探そう、まだ見ぬ未来を。

ビジネスモデルの未来

「その人らしさ」や「ふるまい」を判定し、不正アクセスを検知

株式会社カウリス

サイバー攻撃を可視化するセキュリティープラットフォームを目指す

誰もがその結果に驚いた2016年のアメリカ大統領選挙において、選挙妨害を狙ったサイバー攻撃にロシアのプーチン大統領が直接関与していたと、ホワイトハウスの高官が言明し、物議を醸している。この問題の真偽はさておき、サイバー攻撃のリスクが、国家はもちろん企業の安全も大きく脅かしていることは、約125万件の氏名や基礎年金番号が流出した2015年の日本年金機構への不正アクセス事件をはじめ、近年、急速に増加を見せているサイバー攻撃やサイバー犯罪の件数を見ても明らかだ。

株式会社カウリスは、社会のIoT化で加速度的に増大する個人認証のニーズにおいて、ハッカーなどによる不正アクセスを検知するサービスを提供する、サイバーセキュリティーのスタートアップだ。同社が提供するクラウド型不正アクセス検知サービス「FraudAlert(フロードアラート)」は、独自の判定ロジックや低コストかつスピーディーな実装性能で大きな注目を集めている。

オンラインの取引では、多くの場合IDとパスワードで本人認証を行いログインすることがほとんどだ。しかし、近年はハッカーや犯罪者によるなりすましが多くなり、IDとパスワードだけでは、そのアクセスが本人によるものなのか分からないケースが見られるようになった。そこで、例えば1回限りの追加認証番号を携帯端末に送るといった形で、不正アクセスを防ぐ方法が、メガバンクが提供するオンラインサービスなどで提供されるようになってきた。

しかし、このような追加認証はユーザーの立場で考えれば、利便性の低下であり、結果としてそのサービスを利用しなくなることにつながる可能性がある。さらにSMS認証、指紋認証などの追加認証の多くは従量課金制となる場合もあるため、今後IoT化が急激に進むなかでは、ユーザーの数が増えるほど認証コストが跳ね上がってしまうというデメリットもある。ユーザビリティとセキュリティー強度のバランスをどうとるかは、事業者にとって悩ましい課題だ。これに対し、「FraudAlert」は不正アクセスのリスクを検知し、危険と判断したときにだけ認証を行うことに成功したプラットフォームだ。創業者の島津敦好CEOは、そのサービスについて次のように解説する。

「例えば、ある人が普段はMacBookで大手町からログインしているとします。しかし、いつもの場所からログインした1分後に、同じIDやパスワードで、Windows端末を使ってシンガポールからアクセスがあったら、それはなりすましによる不正アクセスである可能性が非常に高い。このような、『本人らしさ』や『ふるまい』といったものをデータベース化し、不正アクセスを検知するのが『FraudAlert』なのです」

「FraudAlert」を導入することで、事業者は不正アクセスのリスクが高いときにだけ、ユーザーに追加認証を求めることができる。これにより、セキュリティーコストはもちろんユーザビリティという点においても、安全と利便性の両方を担保できるようにしている。

「本人らしさやふるまいによる本人特定は、アクセスする場所だけではなく、使用している端末の種類やキーボードのタイピングのくせ、スマートフォンであれば持ち方による本体の傾き具合、画面上にあるアプリのアイコンの並び方なども対象となります。複合的な情報から本人かどうかを判定し、それをデータベース化することでなりすましが検知できるのです」

さらに、「FraudAlert」はクラウド型であるため、攻撃者やネット犯罪者のデータを全顧客間で共有することができる。このため、「FraudAlert」のユーザーが増えれば増えるほど、セキュリティー上の安全性が高まるということも、このサービスの大きな特長だ。

言語バリアによるガラパゴス化が無効となった、日本のサイバーセキュリティー環境

島津氏によれば、現在、世界で年間400億件近い決済がオンラインで行われ、それは年率40%増で成長しているという。世界的にサイバーセキュリティーのニーズが高まっていることを反映し、カウリスも創業から1年ほどのスタートアップであるにもかかわらず、「FraudAlert」を利用している顧客の総アカウント数はすでに5,000万を超えている。しかし、それでも世界と比較すると、日本企業のサイバーセキュリティーに関する理解は高くないと島津氏は話す。

「欧米ではインターネットが普及した1999年ごろから、インターネット上の闇市場などで不正に入手したIDとパスワードの組み合わせリストを一つずつ入力してログインする『リスト型攻撃』をはじめとした、なりすましによる被害が数多く発生。それに対するサイバーセキュリティーが醸成されてきました。一方で、日本には日本語という言語バリアがあったことから、ある種、サイバーセキュリティーにおいてガラパゴス化した、鎖国的なマーケットとなっていたのです。このため、残念ながら日本企業のサイバーセキュリティーに関する認知や意識は、決して高くはないのが現状であり、国内のサイバーセキュリティマーケットは非常に未成熟であるといえます」

日本語という言葉のバリアによって、海外のハッカーたちからの攻撃を免れてきた日本だが、2013年以降、すべてのブラウザーに翻訳機能がつくようになったことから、世界中のハッカーが日本を攻撃対象とするようになったと島津氏は指摘する。それを裏付けるように、警察庁の発表では、2015年に警察が報告を受けた標的型メール攻撃の件数は3,828件と過去最多となり、2013年の492件と比べて約7.8倍となっている。

「2015年に世界で新たに発見されたコンピューターウイルスは4,000ほどで、そのうち84%が日本を攻撃したといわれています。また2015年の時点で、オンラインバンキングでの犯罪被害総額は、世界でおよそ2,000億円といわれています。これに対し、日本での被害はまだ30億円ほどにとどまっています。しかし、国内における被害額は2014年で約14億円、2013年は約4,800万円であったことを考えると、被害は年を追うごとに飛躍的に増大しているのです。将来的には、世界全体の被害額と国ごとのGDP比で考えると、日本での被害は年間140億円近くに増加してもおかしくありません」

さらに島津氏は、日本には社内にCIO(Chief Information Officer:最高情報責任者)がいない企業や、いたとしてもサイバーセキュリティーに関する十分な知見のない人材がその立場にあるというケースも見られると指摘する。こうしたサイバー攻撃に対する意識の低さが、2015年の日本年金機構や2016年のJTBのような大規模情報漏えいにつながっている。もしサイバーセキュリティーによる被害を受けた場合、経営的なダメージの大きさは計り知れないと島津氏は警鐘を鳴らす。

サイバーセキュリティーも対処療法から、行動を予測して先手を打つ時代へ

サイバーセキュリティーの歴史は、まずハッカーからの攻撃によって被害が発生すると、同様の被害が出ないようセキュリティー側が対策を講じ、またハッカーたちはその対策を破る方法を考え出し、セキュリティー側は再びその対策を講じる、ということの繰り返しであった。

しかし、AIの機能向上などによって、将来的には、サイバーセキュリティーを提供する側が、ハッカーたちの攻撃やそのパターンを予測するような形になるだろうと島津氏は話す。そのためには、いかにしてハッカーたちの行動に関するデータを集められるか、しかもそれをくまなく網羅的に集められるかがポイントになる。この点でも、「FraudAlert」の担う社会的な役割は、非常に大きなものといえるだろう。

「IoTの普及によって、3年後には500億を超えるデバイスがインターネットに接続されるといわれています。また、FinTech(フィンテック)の台頭により、2015年の1年間で400億件に及ぶ決済がオンライン上で行われました。これだけ急速に成長している産業をハッカーの攻撃から守り、リスクを最小化することでマーケットの成長を支えていくのが、私たちの使命であると考えています」

カウリスでは3~4年後をめどに、自社が保有しているデータベースをブロックチェーン上にのせ、サイバー攻撃を非中央集権的に可視化するプラットフォームにすることを目指しているという。そのうえで、中長期的にはサイバー保険のような業務もビジョンにあると島津氏は語る。

日本におけるサイバーセキュリティーは、今後、急激にニーズが増え、マーケットも急拡大していくだろう。そこでトップを走るプレーヤーに、カウリスの姿があることは間違いない。

■プロフィール
株式会社カウリス
https://caulis.jp/
創業者 CEO 島津敦好
京都大学卒業後、株式会社ドリコムに入社し、同社のIPOを経験。2010年ロゼッタストーン・ジャパン株式会社に入社し、法人営業部の立ち上げに参画する。2014年Capy社に入社し、事業部長として不正ログイン対策のソリューションを大手企業に提案するとともに、メディアを通じたセキュリティー意識向上の啓蒙活動を始める。2015年12月、カウリスを設立。

LATEST POST