Center(出典:筆者撮影)

2. 投資家目線のセキュリティ業界動向

"The State of Venture Capital in Cybersecurity"というテーマの投資家によるパネルは初日の8:30開始にもかかわらず、入場制限がかかるほど大盛況だった。

 まず、Cybersecurity、Privacyの分野を中心に投資をしているNightDragon社CEOのDave DeWaltさんが、2022年のセキュリティ業界の動向を説明した。Dave DeWaltさんによると、2022年はM&Aの数、M&Aの金額、投資の数、投資額は記録的だそうだ。M&Aに関しては、$1B以上のM&Aが13件あり、1年間で263件、総額にすると$119.8Bを超えた。投資に関しては、1年間で1,037件、総額は$18.5Bを超えた。

 好調な資金調達を背景に、Abnormal社、Beyond Identity社、JupiterOne社、Material社、Nord Security社、Perimeter 81社、Sonar社、Teleport社などの15社のUnicornが新たに生まれた。Nord Security社は個人向けVPNサービスでUIもよくできていて、日本にも多くのユーザーがいる。

 Uncornまでの道のりは、2020年、2021年と比べて大きくスピードアップしたということはないようだ。

 投資に関しては、EarlyなStartupだけではなく、1Password社、Fireblocks社、Sonar社、Arctic Wolf社、BlueVoyant社、CriticalStart社、Abnormal社、Semperis社、Drata社、そして2019年にInnovation Sandboxに優勝したAxonius社などの95社が$50M以上の資金調達を行っている。

 その中でも注目すべきStartupとして、Island社、Axonius社、Pentera社、SALT社、Perimeter 81社、Talon Cyber Security社、Snyk社の名前が上がった。この中にEnterprise Browserを提供している2社の名前が上がっているのは、Enterprise Browserが2023年に大きく成長する期待の表れだろう。Island社は日本展開に向けてすでに日本の代理店と契約し、Talon Cyber Security社は資金調達のペースを比べるとIsland社を上回っている。

 日本ではM&Aに悪い印象を持つ人が多いが、M&AはIPO以上に価値があるExitだと考えるStartupのCEOは多い。Google社に買収されたSOAR(Security Orchestration, Automation and Respoinse)を提供しているSiemplify社の他にも、Cider社、CyberMDX社、Illusive社などが注目すべきM&Aによるとして名前が上がっていた。

 パネルに登壇したYL Ventures社Managing PartnerのYoav Leitersdorfさん(以降、Yoavさん)によると、2022年のホットトピックスは以下の4つだそうだ。

  • Identity and access Management(IAM)
  • Application Security
  • Vulnerability and Risk Management
  • Zero Trust Network ccess & SASE Security is not only Cyber

その中でも、以下の2つの領域から多くのStartupが生まれたそうだ。

  • Identity and access Management(IAM)
  • Application Security

今思うと、XDR(eXtended Detection and Response)一色だったRSAC 2022のExpoの殆どがStartupを抜け出た企業だったかも知れない。

 Yoavさんは、2023年はIOT SecurityとIdentity Managementに注目していると説明し、続けてChatGPTなどのLLM(Large Languege Model)を活用したソフトウェア開発サイクルのcopilotにも注目していると話した。

 

【写真2】投資家目線の2022年のセキュリティトレンド(出典:筆者撮影)

【写真2】投資家目線の2022年のセキュリティトレンド(出典:筆者撮影)

3. RSAC Innovation Sandbox

 RSAC 2022はAfter COVID-19と言われていたが、COVID-19の影響が残りRSAC Innovation Sandbox(以降、Sandbox)の参加者は多くはなかった。しかし、RSAC 2023は開場30分前に会場に着いたところ、すでに100人以上の参加者が列を作っていて、Sandboxの人気の復調を感じた。

【写真3】会場を待つ参加者たち(出典:筆者撮影)

【写真3】会場を待つ参加者たち(出典:筆者撮影)

 今回で18回目を迎えたSandboxは、今回も司会はProgram Committee ChairのHugh Thompsonさん(以降、Hughさん)が務め、Opening Talkもいつもお決まりの1回目のSandboxの様子だった。

 今回のSandboxには、2022年のSandboxの優勝者のTalon Cyber Security社CEOのOfer Ben-Noonさんが招待され、「景色が変わった」と昨年の優勝後の状況について話をした。

 今年も100社以上の応募の中から審査員による投票で10社のFinalistsが選ばれた。Finalistsの10社を私の視点で分類するとWeb3 Security(1社)、3rd Party Security(1社)、Security for Developer(3社)、Data Security(1社)、Security for AI(1社)、Cloud Security(1社)、Encryption(1社)、EnterpriseTech(1社)となった。開発者向けSecurityが多いのは、最近のDevSecOpsブームを反映してのことだと思う。

 各Startupは3分の持ち時間で自社のサービスを説明し、3分間の質問時間の間に5人の審査員からの質問に回答する。審査員はStartupを(1)解決しようとしている課題、(2)アイデアの独自性および先進性(特許出願)、(3)マーケティング戦略、(4)製品が市場に与えるインパクト、(5)チームメンバーと実現性、(6)市場の評価の6つのポイントで評価する。毎年、評価ポイントはスライドで参加者に見せていたが、今年は評価ポイントのスライドはなかった。ただ、評価ポイントは昨年と変わっていなかったと思う。それでは、Startup Pitchをもとに各社をカテゴリーごとに紹介する。

【写真4】RSAC Innovation SandboxのFinalists (出典:筆者撮影)

【写真4】RSAC Innovation SandboxのFinalists (出典:筆者撮影)

(1) Web3 Security

(1-1) Anchain.ai社

 Hughさんが”Guardians for Web 3 Digital Asset"と紹介したAnchain.ai社は、Web 3 Digital Assetを保護するソリューションを提供している。Anchain.ai社Co-founder & CEOのVictor Fangさん(以降、Victorさん)は、自社のサービスを"SOC for Web 3"と呼んでいた。Victorさんは、「Web 3のハッキングインターフェースは超複雑で、あるケースでは異常検知に6日、修正に97日かかった。」と既存の課題を説明した。同社は、Monitoring & Alerting、Automatic Response、Attach Simulation、3rd Party Integrationの4つのコアサービスにより、異常検知から修正までをたった数分で完了できるようにし、Web 3 Digital Assetを守っている。個人的な感想だが、創業メンバーや資金援助している顔ぶれが将来の成長を予感させる。

【写真5】Anchain.ai社のWeb 3 SOC(出典: 筆者撮影)

【写真5】Anchain.ai社のWeb 3 SOC(出典: 筆者撮影)

(2) 3rd Party Security

(2-1) Astrix Security社

 Hughさんが"人間の数をはるかに凌ぐ自動化の世界をセキュアにする"と紹介したAstrix Security社は、外部アプリやIOT機器といった人間以外からのシステムへのアクセスをセキュアにするサービスを提供している。Astrix Security社Co-founder & CEOのAlon jacksonは、「業務の効率化を図るため、社員がアプリにアクセスするよりアプリ同士のトランザクションの方がはるかに多くなっていて、それがData Breach、Complaiance違反の原因となっている。」と説明した。同社は、アプリ同士のConectivityの検知をワンストップで提供している。さらにそのデータを元に、3rd Partyアプリのリスクスコアも提供している。

(3) Security for Developer

(3-1) DAZZ社

 Hughさんが”Cloud Security Remidiation"と紹介したDAZZ社は、開発フローに基づき効率的なDevSecOps環境を提供している。Co-founder & CEOのMerav Bahatさんは「セキュリティ攻撃は日々複雑化しながら成長し、対策コストも増えている。その上、世の中にはセキュリツールが氾濫し、セキュリティチームはセキュリティツールに溺れている。」と説明した。同社のLog4Shellは、クラウド環境、開発環境など全てのデータを分析し、既存のセキュリティツール、コード、クラウドリソースなどのセキュリティリスクを発見し、最短ルートで問題の修正を行う。導入も4日程度と短く、API連携することで大規模環境にも対応できるそうだ。

(3-2) Endor Labs社

 Hughさんが”セキュリティノイズに惑わされずに、開発者およびセキュリティチームがOpen Sourceを積極的に利用できるようにする"と紹介した通り、Endor Labs社はOpen Sourceとして公開されているコードやモジュールを開発者が安全に利用できるようにするソリューションを提供している。Endor Labs社Co-founder & CEOのVarun Badhwarさんは、「開発されているコードの80%がOpen Sourceで平均で77の外部パッケージが利用され、脆弱性の95%はそれらの外部パッケージが原因となっている。」とソフトウェア開発の現状と課題を説明した。同社は、4,700万件以上のOpen sourceの分析を元に、安全で持続可能な最適なOpen Source Libraryを開発者に提案している。同社のLibraryを使うと、周囲のComplianceに関するノイズに惑わされることなく、特定の環境において問題を引き起こす原因の解明に集中できるそうだ。

 また、同社はLLMのDroidGPTを開発し、開発者の漠然とした質問でも最適なOpen Source Packageを提案できるようにした。

【写真6】Endor Labs社の技術のアドバンテージ(出典:筆者撮影)

【写真6】Endor Labs社の技術のアドバンテージ(出典:筆者撮影)

(3-3) Pangea社

 Hughさんが"Turing the fragmented world of security into a simple set of API"と紹介したPangea社は開発者が優れたアプリをセキュリティを考慮しつつも迅速にCodingできるように、認証、許可、監査ログ、権限管理、ライセンシングなどのセキュリティ機能を独自のAPIを通じて開発者に提供している。Pangea社Co-founder & CEOのOliver Friedrichsさんは、「ある開発者は、同社のファイルスキャン、ファイル浄化機能を実装したObject Storageサービスを開発した。」と同社のサービスのCase Studyを説明した。また、同社はCrowdStrike社などのCybersecurityのリーダーたちとパートナーを組み、世界レベルのThreat Intelligenceを開発者に考慮して"Pay as you go"モデル(Amazonモデル)で提供している。同社は現在14のサービスを提供していて、年末までには24のサービスを提供する予定だ。

(4) Security for AI

(4-1) HiddenLayer社

 Hughさんが"企業のMLモデルのセーフガード"と紹介したHiddenLayer社は、コード、動作環境、MLモデルに依存しないMLモデル向けSecurity Platformを提供している。

 HiddenLayer社Co-founder & CEOのChris Sestitoさんは、「今日のAIはMalware、Data Posoning Attach、inference attacksに脆く、簡単にハッキングされてしまう。」と説明し、「Githubには自動劇に攻撃を仕掛けるツールが30個以上もある。」と続けた。同社のソリューションは、Data Scientistやセキュリティチームが本来の業務に集中できるようにし、MLモデルに不必要な複雑さとデータへの厳重なアクセス権限管理から解放してくれる。

【写真7】HidenLayer社が解決しようとしている課題(出典: 筆者撮影)

【写真7】HidenLayer社が解決しようとしている課題(出典: 筆者撮影)

(5) Data Security

(5-1) Relyance AI社

 Relyance社Co-founder & Co-CEOのAbhi Sharmaさんは、プライバシーに関して「データ保護に関する急激な意識の変化、AIやプライバシーに関する法規制の爆発的な増加、世界中でのAI/MLの変化」が起きていると説明した。Relyance AI社のAIエンジンは、常にデータ処理をマッピングし、継続的にコードを監視し、企業ポリシー、契約上の義務、法規制の基準にマッチしているかリアルタイムに判断する。また、たった60分の導入期間で、DevOps/BizOpsのサイクルをスピードアップも可能とする。

(6) Cloud Security

(6-1) Valence社

 HughさんがValence社を"Removing the mess from your SaaS mesh"と紹介したように、同社は、複雑に連携しているクラウドアプリを安全に利用するためのSecurityソリューションを提供している。同社Co-founder & CEOのYoni Shohetは、「SaaSに関する過剰なアクセス権限付与、データ共有、自動化がリスクにつながっている。」と説明した。同社のプラットフォームはクラウドアプリのリスクを発見・分析し、対応が必要な場合は、自動的もしくはアプリ提供者への改善を依頼する。同社は、ユーザー自身のクラウドアプリだけでなく、3rd Partyのクラウドアプリに対してもリスクの発見・分析が可能なため、Workflow全体でクラウドアプリの安全性を確保できる。

(7) Encryption

(7-1) Zama社

 Hughさんが"homomorphic encryption(準同型暗号)でBlockchainとAIに関する機密性の問題を解決する"と紹介したZama社Co-founder & CTOのPascal Pailierさんは、既存の暗号化・複合化の「遅い、限定的、複雑」という課題を解決し、End-to-Endで機密情報を秘匿化する暗号ツールのFHE(Fullu Homomorphic Encryption)をOpen Sourceとして開発者に提供している。現在同社は、Blockchainをターゲットに市場開拓を行なってる。

(8) EnterpriseTech

(8-1)SafeBase社

 SafeBase社は、Hughさんが紹介した通り、企業の信頼性を高めるための企業内の情報流通の透明性を高めるソリューションを提供している。

RSAC 2023 Innovation Sandboxは、コード、動作環境、MLモデルに依存しないMLモデル向けSecurity Platformを提供しているHiddenlayer社と開発者が優れたアプリをセキュリティを考慮しつつも迅速にCodingできるように、認証、許可、監査ログ、権限管理、ライセンシングなどのセキュリティ機能を独自のAPIを通じて開発者に提供しているPangea社が争い、今回はHiddenlayer社が優勝した。

 2023年1月にTel Avivで開催されたCyberTech GlobalでもAIモデル/MLモデルが正しく答えを導けるようにトレーニングデータを保護するソリューションを出展しているStartupを見かけた。今回のHiddenlayer社の優勝がこの分野のStartupを刺激し、さらに優秀なStartup、製品が出てくることを期待する。

【写真8】Winner発表の瞬間(出典: 筆者撮影)

【写真8】Winner発表の瞬間(出典: 筆者撮影)

3. おわりに

 RSAC 2022は、米国ではCOVID-19によるパンデミックの出口見え始めていた頃に開催されたが、完全復活とまではいかなかった。Expo会場は多くの参加者で埋め尽くされていたが、Keynoteや今回紹介したInnovation Sandboxの会場では空席が目立った。

 そこから1年が経ち、中国のゼロコロナ対策が見直されるなど、世界中で人の往来が再開されるようになったRSAC 2023では、Innovation Sandboxは開場の30分前には100人以上の行列ができ、会場には入れない人が、Overflow会場(サテライト会場)へと案内されるまでになった。

 日本からも多くの出張者が参加していて、多くの知人と再会した。RSACは最新のセキュリティ動向の情報収集、次世代のセキュリティ業界を背負うStartupの発掘には最適な場所である。また、RSAC期間中は、会場だけでなく会場の外でも様々なイベントが開催されている。

 RSAC 2023の盛り上がりを見ると、RSAC 2024は今年以上、もしくはパンデミック前以上に盛り上がると思うので、来年はぜひ参加して、自ら将来のパートナーを見つけてみてはどうだろうか。

情報通信総合研究所は、先端ICTに関する豊富な知見と課題解決力を活かし、次世代に求められる価値を協創していきます。

調査研究、委託調査等に関するご相談やICRのサービスに関するご質問などお気軽にお問い合わせください。

ICTに関わる調査研究のご依頼はこちら

関連キーワード

小室智昭 (Tom Komuro)の記事

関連記事

InfoCom T&S World Trend Report 年月別レポート一覧

メンバーズレター

会員限定レポートの閲覧や、InfoComニューズレターの最新のレポート等を受け取れます。

メンバーズ登録(無料)

各種サービスへの問い合わせ

ICTに関わる調査研究のご依頼 研究員への執筆・講演のご依頼 InfoCom T&S World Trend Report

情報通信サービスの専門誌の無料サンプル、お見積り

InfoCom T&S World Data Book

グローバルICT市場の総合データ集の紹介資料ダウンロード