メルマガはこちらから

PAGE
TOP

意識せず使える本人認証など次世代セキュリティー企業4社がピッチ

第41回NEDOピッチ(サイバー&次世代セキュリティ ver.)

特集
JOIC:オープンイノベーション・ベンチャー創造協議会

 JOIC(オープンイノベーション・ベンチャー創造協議会)事務局と国立研究開発法人新エネルギー・産業技術総合開発機構(NEDO)は、オープンイノベーションを創出することを目的とし、スタートアップ企業によるピッチイベント「NEDOピッチ」を開催している。

 2021年8月10日開催の「第41回NEDOピッチ(サイバー&次世代セキュリティ ver.)」では、幅広い領域で求められる「サイバー&次世代セキュリティ」をテーマにし、優れた関連技術を持つ、スタートアップ企業が登壇し、ピッチが行なわれた。

 冒頭、アクセンチュア株式会社 テクノロジーコンサルティング本部 セキュリティグループ マネジング・ディレクターの藤井大翼氏より概要解説があった。

 近年サイバー攻撃が巧妙化、複雑化しているのに加え、内部漏洩など脅威が深刻化している。一方で、ITインフラなど自分たちが使っているテクノロジーも進歩しており、そういった最新のテクノロジーにサイバーセキュリティが追いついていない側面もある。

 次世代サイバーセキュリティには、最新テクノロジーや生活などの変化、進化に追いつくことが必要。攻撃や脅威が複雑化しているからと言って、対策も複雑化するのではなく、シンプルで的確な対策が求められるという。

 直近のサイバーセキュリティのトレンドとしては、オリンピック期間中にはサイバー攻撃が増加するという予測もあったが、今回の場合には特に深刻な被害は発生しなかったようだ。しかし、SNSを使った選手への誹謗中傷などの個人攻撃が見られた。また、新型コロナウィルスの影響で、リモートワークが進んだことにより、これまでは会社の守られたネットワークの中で仕事をしていたのが、自宅などで仕事をすることでセキュリティレベルが低い状態になってしまっていることで被害をけるケースが発生している。今後はリモートワークにおけるセキュリティ環境を強化することも必要になるだろうということだ。

 今後のサイバーセキュリティのトレンドについては、より個人情報やプライバシーを守る仕組みや、暗号解析に立ち向かうソリューションが出てくることを期待している。そして、何より日本おけるセキュリティビジネスが成長し、マーケットが育っていかないと、日本のサイバーセキュリティそのものが立ち行かなくなってしまうので、ぜひ本日参加されているスタートアップの方々には、事業として成功して大きく成長してほしいと締めくくられた。

 続いて、各社からのプレゼンテーションが行われた。

データを暗号化したまま利活用する秘密計算エンジン「Quick MPC」
株式会社Acompany

 最初の発表は、株式会社Acompanyの高橋亮祐氏による、データを暗号化したまま利活用する秘密計算エンジン「Quick MPC(クイックエムピーシー)」の紹介から。

 秘密計算技術とは、データを暗号化したまま計算し、結果のみを復号化する仕組みの総称。プライバシー保護とデータの収集、解析の両立に期待できるとされている。

 「Quick MPC」は、秘密計算システムを構築するためのソフトウェアで、サーバーにインストールするだけで高度な専門性と技術力が必要な秘密計算システムを構築できるもので、国内では2社のみが実現できているものだ。

 秘密計算は黎明期にあり、実装における知見や実用的なOSSがほとんどなく、参照する文献は英語論文のみなどのハードルがある。また、通信速度がボトルネックになるなど高速化にはアルゴリズムの設計から必要になるなど、秘密計算利用のハードルが高いのが課題となっている。

 Quick MPCでは、コストを抑え、高速で安全な秘密計算を提供することで、「使える技術」として分析精度を高めたり、外部公開が難しいデータ連携によるビジネスの拡大などが見込まれている。

 また、プライバシーデータの取扱いに関して、技術だけでなく法律面にも対応しているのが強みとしている。

 続く質疑応答では、個人情報保護法における対応や処理速度の向上についてどのように解決されているのかという質問などが寄せられた。現在、秘密計算で加工したデータは匿名加工情報との扱いを受けていないが、今後データを処理した後と前で関係性がなくせる点から、匿名加工情報や特定ユースケースで特例として扱うことができるかもしれないとのことで、また技術的にはプロトコルやソフトウェアなどそれぞれのレイヤーで高速化を行なっており、十分活用できるレベルとなっている、という回答がなされたほか、安全性に関しても外部機関と連携したり評価を受けるなど積極的に対応していることも強調された。

最も強度に優れ、個人情報漏洩の心配もない”赤ん坊でもすぐに使える本人認証”「DZ Security」
株式会社AnchorZ

 続いての発表は、株式会社AnchorZの徳山真旭氏による、誰にでも使える本人認証技術「DZ Security」についてのピッチが行われた。

 ログインの時に認証行為を求めない「バックグラウンド認証」では、顔認証など様々な認証を「随時」「適宜」行うことで、簡単で安全な認証を行うというもの。設定や認証行為がないので偽装ポイントが不明、端末内に認証情報があるので個人情報の流出もないのが特徴。 ログインの時だけでなく使用し続ける間継続して認証することでよりセキュアな状態を維持できるとしている。

 これら技術をAIチップ化、Intelligent IDというプラットフォームサービスとすることで、セキュリティ強化と利便性の向上のいたちごっこを解消することを目指していると締めくくられた。

 質疑応答では、個人情報、認証情報の入ったデバイスへの攻撃への対応はどういったものがあるのか問われた。これに対しては、スマートフォンアプリである以上どうしても限界はあることを認めつつも、AIチップ化によりデメリットが解消されると期待をに表明。どういったデバイスで使われることを想定しているかという問いには、現時点では常に持ち歩いているスマートフォン、ゆくゆくはIntelligent IDを介してスマートフォンがあらゆるものの鍵として機能することを目指していると回答があった。

不正操作が不可能で、端末やICカードに組み込み可能でトラストアンカーとなるワンチップの真正乱数発生器
株式会社クァンタリオン

 続いての発表では、株式会社クァンタリオンの露崎典平氏による原子核崩壊による「ワンチップの真正乱数発生器」に関するプレゼンテーションが行われた

 予期できない原子核崩壊のタイミングを利用して乱数生成を行うことで、現行の擬似乱数ではなく、真正乱数を使った、ハッキング不可なワンタイム認証が可能となる。 ブロックチェーンや高度医療情報システム、偽造品防止システムなどでの活用をめざしているという。

 現在、ランダムパルス発生器として5mm角チップ(モジュール)の提供が可能である。NEDO助成金で試作したQNT1000(2.8x3.2mm)1チップICは、真正乱数発生器としての性能を確認している。1チップICをセキュリティチップとして機能するモデルなどロードマップを提示。開発資金の提供やセキュリティチップを組み込むユーザー企業とのマッチングを求めているということだ。

 質疑応答では、原子核崩壊の仕組みについてまず質問があった。原子核は自発的に崩壊して次の原子になるという特性があり、それは完全にランダムなので乱数源として機能するという。活用分野に関しては、乱数が生成されるチップを導入することでそれが認証に使えるという仕組みを提供できる。瞬時に認証が必要な、例えば自動運転などのソリューションに有用ではと示された。想定マーケットと規模に関しては、量産できれば単価の安いICカードなどにも使えるとしつつも、最初はドローンなどのワンタイムで認証してゆくソリューションで有効ではないかと回答があった。

環境構築不要のクラウド型学習プラットフォーム「KENRO(ケンロー)」
株式会社Flatt Security

 続いての発表は、株式会社Flatt Securityの豊田恵二郎氏によるクラウド型学習プラットフォーム「KENRO(ケンロー)」と脆弱性診断ソリューションの紹介が行われた

 そもそもサイバーセキュリティといってもビジネス領域が広く、その中で何をやるのか、誰にサイバーセキュリティを届けるのかが重要として、Webアプリケーションなどを開発するデベロッパーにフォーカスしたのがB2D(ビジネスtoデベロッパー)ソリューションだという。

 多くの開発現場では、セキュリティチームからの要求と、開発チームとの対立が起きがちで、結果顧客の方向を向いておらず誰に幸せにならないことが多い。B2Dセキュリティソリューションでは、セキュリティチームは少ない説明コストで開発チームは手戻りも少なくスケジュール通りにリリースできるとしている。

 これらtoDに合致したソリューションがセキュリティ診断とKENROということだ。 セキュリティ診断は一般的な(伝統的な)Webアプリケーションの脆弱性診断だが、優れたエンジニアが対応するということと、モダンな技術スタックに幅広く対応すること、開発者フレンドリーなレポートが支持されている。KENROは、ハンズオンに特化したエンジニア向けのオンラインセキュリティ学習プラットフォームで、脆弱性のある環境にハッキングを仕掛ける演習、脆弱性のあるアプリケーションをセキュアなアプリケーションに作り直す堅牢化演習など、独自のカリキュラムが特徴。事前と事後のセキュリティ対策をバランスよく提供しているとアピール。インハウスの開発者チームを持っている企業などとのマッチングを目指しているという。

 質疑応答では、開発者のセキュリティに対するモチベーションの向上についてやっていることはあるかというものには、特にモチベーションに限定したものを提供しているわけではないが、読みやすい報告書を作るということを心がけるなどで自然とセキュリティ担当者に受け入れやすい開発者となる。現在は基礎の学習コンテンツを提供しているが、継続した学習に繋がるようのモチベーションアップを心がけているなど学習と診断の間を埋めるようなサービスも検討していると表明された。

 競合優位性に関しても、そもそものサービスの成り立ちが競合優位性であると説明された。その中で、顧客にどういった価値を提供できるかと考えた時に、開発者向けに良いサービスを提供するというのが独自性でもあり、強みなのではないかという分析が表明された。

 ピッチの後、NEDOの石嶋氏によるJOICの概要について紹介があった。

 JOICは、ベンチャー創造協議会とオープンイノベーション協議会が2017年3月に合併して設立され、8月1日現在の会員数は1791名、大企業が約3割、中小合わせて約3割という構成で、オープンイノベーションに参画しており、情報サービス、通信、電気・機械、化学・薬品などの業種の会員が多い。Youtubeチャンネル(NEDO Channel)やTwitterなどで情報を発信しているのでフォローをお願いしたいと呼びかけもあった。

 また、JOICへの入会、公募も随時行っていることも案内された。

 続いて、経済産業省サイバーセキュリティ課課長補佐の入江奨氏より産業分野におけるサイバーセキュリティ政策に関する紹介があった。

 2020年は、たくさんのサイバー攻撃のインシデントがあり、経済産業省でも脅威の注意喚起を行ってきた。これまでと違ったところでは、VPN機器の脆弱性をついて直接侵入するような攻撃が見られるようになった。ランサムウェアに関しても、自社だけでなく取引先企業の情報なども含めた脅迫となるなど攻撃の高度化、悪質化などが見られる。本社の管理が行き届かない海外拠点から侵入されるなど、国際的、多面的な攻撃が取られるようにもなってきているとしている。

 2020年12月18日公開資料の「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」では、二重の脅迫など経営者でなければ判断が困難な状況も生じたり、海外拠点とのシステム統合によってセキュリティリスクを抱えることもあり、場合によってはシステムを切り離した運用も検討するなど情報提供や対策の示唆などが行われている。

 Scociety5.0時代では、階層ごとのセキュリティ対策や、日本国内のセキュリティ製品を盛り上げてゆく動き、機器やサービスの事業者が検証サービスを利用してセキュリティを検証してゆくなどのサイバーセキュリティ向上のためのビジネスなども盛り上げてゆきたいと締めくくられた。

合わせて読みたい編集者オススメ記事

バックナンバー