ユーザー名やドメイン名、メールアドレス、パスワード、個人データを狙ったIDベースの攻撃の脅威が増加を続けている。従来型のセキュリティ対策はこれらHI(Human Identity:人間の認証)に関する脆弱性対策に焦点をあててきた。
だが、今日ではスマホやIoTデバイス、複数のクラウドやオンプレミスのハイブリッド環境上で無数のソフトウェアが稼働し、マシン間のアクセス・認証に用いられるデジタル構造を作り上げている。こうしたNHI(Non Human Identity:人間以外の認証)の脆弱性対策は盲点となってきた。
HIセキュリティではパスワードや生体認証、スマホなどの所持品という3つの要素によって複数段階で認証を保護できる。一方、NHIは使用できる生体認証や所持品がないため二段階認証を行うことができず、保護するものは開発者がマシンに付与したシークレットだけなのだ。
この巨大なセキュリティホールを解消する製品を投入したのが、イスラエルのスタートアップ「Oasis Security」である。
共同設立者の2人は8200部隊出身Oasis Securityはイスラエル国防軍出身のDanny Brickman氏とAmit Zimerman氏の2人によって2022年に設立された。スタートアップ大国として知られるイスラエルのサイバーセキュリティ分野では、国防軍でサイバー防衛を担う精鋭部隊「8200部隊」が起業家人材育成の場となっている。
エリート訓練プログラムTalpiot卒業生にして8200部隊の長を務めた人物。軍にいた7年間の中でCPOのZimerman氏とともにチームを主導し、サイバーセキュリティ分野での重大な問題(機密事項のためか詳細は明らかにされていない)を特定・解決した。その功績によってイスラエル大統領から防衛章を授与されている。
Brickman氏は起業当時を振り返ってこう書いている。「Oasisはテルアビブの小さな部屋から始まりました。8200部隊の才能あふれる友人たちと共に立ち上げたのです。当社の信念は“不可能を可能に変える”という部隊の文化によって形作られたもので、Oasisの礎石となっています」
シリーズAラウンドで4000万ドルを調達設立以来、水面下でタイミングをはかっていた同社は2024年1月にステルスモードを脱し、NHI管理を実行するOasisプラットフォームおよび4000万ドルの資金調達の成果を発表した。平均調達額が200万~500万ドルであるシリーズAラウンドで多額の資金を調達できたのも、共同設立者の2人が8200部隊出身であることと無縁ではないだろう。
今回の資金調達はSequoia Capital主導によるもので、Accel、Cyberstarts、Maple Capitalが参加。SequoiaのBogomil Balkansky氏は、NHI管理がセキュリティ分野に残された最大の課題であること、巨大化を続けるNHI脆弱性を保護するためOasisの若き才能が乗り出したことに高い期待を示している。
ステルスモードを脱したばかりのOasis Securityだが、ファストカジュアルフードチェーンのChipotle、不動産会社のJLL、Mercury Financialといった初期の顧客からすでに高い評価を受けている。
Oasis SecurityのNHIMプラットフォームOasisが提供するNHIM(Non-Human Identity Management)ツールは、ライフサイクル全体をとおして、すべてのNHI保護に必要な機能を自動化可能。特に機密情報の定期的な更新作業を大幅に簡素化し、システムを停止させることなく脆弱性を効率的に修復できる。
数分で簡単にセットアップでき、クラウドやSaaSプロバイダーにシームレスに統合可能。あらゆるNHIを自動で検出、継続的に環境を分析して自動生成のカスタマイズ修復プランでセキュリティポスチャのリスクを特定・分類・解決する。これは手動または半自動・完全自動で実行できるという。
AIの進化で巨大化し続けるNHIセキュリティホールサービスアカウントやシステムアカウント、マシンID、トークン、キーといったNHIの数は今や指数関数的に増加。巨大なエコシステムを形成し、現時点でもHIの10倍から50倍に達している。さらに、AIの進化がもたらす不都合な未来も予想されている。AI駆動で自動化された業務プロセスやAIを組み込んで自動化されたサービスの普及は、今後大きく進むだろう。
NHIの増加は加速するばかりだ。つまり、NHI脆弱性攻撃の機会も爆発的に増加することになる。
事実、NHIの脆弱性を突いたサイバー攻撃や、NHIの管理不全による情報漏洩は増加する一方だ。2023年発生の一例をあげるだけでもMicrosoft社AI研究者による38TBのAIデータ情報漏洩、Slack従業員のトークンが盗まれたことによるGitHubリポジトリの侵害などがある。
従来のHI中心の脆弱性対策ではこれらの問題に対応できない。全体の状況を見渡してNHIセキュリティリスクを包括的に見える化することに加えて、ライフサイクル全体を通したNHIの管理が必要不可欠だ。
NHI管理の未来をかたちづくるOasisの使命Brickman氏は自ら執筆したブログ記事「Oasis Security Emerges from Stealth」で、NHI管理の重要性について語っている。「私たちはソフトウェアが世界を侵食する現代社会において、NHIの出現と、それがHIを急速に上回ることによる重大な変化を目の当たりにしています」
興味深いことに、同氏はこの現状をイギリスのロックバンドRadioheadの代表曲のミュージックビデオに例えている。
「テクノロジー主導のこの世界の複雑さを描いたRadioheadの『Paranoid Android』を思い出します。当社はこの複雑さを取り除き、デジタル時代の困難を安全と信頼の啓発的なソリューションへと変容させ、“パラノイド”的な混乱を効率よく解消させるべく、情熱をもって取り組んでいます」
Oasis Securityの企業ミッションは、大規模かつ効率的なNHI管理を可能にしてサイバーセキュリティの防衛を強化することだという。「私たちは単に製品を提供するのみならず、NHI管理の未来を形づくっていきます」
モダンエンドポイントセキュリティ市場、ID管理市場、脆弱性管理対策市場が成長する中で、これまで見過ごされてきた脆弱性管理に注目するOasis Securityの今後に注目だ。
引用元:Oasis Security
(文・五条むい)