- 数百項目のセキュリティリスクを自動で診断、設定ミスを検出
- 海外では複数のユニコーン、注目市場の「CSPM」
- 知人のアドバイスをきっかけに業界を徹底研究
AWS(Amazon Web Services)やGCP(Google Cloud Platform)、Microsoft Azureといったパブリッククラウドサービスの普及に伴い、これらにまつわる大規模な情報漏洩や不正アクセスを始めとしたセキュリティインシデント(セキュリティ関連の事故)が企業の悩みの種になっている。
主要な原因の1つに挙げられるのが、クラウドサービスの「設定ミス」だ。アクセス制限の設定ミスで個人情報が公開状態になってしまっていたり、権限管理の設定ミスで関係者以外に管理者の権限が付与されてしまっていたり。ちょっとした設定ミスが大規模なセキュリティ事故を引き起こしてしまう事例がいくつも生まれている。
日本では総務省が7月に「クラウドサービスの利用・提供における適切な設定のためのガイドライン」の草案を公開。意見や取り組み事例の募集を始めた。
そんなクラウドサービスの設定ミスの対応策として、近年ニーズが高まってきているのが「CSPM(Cloud Security Posture Management)」と呼ばれる領域のプロダクトだ。
企業が利用しているクラウドサービスを一元管理し、危険な設定ミスやセキュリティリスクを検知することで事故を防ぐ── 。この領域からはイスラエルのWizや米国のOrca Securityなど急成長を遂げるユニコーン企業が誕生している。
2019年創業のLevettyもCSPM領域において事業を手がける1社。数少ない日本発のプレーヤーだ。同社のセキュリティサービス「Cloudbase」は3月にベータ版をローンチしたばかりではあるものの、スズキやアイフルを始め複数社が有償で導入。Levettyでは8月24日に正式版の公開と同時に1.3億円の資金調達を発表しており、今後の事業拡大を見据えている。
数百項目のセキュリティリスクを自動で診断、設定ミスを検出
CloudbaseはAWSやGCP、Azureなどのパブリッククラウドにおける設定ミスを自動で診断するセキュリティサービスだ。企業のクラウド構成をスキャンした上で数百項目のセキュリティリスクを自動で診断し、設定ミスを危険度ごとに表示する。
定期的にスキャンをすることで、クラウド構成が変わった場合でも新たな設定ミスに素早く気付ける。スキャンにかかる時間は5分程度。企業の視点では、膨大な工数をかけることなく「今まで曖昧だった自社のクラウドの健康状態をチェックできるようになる」(Levetty代表取締役の岩佐晃也氏)のが特徴だ。
岩佐氏によると、従来の設定ミスの対策としては年に数回の脆弱性診断やペネトレーションテストの実施、社内のエンジニアによる手作業でのクラウドの設定などの手段が用いられることが多かった。
ただ数回の診断では回数が少なく頻度の面でリスクがあり、エンジニアが手作業で進めるには膨大な工数がネックになる上に網羅性にも欠ける。クラウドサービスにデフォルトで備わっているセキュリティ機能もUI/UXの複雑さや言語面のハードルがあり、しっかりと運用できている企業は少ないという。
クラウドサービスの拡大とともにセキュリティ面の課題が大きくなる一方で、有効な対策はこれといって存在しない。グローバルでCSPM領域のスタートアップが台頭してきている背景にはそのような事情もあるようだ。
海外では複数のユニコーン、注目市場の「CSPM」
CSPMに関しては日本発の事業者は限られるものの、米国やイスラエルを始め海外ではすでに複数のプレーヤーが事業を展開している。冒頭で触れたWizやOrca Securityといったユニコーン企業に加え、Palo Alto Networksのような上場企業もサービスを手がける。同社の「Prisma Cloud」は日本の大企業でも導入が進んでおり、Cloudbaseにとってはライバルになりうる存在だ。
検出できるリスクなどは似通ってくる部分もあるが、ユーザー体験やサポートなどの運用面を磨くことで事業を拡大できるチャンスはあると岩佐氏は話す。
「海外製の製品はセキュリティエンジニア向けに作られているものも多い印象です。ただ日本の場合は米国などとは異なり(開発を外部のSIerなどに委託しているため)社内にエンジニアがいない企業も珍しくなく、エンジニアではない人がCSPMに触れるケースも多い。そのためエンジニア以外の担当者にもわかりやすい体験やサポートが必要だと考えています」(岩佐氏)
実際にある大手企業は導入時に海外製の製品とも比較した上で、サービスの使い勝手や運用のしやすさを決め手にCloudbaseを選んだという。
知人のアドバイスをきっかけに業界を徹底研究
LevettyではCloudbaseを手がける前にも、複数のサービスを開発してきた。岩佐氏自身は10歳の頃にプログラミングを始め、Levetty創業前には複数のスタートアップに勤務。iOSエンジニアとして10個以上のサービスローンチに携わった。
Levettyを起業した後も「思いついたものはすぐに実装してみるスタイル」で、開発したサービスはARやビデオチャット、音声SNS、スマホアプリのテスト自動化サービスなど多岐に渡る。
そんな岩佐氏がCloudbaseの開発に向けて動き出したのが2021年の秋ごろ。きっかけとなったのは共通のVCから出資を受けていた医療系スタートアップ・HOKUTO代表取締役の五十嵐北斗氏のアドバイスだった。
当時セキュリティ教育関連のサービスを運営していた岩佐氏は、それまでと同じようにオフィスでは常にエディタを開き、思いついたアイデアを形にするべくコードを書き続ける日々を送っていた。そんなある夜、いつものようにシェアオフィスで仕事をしていると五十嵐氏に声をかけられたという。
「いつも遅くまでコードを書いているけれど、試しに今やろうとしている領域の競合や各社がターゲットにしている顧客の情報、業界の構造などをホワイトボードに書き出してみてはどうか」
そう言われた岩佐氏は、ペンをほとんど動かすことができずに止まってしまった。そんな様子を見た五十嵐氏からは「君がやろうとしていることは暗闇の中を地図なく歩こうとしているようなものだよ」とアドバイスされた。
その日から3カ月間、岩佐氏はエディタを開くのを止め、セキュリティ領域で1番いい事業は何かを探るべく業界のリサーチを徹底的に進めた。中でもクラウドセキュリティ領域はグローバルで盛り上がっているが、日本でも再現性はあるのか。SIerや事業会社のキーパーソンにもヒアリングを重ねていく中で、各社が課題を抱えており、日本でやるべきだと考えた。
2022年1月に事前登録のリリースを出してみると、20社程度から問い合わせがきた。プロダクトの開発前ではあったがサービス画面のデザインを見せながら説明したところ、8割ほどの企業からは有償で契約したいという反応が返ってきたことも自信につながったという。
事前登録の際はSMBが中心だったが、ベータ版ローンチ後に担当者と話をしているとエンタープライズでも課題が大きいこともわかった。冒頭で触れた通り現在はスズキやアイフルなど大手企業での活用も少しずつ進んでいる。
今後は開発体制を強化しながらプロダクトの改良に力を入れていく計画だ。検知の対象を設定ミス以外のセキュリティリスクにも広げていくほか、将来的にはミスを検知するだけでなくユーザーのニーズに応じて自動で修復するような機能の実現なども検討していくという。
そのための資金として、Levettyでは米国VCのArena Holdingsなどから1.3億円の資金も調達している。(以下は今回の主な投資家)。
- Arena Holdings
- DNX Ventures
- Delight Ventures
- East Ventures
- 京大創業者応援ファンド
- さくらインターネット CEO 田中邦裕氏氏
- Paidy CEO Russell Cummer氏
- SmartHR 創業者 宮田昇始氏
- ラクスル CFO 永見世央氏
