本記事は、NTTコミュニケーションズ イノベーションセンターの小室智昭氏より寄稿いただいた原稿をそのまま掲出しています。

1. はじめに

　大手テック企業のイベントがSan Francisco市から離れる中、5月6日から9日にSan Francisco市で世界最大級のSecurity ConferenceのRSAC 2024が開催された。今回も大手企業が広いブースで展示するなど、Security業界は活況のようだ。

　本稿は、RSAC 2024の人気セッション、Startup、Expoについて報告する。

Keynote会場に設置されたRSAC 2024のロゴ

2. RSAC 2024概要

　RSACは、暗号化技術に関するテックカンファレンスとして1991年から毎年開催され、今回が33回目の開催となる。現在は、暗号化だけでなくセキュリティにおけるKeynote、Session、Training/Workshop、Startup Contestなどが開催される世界最大級のSecurity Conferenceとなっている。RSAC 2024初日には映画”War Game”の主役のMatthew Broderickさんのユニークなステージ、RSACのExecutive ChairmanのHugh ThompsonさんのWelcome Speechに続いてアメリカ合衆国国務長官のAntony Blinkenさんの”Technology and the Transformation of U.S. Foreign Policy”と題するKeynoteが行われた。

　主催者は、Conference終了後にRSAC 2024の参加者数などを発表した(出典: RSAC)。

• RSAC 2024のテーマ: The Art of Possible(現実主義)
• 会場: Moscone Center(North、South、West) in San Francisco
• 参加者: 41,000人以上
  スピーカー: 約650人
  出展者: 約600社(Innovation Sandbox: 10社、Early Stage Expo: 58社)
  メディア: 400人以上
• セッション: 425
• Keynote: 33
• 注目すべきトピックス
  Next-Gen AIとAI活用の倫理観およびガードレール
  セキュリティとプライバシー
  最新技術の急拡大に伴う国際社会のポリシーに与える影響

RSAC 2024を彩ったCelebrities(左: Matthew Broderickさん、右: Antony Blinkenさん)

3. 投資家目線のセキュリティ業界動向

　今年の“The State of Venture Capital in Cybersecurity"というテーマのSessionもNightDragon社Founder & CEO &Managing DirectorのDave DeWaltさん(以降、Daveさん)がModeratorを務めた。そこにTen Eleven Ventures社PartnerのMark Hatfieldさん、YL Ventures社Managing PartnerのYoav Leitersdorfさん(以降、Yoavさん)、Rain Capital社General PartnerのChenxi Wangさん(以降、Chenxiさん)、Team8社
Co-Founder & Managing PartnerのNadav Zafrirさん(以降、Nadavさん)がPanelに加わり、Security業界の投資動向、Threat Trendなどの議論が展開された。昨年は、スライドでSecurity Trendを説明してくれたが、今年はModeratorのDaveさんが各Panelに質問する形でSessionが進められた。

(1) 投資動向

　Daveさんによると、2023年はCyberspaceへの投資額は2022年の2,420億ドルと比べて30%少ない1,700億ドルだったそうだ。ただ、投資全体の42%がEarlyなSeed StageのStartupへのもので、これまでとは傾向が違うという。またNadavさんやChenxiさんは、「2021年、2022年の投資は加熱気味で2023年は適切に企業評価された結果だ。」とコメントした。Yoavさんは、「Early Stage　Startupへの投資が増えた一方、Growth Stage VCがスローダウンした」と話した。

　しかし、Cybersecurityをターゲットにした”Cyber fund”は成長しているという。例えば、Team8社は2024年に新たなFundを立ち上げている。

(2) Threat Trends

　Cyber Riskにおいて、2023年は記録的な年となった。年間で953の新たなグループが誕生し、世界中で3,000人以上のハッカーが活動をしている。悪意ある人たちの中には、SNSを通じて組織に打撃を与えようとしている人たちもいる。米国は2024年に大統領選挙があり、偽情報の拡散が懸念されている。Markさんは、「偽情報、ミスリード、風評被害をもたらす”Narrative Attack”にも注目すべき」と話した。

　「AIを活用した高度な攻撃にも注意すべきで、”AI for Security”は2024年で一番の話題になるだろう」とYoavさんは言う。また「AIの活用で企業・団体とハッカーとの攻防は一進一退となり、AIの活用がより良いSecurity対策となる。」とYoavさんは続けた。さらにNadavさんは、「ハッカーはすぐに最新技術に対応するが、企業や組織は”自分たちのネットワークで何が起きているか？”に気づくのに時間がかかるため、数年は企業・組織は緊張が続くだろう」と指摘した。　Daveさんは、「企業、株主をCyber Attackから守るために、企業幹部にCybersecurityのエキスパートがいて、すぐに指示が出せる体制を作ることが必要だ。」と提案していた。

“The State of Venture Capital in Cybersecurity”の参加者たち(出典: RSAC)

4. RSAC Innovation Sandbox

　RSAC 2024はコロナ前の賑わいを取り戻し、入場制限がかけられるほどだった。過去18回のFinalistたちは、80社以上が買収され、合計の資金調達額は135億ドルに達している。Pitch前にステージに招かれたHiddenLayer社は、2023年のInnovation Sandbox優勝後にM12社などから5,000万ドルの資金を調達している。

　私の目線で10社のFinalistsを分析すると、Identity Management(2社)、Data Security(2社)、AI-powered SOC(2社)、AI Security(1社)、Cloud Security(1社)、Privacy(1社)、Vulnerability(脆弱性) Intelligence(1社)となった。

　各Startupは3分の持ち時間で自社のサービスを説明し、3分間の質問時間に5人の審査員からの質問に回答する。審査員はStartupを(1)解決しようとしている課題、(2)アイデアの独自性および先進性(特許出願)、(3)マーケティング戦略、(4)製品が市場に与えるインパクト、(5)チームメンバーと実現性、(6)市場の評価の6つのポイントで評価する。以下に、Finalistをカテゴリーごとに紹介する。

RSAC 2024 Innovation SandboxのFinalists

(1) Identity Management

(1-1) Aembit社

　Aembit社は、Cloud、SaaS、データセンター間のWorkloadへのアクセスをIdentityを活用して保護するWorkload Access Management Platformを提供している。Aembit社のPlatformを利用すると、DevSecOpsは透明性高く、ポリシーベースのZero TrustなWorkload Access管理の自動化を実現できる。

IDを活用したAembit社のWorkload Access Control

(1-2) P0 Security社

　P0 Security社は、開発者のWorkflowに影響を与えることなく、人や機械などのすべてを対象にSecureなCloud Accessを実現するためのGovernanceソリューションを提供している。

　P0 Security社はすべてのIdentityをリスト化し、Identity全てにおいてリスク状況を評価、アクセス状況の管理、サービス提供とJIT Access(Just In Time Access、一時的なアクセス)の申告の対応を自動化する。

P0 Security社の人とマシンを対象としたIDによるData Governance

(2) Data Security

(2-1) Antimatter社

Antimatter社は、どんなデータやCloud Applicationでも、データの匿名化、ログ、暗号化、およびデータへのアクセス制御を行うPlatformを提供している。個人名、パスワード、SSN（ソーシャルセキュリティ番号）、口座番号などの機密データをユーザーが設計したポリシーに従い自動的に秘匿化することで、安心してAI/ML（AIやMachine Learning）を利用できるようにする。もちろん、分析結果に機密データが含まれることはない。

Antimatter社のData Protection概要

(2-2) Bedrock社

　Bedrock社は、AI Reasoning(AIR) Engineという独自のAI推論エンジンを開発してデータを学習することで、未知の脆弱性に対して既存のルールに縛られずに、データに関する脅威の評価(検知・可視化)、アクセス管理などのコンプライアンス対応、リスク対応を行う。

Bedrock社のData Protectionのコンセプト

(3) AI-powered SOC

(3-1) Dropzone AI社

　Dropzone AI社は、24/7でSecurity Alertを自律的に監視し、SOC(Security Operation Center)担当者やCISOの意思決定をサポートするAI SOC Analytics Platformを提供している。既存のツールと統合することで、SOC担当者やCISOが即座に意思決定できるレポートを提供する。

Dropzone AI社のAIを活用したSOC支援Platform

(3-2) Mitiga社

　Remote Workが進み、Cloud/SaaS利用のSecurity Riskが高まるなか、Mitiga社はCloud上のDigital Forensicsを実現するCloud Investigation and Response Automation(CIRA)ソリューションをSOC向けに提供している。同社のソリューションは、CloudおよびSaaSの可視化、脅威の検知、捕捉、対応などの機能を提供する。

　同社のソリューションはMicrosoft Azure Marketplaceに登録され、簡単に利用が始められる。

拡張性があるSecOpsを実現するMitiga社のサービスコンセプト

(4) AI Security

　“AI for AI”と説明するStartupがいるほど、Security分野でもAIは欠かせない技術となっている。また、「攻める側がAIを使っているのに、守る方がAIを使っていなければ勝負にならない。」と言う人もいる。

(4-1) Harmonic社

　Harmonic社は、企業におけるGen-AIの利用状況を可視化し、データのSecurityとPrivacyの両方を保護するソリューションを提供している。企業は、同社の可視化ツールを利用することで、企業が使用を禁止しているShadow AIを発見して、使用を禁止できる。また、機密データに関する独自LLMで、機密データの特定と保護を可能としている。

Harmonic社のAIのためのData Protection

(5) Cloud Security

(5-1) RAD Security社

　RAD Security社は、Cloudにおける振る舞いをベースにしたCloud NativeなThreat Detection and Response(TDR)を提供している。同社は、SBOM、Workload管理に加えて、Cloudにおける振る舞いを”Behavioral Fingerprint”として登録し、Zero-day Attackを排除、Zero Turstの実現、Risk状況の確認を可能とする。

SOCチームを強化するRAD Security社のソリューション

(6) Privacy

(6-1) Reality Defender社

　Reality Defender社は、AIを使って生成されたDeep Fakeなどの有害なコンテンツ(画像、動画、音声)をリアルタイムに検知・分析し、拡散を防止するソリューションを提供している。顔の画像の場合、同社は疑いのある部分をヒートマップで可視化することもできる。同社は、詐欺の防止や選挙妨害などの撲滅を目指している。

Reality Defender社の検知対象コンテンツ

(7) Vulnerability Intelligence

(7-1) VulnCheck社

　VulnCheck社は、次世代のExploit(不正利用) Intelligence/Vulnerability Intelligenceを提供している。同社は、400以上のデータソースから3億個以上のユニークなデータを抽出して脆弱性および不正利用を監視してハッカーの初動を検知する。さらに対応の優先度化により、攻撃が始まる前に脆弱性の脅威から企業を守る。

VulnCheck社のPlatformの特徴

　RSAC 2024 Innovation Sandboxで優勝したのは、AIを使って生成されたDeep Fakeなどの有害なコンテンツ(画像、動画、音声)をリアルタイムに検知・分析し、拡散を防止するソリューションを提供しているReality Defender社だった。審査員が講評したように、2024年に大統領選挙を控える米国では、Deep Fakeの増大・拡散が予想される。Reality Defender社は技術だけでなく、時勢を捉えたソリューションだったと思う。

　Runner-up(第2位)はCloud、SaaS、データセンター間のWorkloadへのアクセスをIdentityを活用して保護するAembit社だった。RSAC 2024ではID管理のソリューションがトレンドの兆しを見られていたため、2024年が大統領選挙の年でなければ、Aembit社が優勝していたかもしれない。

優勝者の発表の様子

5. Early Stage Expo

　RSAC 2024 Early Stage Expoには創業間もないStartupやCerby社、Scribe Security社、Seal Security社、Growth StageのStartupなど58社が出展していた。

　RSAC 2024 Early Stage Expoの出展社は10のカテゴリーに分類できるが、トップ5は以下のようだった。( )内の順位はRSAC 2023 Early Stage Expoの順位を示している。昨年の順位と比べるとApplication Securityは引き続き多くのStartupがチャレンジしている。Data Securityの分野は、AI/MLを安全に利用するためのPrivacy対策、確実かつ簡易なData管理、新たな暗号化など多様なソリューションが見られた。

　1位: Application Security(1位)
　2位: Risk Management and Compliance
　3位: Data Security(5位)
　4位: Identity and Access Management(4位)
　5位: Security Operations and Incident Response

Early Stage ExpoにおけるRSAC 2023とRSAC 2024の出展傾向の変化

　今回は58社全てから話を聞くことができた。ここでは私が気になった10社を簡単に紹介する。

Early Stage Expoに参加していた全58社

(1) Identity Management

(1-1) Cerby社

　Montgomery Summitで出会い、その後もFollow upしているCerby社はユーザーIDをもとに、アプリケーションレベルでアクセス管理を可能とするAccess Management Platformを提供している。OktaやMicrosoft Entra IDなどのIdP(Identity Provider)を導入している企業ユーザーはCerby社のPlatformを利用することで、高度かつ一貫性のあるアクセス管理とアプリケーションのLifecycle管理を実現できる。

(1-2) Entitle社

　3週間前にIdentity and Access Securityを提供しているBeyondTrust社に買収されたばかりのEntitle社はCloud、SaaSなどを対象に”Just-in-Time(JIT) Access”を提供している。Entitle社は、企業の社員がデータやシステムへのアクセスが必要な時、管理者やサポートデスクにその都度申請する代わりに、細かなアクセス制限をした上で一時的なアクセス許可を与える。Self-Serviceを実現することで、社員は必要な時に申請なく一時的にリソースにアクセスでき、サポートデスクは申請に対する稼働を大幅に削減できる。

(1-3) MightyID社

　Ransomeware Attackを受けた場合、機密データやアプリケーションの復元は企業や組織にとってとても重要だが、ユーザーIDを正確に復元することも同様に重要だとMightyID社は考えている。そこでMightyID社は、OktaやMicrosoft Entra IDなどのIdentity and Access Management(IAM)を対象としたRansomware対策のBackupサービスを提供している。

(2) Software Supply Chain Security

(2-1) Scribe Security社

　米国での義務化、EUでの法案提出を受け、Software Supply Chain Securityに関するソリューションはこの1〜2年で多く見かけるようになった。Early Stage Expoに出展していたStartupは、「Software Supply Chain Security 関連のソリューションが増えたのは、ハッカー達の攻撃対象が侵入が難しいNetwork/Systemから比較的ハッキングが容易なSoftware/Applicationへと移っている。」と教えてくれた。Software Supply Chainを実現する手段の一つにSBOM(Software Bill of Materials)がある。ソフトウェアの開発手法が変化している中、SBOMはソフトウェアを構成する要素や依存関係などを可視化し、ソフトウェアの脆弱性管理やライセンス管理をサポートする。

　Scribe Security社はソフトウェア開発、CI/CD Pipeline、SDLC(Software Development Lifecycle)をセキュアにするだけでなく、開発工程が進むなかで生じるSBOMの更新を自動的に実施する。

(2-2) Lineaje社

　Lineaje社は継続的にソフトウェアの脆弱性を監視するSoftware Supply Chain Security Managementソリューションを提供している。同社のソリューションはソフトウェアの開発、実装、公開を対象とし、継続的にSBOMの更新、コンプライアンスの自動チェック、リスクの自動評価を行う。

　同社は、Open Sourceへのリスク評価とガバナンス評価、およびTPRM(3rd Party Risk Management)に関するソリューションを提供している。Open Sourceを対象にしたSoftware Supply Chain Securityといえば、Early Stage ExpoにいたEndor Labs社のソリューションも気になった。

(3) Application Security

(3-1) Seal Security社

　Seal Security社は、Open Sourceを安全に継続的に利用するためのOpen Source Vulnerability Remediationソリューションを提供している。例えば、ユーザーがJavascriptで書かれたソースコードを同社のCloudにアップロードすると、ソースコードの脆弱性を可視化する。それに加えて同社は、Open Sourceを安全に利用するための適切なSecurity Patchを自動的に適用してくれる。

　さらに、OSのサポート終了で業務アプリケーションが使えなくなった場合でも、Seal Security社は業務アプリケーションの脆弱性対策に必要なSecurity Patchを開発して自動的に適用してくれる。

(3-2) Tromzo社

　DevOps工程においては、各工程ごとにSecurity Signalがさまざまなツールから送られてくる。各工程の担当者はすぐに対応するのだが、別の工程に関するSecurity Signalはあまり気にかけられていないのが現状だ。そのため、DevOps全体で統一的なSecurity対策をとることが難しい。Tromzo社は、DevOps全体でApplicationのSecurity Riskを検知、可視化、レポート、トリアージ、修正を自動的に行うApplication Security Posture Management(ASPM)と呼ばれるカテゴリーのサービスを提供している。

　一般的にDevOps工程の管理に強みがあるASPMもあれば、運用しているApplicationのRiskの排除に強みがあるASPMがあると言われている。Tromozo社のソリューションは前者だが、Armorcode社のASPMのように、DevOps工程のApplicationと運用フェーズのApplicationの両方を対象としている。

(4) Data Security

(4-1) SCANNER.dev社

　SCANNER.dev社は、S3、Serverless Computerを活用して10TB級のログを安価なコストで高速に検索できるソリューションを提供している。例えば、SplunkのようなSIEMから得られるデータを同社のストレージに移し替えることで、データの高速検索とデータ管理の運用コストの節約を両立できる。

(5) Threat Intelligence

(5-1) HackNotice社

　HackNotice社は、Dark Web、ニュース、公式サイト、メッセージアプリ、SNSなどから人的脅威に関する情報を収集して、360度で人的脅威を分析・可視化・監視、対策に関するソリューションを提供している。同社は、Top Tierだけだなく、2nd Tier, 3rd Tierなどによる情報漏洩やシステム障害も防ごうとしている。

(6) Network Security

(6-1) Aliro Security社

　Harvard大学のNarang LabからSpin Offして誕生したAliro Security社は、さまざまなアプリケーションの実行、コミュニケーション、CloudやGen-AIへアクセスを安全にするSoftware Defined Advanced Secure NetworkのAliroNetを提供している。同社は現在、シミュレーション、設計、実験などを行っている企業、自治体、研究機関を対象にプロモーションを行っているようだ。日本では、慶應大学が同社のプロジェクトに参加していると言っていた。

　Aliro Security社CMOのMichael WoodさんはVeloCloud社ではVP of Worldwide Marketing, Versa networks社ではCMO(Chief Marketing Officer)を務めていたため、Michaelさんを知っている人もいるかもしれない。

6. Expo

　RSAC 2024ではCloud Security、Management and Compliance、Network/Infrastructure Security、Data Security、Security Operation and Incident Reportなどのソリューションが多く見られた。ドイツは以前からRSACに出展していたが、RSACでも国のパビリオンが増えている。イスラエルは2023年に続いて2024年もNTT XCに展示スペースを設けていた。

　以下に、Expoで気になった企業を紹介する。

左:Expo会場のオープンを待つ参加者たち、右: 参加者で賑わうExpo会場

(1) inpher社

　inpher社は、LLMをプロセッサーの中に実装し、暗号化されたデータをシステムの外に出さずに複合化するソリューションを提供している。例えば、ユーザーが資料をAIを使って分析する場合、資料がCloudにUploadされた時点で暗号化される。ユーザーがPromptを入力した場合、資料を複合化せずにプロセッサー上のLLMが回答を返す。同社の仕組みはMicrosoft Azureで使えるほか、On-Premiseにも対応している。Inpher社は先日、Silicon Valleyのハイテク企業の一つのIQT社との提携を発表している。

inpher社のソリューションの流れ

(2) PQSHIELD社

　米国では、2022年11月に脆弱な暗号化システムがもたらすリスクの解消のためにPost-Quantum Cryptographyへに移行に関するExecutive Orderが出されている。EUでも2024年4月に、従来の暗号化技術に変わってPost-Quantum Cryptographyを推奨する発表があった。

　新たな法規制のもと、PQSHIELD社は、Post-Quantum Cryptography対応のハードウェアとプロセッサー上で動作するPost-Quantum Cryptographyソフトウェアを開発している。同社は、AMD社、Microchip社などの半導体メーカーと連携してFPGAを使って実証実験を行っている。同社はすでに日本に担当者がいて、同社のソリューションの展開、Post-Quantum Cryptographyに関する認知度の向上を図っているそうだ。

PQSHIELD社のブースにおける潜在的パートナーの展示

(3) Thinkst Canary社

　Thinkst Canary社はユニークなNetwork Security Solutionを提供している。同社はCisco MerakiなどのNetwork機器やサーバーに接続してDeception Deviceとして使うCanary Deviceとネットワークに侵入したハッカーを誘き寄せるCanary Tokenと呼ばれるHoneypotを提供している。ハッカーが実際のNetwork機器やサーバーと間違えてCanary Deviceに侵入してCanary Tokenにアクセスすると、瞬時にIT管理者にハッカーの侵入が通知されるようになっている。

Thinkst Canary社のDashboard(Display内)と
Canary Device(手前にある黒いデバイス)

7. おわりに

　Google社などが治安悪化を理由にイベントの開催地をSan FranciscoからLas Vegasに移すなか、RSACはRSAC 2025を4月28日から5月1日にSan Franciscoで開催すると発表した。Securityに関する業務をされている方はぜひRSAC 2025に参加して最新技術に触れて刺激を受け、新たなSecurity Partnerを見つけてほしい。