RSAC 2024 レポート 〜 世界のセキュリティトレンドを一挙紹介 〜
本記事は、NTTコミュニケーションズ イノベーションセンターの小室智昭氏より寄稿いただいた原稿をそのまま掲出しています。
1. はじめに
大手テック企業のイベントがSan Francisco市から離れる中、5月6日から9日にSan Francisco市で世界最大級のSecurity ConferenceのRSAC 2024が開催された。今回も大手企業が広いブースで展示するなど、Security業界は活況のようだ。
本稿は、RSAC 2024の人気セッション、Startup、Expoについて報告する。
2. RSAC 2024概要
RSACは、暗号化技術に関するテックカンファレンスとして1991年から毎年開催され、今回が33回目の開催となる。現在は、暗号化だけでなくセキュリティにおけるKeynote、Session、Training/Workshop、Startup Contestなどが開催される世界最大級のSecurity Conferenceとなっている。RSAC 2024初日には映画”War Game”の主役のMatthew Broderickさんのユニークなステージ、RSACのExecutive ChairmanのHugh ThompsonさんのWelcome Speechに続いてアメリカ合衆国国務長官のAntony Blinkenさんの”Technology and the Transformation of U.S. Foreign Policy”と題するKeynoteが行われた。
主催者は、Conference終了後にRSAC 2024の参加者数などを発表した(出典: RSAC)。
- RSAC 2024のテーマ: The Art of Possible(現実主義)
- 会場: Moscone Center(North、South、West) in San Francisco
- 参加者: 41,000人以上
スピーカー: 約650人
出展者: 約600社(Innovation Sandbox: 10社、Early Stage Expo: 58社)
メディア: 400人以上 - セッション: 425
- Keynote: 33
- 注目すべきトピックス
Next-Gen AIとAI活用の倫理観およびガードレール
セキュリティとプライバシー
最新技術の急拡大に伴う国際社会のポリシーに与える影響
3. 投資家目線のセキュリティ業界動向
今年の“The State of Venture Capital in Cybersecurity"というテーマのSessionもNightDragon社Founder & CEO &Managing DirectorのDave DeWaltさん(以降、Daveさん)がModeratorを務めた。そこにTen Eleven Ventures社PartnerのMark Hatfieldさん、YL Ventures社Managing PartnerのYoav Leitersdorfさん(以降、Yoavさん)、Rain Capital社General PartnerのChenxi Wangさん(以降、Chenxiさん)、Team8社
Co-Founder & Managing PartnerのNadav Zafrirさん(以降、Nadavさん)がPanelに加わり、Security業界の投資動向、Threat Trendなどの議論が展開された。昨年は、スライドでSecurity Trendを説明してくれたが、今年はModeratorのDaveさんが各Panelに質問する形でSessionが進められた。
(1) 投資動向
Daveさんによると、2023年はCyberspaceへの投資額は2022年の2,420億ドルと比べて30%少ない1,700億ドルだったそうだ。ただ、投資全体の42%がEarlyなSeed StageのStartupへのもので、これまでとは傾向が違うという。またNadavさんやChenxiさんは、「2021年、2022年の投資は加熱気味で2023年は適切に企業評価された結果だ。」とコメントした。Yoavさんは、「Early Stage Startupへの投資が増えた一方、Growth Stage VCがスローダウンした」と話した。
しかし、Cybersecurityをターゲットにした”Cyber fund”は成長しているという。例えば、Team8社は2024年に新たなFundを立ち上げている。
(2) Threat Trends
Cyber Riskにおいて、2023年は記録的な年となった。年間で953の新たなグループが誕生し、世界中で3,000人以上のハッカーが活動をしている。悪意ある人たちの中には、SNSを通じて組織に打撃を与えようとしている人たちもいる。米国は2024年に大統領選挙があり、偽情報の拡散が懸念されている。Markさんは、「偽情報、ミスリード、風評被害をもたらす”Narrative Attack”にも注目すべき」と話した。
「AIを活用した高度な攻撃にも注意すべきで、”AI for Security”は2024年で一番の話題になるだろう」とYoavさんは言う。また「AIの活用で企業・団体とハッカーとの攻防は一進一退となり、AIの活用がより良いSecurity対策となる。」とYoavさんは続けた。さらにNadavさんは、「ハッカーはすぐに最新技術に対応するが、企業や組織は”自分たちのネットワークで何が起きているか?”に気づくのに時間がかかるため、数年は企業・組織は緊張が続くだろう」と指摘した。 Daveさんは、「企業、株主をCyber Attackから守るために、企業幹部にCybersecurityのエキスパートがいて、すぐに指示が出せる体制を作ることが必要だ。」と提案していた。
4. RSAC Innovation Sandbox
RSAC 2024はコロナ前の賑わいを取り戻し、入場制限がかけられるほどだった。過去18回のFinalistたちは、80社以上が買収され、合計の資金調達額は135億ドルに達している。Pitch前にステージに招かれたHiddenLayer社は、2023年のInnovation Sandbox優勝後にM12社などから5,000万ドルの資金を調達している。
私の目線で10社のFinalistsを分析すると、Identity Management(2社)、Data Security(2社)、AI-powered SOC(2社)、AI Security(1社)、Cloud Security(1社)、Privacy(1社)、Vulnerability(脆弱性) Intelligence(1社)となった。
各Startupは3分の持ち時間で自社のサービスを説明し、3分間の質問時間に5人の審査員からの質問に回答する。審査員はStartupを(1)解決しようとしている課題、(2)アイデアの独自性および先進性(特許出願)、(3)マーケティング戦略、(4)製品が市場に与えるインパクト、(5)チームメンバーと実現性、(6)市場の評価の6つのポイントで評価する。以下に、Finalistをカテゴリーごとに紹介する。
(1) Identity Management
(1-1) Aembit社
Aembit社は、Cloud、SaaS、データセンター間のWorkloadへのアクセスをIdentityを活用して保護するWorkload Access Management Platformを提供している。Aembit社のPlatformを利用すると、DevSecOpsは透明性高く、ポリシーベースのZero TrustなWorkload Access管理の自動化を実現できる。
(1-2) P0 Security社
P0 Security社は、開発者のWorkflowに影響を与えることなく、人や機械などのすべてを対象にSecureなCloud Accessを実現するためのGovernanceソリューションを提供している。
P0 Security社はすべてのIdentityをリスト化し、Identity全てにおいてリスク状況を評価、アクセス状況の管理、サービス提供とJIT Access(Just In Time Access、一時的なアクセス)の申告の対応を自動化する。
(2) Data Security
(2-1) Antimatter社
Antimatter社は、どんなデータやCloud Applicationでも、データの匿名化、ログ、暗号化、およびデータへのアクセス制御を行うPlatformを提供している。個人名、パスワード、SSN(ソーシャルセキュリティ番号)、口座番号などの機密データをユーザーが設計したポリシーに従い自動的に秘匿化することで、安心してAI/ML(AIやMachine Learning)を利用できるようにする。もちろん、分析結果に機密データが含まれることはない。
(2-2) Bedrock社
Bedrock社は、AI Reasoning(AIR) Engineという独自のAI推論エンジンを開発してデータを学習することで、未知の脆弱性に対して既存のルールに縛られずに、データに関する脅威の評価(検知・可視化)、アクセス管理などのコンプライアンス対応、リスク対応を行う。
(3) AI-powered SOC
(3-1) Dropzone AI社
Dropzone AI社は、24/7でSecurity Alertを自律的に監視し、SOC(Security Operation Center)担当者やCISOの意思決定をサポートするAI SOC Analytics Platformを提供している。既存のツールと統合することで、SOC担当者やCISOが即座に意思決定できるレポートを提供する。
(3-2) Mitiga社
Remote Workが進み、Cloud/SaaS利用のSecurity Riskが高まるなか、Mitiga社はCloud上のDigital Forensicsを実現するCloud Investigation and Response Automation(CIRA)ソリューションをSOC向けに提供している。同社のソリューションは、CloudおよびSaaSの可視化、脅威の検知、捕捉、対応などの機能を提供する。
同社のソリューションはMicrosoft Azure Marketplaceに登録され、簡単に利用が始められる。
(4) AI Security
“AI for AI”と説明するStartupがいるほど、Security分野でもAIは欠かせない技術となっている。また、「攻める側がAIを使っているのに、守る方がAIを使っていなければ勝負にならない。」と言う人もいる。
(4-1) Harmonic社
Harmonic社は、企業におけるGen-AIの利用状況を可視化し、データのSecurityとPrivacyの両方を保護するソリューションを提供している。企業は、同社の可視化ツールを利用することで、企業が使用を禁止しているShadow AIを発見して、使用を禁止できる。また、機密データに関する独自LLMで、機密データの特定と保護を可能としている。
(5) Cloud Security
(5-1) RAD Security社
RAD Security社は、Cloudにおける振る舞いをベースにしたCloud NativeなThreat Detection and Response(TDR)を提供している。同社は、SBOM、Workload管理に加えて、Cloudにおける振る舞いを”Behavioral Fingerprint”として登録し、Zero-day Attackを排除、Zero Turstの実現、Risk状況の確認を可能とする。
(6) Privacy
(6-1) Reality Defender社
Reality Defender社は、AIを使って生成されたDeep Fakeなどの有害なコンテンツ(画像、動画、音声)をリアルタイムに検知・分析し、拡散を防止するソリューションを提供している。顔の画像の場合、同社は疑いのある部分をヒートマップで可視化することもできる。同社は、詐欺の防止や選挙妨害などの撲滅を目指している。
(7) Vulnerability Intelligence
(7-1) VulnCheck社
VulnCheck社は、次世代のExploit(不正利用) Intelligence/Vulnerability Intelligenceを提供している。同社は、400以上のデータソースから3億個以上のユニークなデータを抽出して脆弱性および不正利用を監視してハッカーの初動を検知する。さらに対応の優先度化により、攻撃が始まる前に脆弱性の脅威から企業を守る。
RSAC 2024 Innovation Sandboxで優勝したのは、AIを使って生成されたDeep Fakeなどの有害なコンテンツ(画像、動画、音声)をリアルタイムに検知・分析し、拡散を防止するソリューションを提供しているReality Defender社だった。審査員が講評したように、2024年に大統領選挙を控える米国では、Deep Fakeの増大・拡散が予想される。Reality Defender社は技術だけでなく、時勢を捉えたソリューションだったと思う。
Runner-up(第2位)はCloud、SaaS、データセンター間のWorkloadへのアクセスをIdentityを活用して保護するAembit社だった。RSAC 2024ではID管理のソリューションがトレンドの兆しを見られていたため、2024年が大統領選挙の年でなければ、Aembit社が優勝していたかもしれない。
5. Early Stage Expo
RSAC 2024 Early Stage Expoには創業間もないStartupやCerby社、Scribe Security社、Seal Security社、Growth StageのStartupなど58社が出展していた。
RSAC 2024 Early Stage Expoの出展社は10のカテゴリーに分類できるが、トップ5は以下のようだった。( )内の順位はRSAC 2023 Early Stage Expoの順位を示している。昨年の順位と比べるとApplication Securityは引き続き多くのStartupがチャレンジしている。Data Securityの分野は、AI/MLを安全に利用するためのPrivacy対策、確実かつ簡易なData管理、新たな暗号化など多様なソリューションが見られた。
1位: Application Security(1位)
2位: Risk Management and Compliance
3位: Data Security(5位)
4位: Identity and Access Management(4位)
5位: Security Operations and Incident Response
今回は58社全てから話を聞くことができた。ここでは私が気になった10社を簡単に紹介する。
(1) Identity Management
(1-1) Cerby社
Montgomery Summitで出会い、その後もFollow upしているCerby社はユーザーIDをもとに、アプリケーションレベルでアクセス管理を可能とするAccess Management Platformを提供している。OktaやMicrosoft Entra IDなどのIdP(Identity Provider)を導入している企業ユーザーはCerby社のPlatformを利用することで、高度かつ一貫性のあるアクセス管理とアプリケーションのLifecycle管理を実現できる。
(1-2) Entitle社
3週間前にIdentity and Access Securityを提供しているBeyondTrust社に買収されたばかりのEntitle社はCloud、SaaSなどを対象に”Just-in-Time(JIT) Access”を提供している。Entitle社は、企業の社員がデータやシステムへのアクセスが必要な時、管理者やサポートデスクにその都度申請する代わりに、細かなアクセス制限をした上で一時的なアクセス許可を与える。Self-Serviceを実現することで、社員は必要な時に申請なく一時的にリソースにアクセスでき、サポートデスクは申請に対する稼働を大幅に削減できる。
(1-3) MightyID社
Ransomeware Attackを受けた場合、機密データやアプリケーションの復元は企業や組織にとってとても重要だが、ユーザーIDを正確に復元することも同様に重要だとMightyID社は考えている。そこでMightyID社は、OktaやMicrosoft Entra IDなどのIdentity and Access Management(IAM)を対象としたRansomware対策のBackupサービスを提供している。
(2) Software Supply Chain Security
(2-1) Scribe Security社
米国での義務化、EUでの法案提出を受け、Software Supply Chain Securityに関するソリューションはこの1〜2年で多く見かけるようになった。Early Stage Expoに出展していたStartupは、「Software Supply Chain Security 関連のソリューションが増えたのは、ハッカー達の攻撃対象が侵入が難しいNetwork/Systemから比較的ハッキングが容易なSoftware/Applicationへと移っている。」と教えてくれた。Software Supply Chainを実現する手段の一つにSBOM(Software Bill of Materials)がある。ソフトウェアの開発手法が変化している中、SBOMはソフトウェアを構成する要素や依存関係などを可視化し、ソフトウェアの脆弱性管理やライセンス管理をサポートする。
Scribe Security社はソフトウェア開発、CI/CD Pipeline、SDLC(Software Development Lifecycle)をセキュアにするだけでなく、開発工程が進むなかで生じるSBOMの更新を自動的に実施する。
(2-2) Lineaje社
Lineaje社は継続的にソフトウェアの脆弱性を監視するSoftware Supply Chain Security Managementソリューションを提供している。同社のソリューションはソフトウェアの開発、実装、公開を対象とし、継続的にSBOMの更新、コンプライアンスの自動チェック、リスクの自動評価を行う。
同社は、Open Sourceへのリスク評価とガバナンス評価、およびTPRM(3rd Party Risk Management)に関するソリューションを提供している。Open Sourceを対象にしたSoftware Supply Chain Securityといえば、Early Stage ExpoにいたEndor Labs社のソリューションも気になった。
(3) Application Security
(3-1) Seal Security社
Seal Security社は、Open Sourceを安全に継続的に利用するためのOpen Source Vulnerability Remediationソリューションを提供している。例えば、ユーザーがJavascriptで書かれたソースコードを同社のCloudにアップロードすると、ソースコードの脆弱性を可視化する。それに加えて同社は、Open Sourceを安全に利用するための適切なSecurity Patchを自動的に適用してくれる。
さらに、OSのサポート終了で業務アプリケーションが使えなくなった場合でも、Seal Security社は業務アプリケーションの脆弱性対策に必要なSecurity Patchを開発して自動的に適用してくれる。
(3-2) Tromzo社
DevOps工程においては、各工程ごとにSecurity Signalがさまざまなツールから送られてくる。各工程の担当者はすぐに対応するのだが、別の工程に関するSecurity Signalはあまり気にかけられていないのが現状だ。そのため、DevOps全体で統一的なSecurity対策をとることが難しい。Tromzo社は、DevOps全体でApplicationのSecurity Riskを検知、可視化、レポート、トリアージ、修正を自動的に行うApplication Security Posture Management(ASPM)と呼ばれるカテゴリーのサービスを提供している。
一般的にDevOps工程の管理に強みがあるASPMもあれば、運用しているApplicationのRiskの排除に強みがあるASPMがあると言われている。Tromozo社のソリューションは前者だが、Armorcode社のASPMのように、DevOps工程のApplicationと運用フェーズのApplicationの両方を対象としている。
(4) Data Security
(4-1) SCANNER.dev社
SCANNER.dev社は、S3、Serverless Computerを活用して10TB級のログを安価なコストで高速に検索できるソリューションを提供している。例えば、SplunkのようなSIEMから得られるデータを同社のストレージに移し替えることで、データの高速検索とデータ管理の運用コストの節約を両立できる。
(5) Threat Intelligence
(5-1) HackNotice社
HackNotice社は、Dark Web、ニュース、公式サイト、メッセージアプリ、SNSなどから人的脅威に関する情報を収集して、360度で人的脅威を分析・可視化・監視、対策に関するソリューションを提供している。同社は、Top Tierだけだなく、2nd Tier, 3rd Tierなどによる情報漏洩やシステム障害も防ごうとしている。
(6) Network Security
(6-1) Aliro Security社
Harvard大学のNarang LabからSpin Offして誕生したAliro Security社は、さまざまなアプリケーションの実行、コミュニケーション、CloudやGen-AIへアクセスを安全にするSoftware Defined Advanced Secure NetworkのAliroNetを提供している。同社は現在、シミュレーション、設計、実験などを行っている企業、自治体、研究機関を対象にプロモーションを行っているようだ。日本では、慶應大学が同社のプロジェクトに参加していると言っていた。
Aliro Security社CMOのMichael WoodさんはVeloCloud社ではVP of Worldwide Marketing, Versa networks社ではCMO(Chief Marketing Officer)を務めていたため、Michaelさんを知っている人もいるかもしれない。
6. Expo
RSAC 2024ではCloud Security、Management and Compliance、Network/Infrastructure Security、Data Security、Security Operation and Incident Reportなどのソリューションが多く見られた。ドイツは以前からRSACに出展していたが、RSACでも国のパビリオンが増えている。イスラエルは2023年に続いて2024年もNTT XCに展示スペースを設けていた。
以下に、Expoで気になった企業を紹介する。
(1) inpher社
inpher社は、LLMをプロセッサーの中に実装し、暗号化されたデータをシステムの外に出さずに複合化するソリューションを提供している。例えば、ユーザーが資料をAIを使って分析する場合、資料がCloudにUploadされた時点で暗号化される。ユーザーがPromptを入力した場合、資料を複合化せずにプロセッサー上のLLMが回答を返す。同社の仕組みはMicrosoft Azureで使えるほか、On-Premiseにも対応している。Inpher社は先日、Silicon Valleyのハイテク企業の一つのIQT社との提携を発表している。
(2) PQSHIELD社
米国では、2022年11月に脆弱な暗号化システムがもたらすリスクの解消のためにPost-Quantum Cryptographyへに移行に関するExecutive Orderが出されている。EUでも2024年4月に、従来の暗号化技術に変わってPost-Quantum Cryptographyを推奨する発表があった。
新たな法規制のもと、PQSHIELD社は、Post-Quantum Cryptography対応のハードウェアとプロセッサー上で動作するPost-Quantum Cryptographyソフトウェアを開発している。同社は、AMD社、Microchip社などの半導体メーカーと連携してFPGAを使って実証実験を行っている。同社はすでに日本に担当者がいて、同社のソリューションの展開、Post-Quantum Cryptographyに関する認知度の向上を図っているそうだ。
(3) Thinkst Canary社
Thinkst Canary社はユニークなNetwork Security Solutionを提供している。同社はCisco MerakiなどのNetwork機器やサーバーに接続してDeception Deviceとして使うCanary Deviceとネットワークに侵入したハッカーを誘き寄せるCanary Tokenと呼ばれるHoneypotを提供している。ハッカーが実際のNetwork機器やサーバーと間違えてCanary Deviceに侵入してCanary Tokenにアクセスすると、瞬時にIT管理者にハッカーの侵入が通知されるようになっている。
7. おわりに
Google社などが治安悪化を理由にイベントの開催地をSan FranciscoからLas Vegasに移すなか、RSACはRSAC 2025を4月28日から5月1日にSan Franciscoで開催すると発表した。Securityに関する業務をされている方はぜひRSAC 2025に参加して最新技術に触れて刺激を受け、新たなSecurity Partnerを見つけてほしい。
情報通信総合研究所は、先端ICTに関する豊富な知見と課題解決力を活かし、次世代に求められる価値を協創していきます。
調査研究、委託調査等に関するご相談やICRのサービスに関するご質問などお気軽にお問い合わせください。
ICTに関わる調査研究のご依頼はこちら関連キーワード
小室智昭 (Tom Komuro)の記事
関連記事
-
5年ぶりの新体制に移行する欧州連合(EU)と 情報通信政策の行方
- WTR No428(2024年12月号)
- 政策
- 欧州
-
欧州モバイル市場 ~競争力と市場集中を巡る議論
- WTR No428(2024年12月号)
- モバイル通信事業者(海外)
- 欧州
-
TC Disrupt 2024参加レポート 〜 Startup登竜門に見るStartupトレンド 〜TC Disrupt 2024参加レポート 〜 Startup登竜門に見るStartupトレンド 〜
- WTR寄稿
- イベントレポート
- 海外イベント
- 米国
-
フリーランス新法施行にあたり考える
- ICR Insight
- WTR No428(2024年12月号)
-
MWCラスベガス2024:速報レポート
- MWC
- WTR No428(2024年12月号)
- イベントレポート
- 海外イベント
- 米国
InfoCom T&S World Trend Report 年月別レポート一覧
メンバーズレター
会員限定レポートの閲覧や、InfoComニューズレターの最新のレポート等を受け取れます。
ランキング
- 最新
- 週間
- 月間
- 総合