サプライチェーン・セキュリティ分野への注目

サプライチェーンにおけるサイバー危機

サプライチェーン攻撃とは、IT機器やソフトウェアの製造過程でマルウェアに感染させたり、バックドアを仕込んだりしておく攻撃のことです。
ソフトウェア開発においてスピードを追求しサードパーティー製のリソースを用いることが多くなり、脆弱性につながっています。
サプライチェーンのセキュリティ保護を提供するイスラエルのスタートアップの調達についての記事をご紹介します。

サイバーセキュリティのスタートアップOX Security社、3,400万ドルのシードラウンドを調達

Check Point社の元マネージャー2人が設立したOX Security社は、新しいソフトウェアサプライチェーンセキュリティ規格を開発しました。

Check Point社（Nasdaq: CHKP）の元シニア・マネージャー2人が設立したサイバーセキュリティ企業OX Security社は、1年弱の活動を経て、本日初めてメディアに公開されました。
OX Security社は、2回に分けて3,400万ドルの資金調達ラウンドを完了しました。これは、イスラエルのスタートアップとしては過去最大規模のシードラウンドとなります。

OX Security社は、ソフトウェアのサプライチェーンを保護するというホットな分野で事業を展開しており、ソフトウェアが顧客に届くまでの開発・配布に関わるすべてのプロセスを保護します。
この分野では、複数のイスラエルのスタートアップが活躍していますが、2020年末に発覚した米国企業SolarWinds Corporationのハッキング事件（米国史上最も深刻な事件と言われています）をきっかけに勢いを増しました。

その攻撃では、ロシア出身で国家の後ろ盾で行動していると見られるハッカーが、ITインフラ監視システムを開発するSolarWinds社のソフトウェア開発システムに侵入することに成功しました。
ハッカーは開発プロセスを改ざんし、同社が顧客に送る定期的なアップデートに攻撃ツールを導入しました。
このアップデートを顧客がダウンロードしたことにより、ハッカーは一度に米国政府機関を含む約30,000の組織にアクセスすることができるようになりました。
サプライチェーン攻撃の潜在的被害がいかに大きいかを示しています。

OX Security社は、創業者のNeatsun Ziv氏とLior Arzi氏が、約10年間勤務したCheck Point社を退職し、今年7月末に会社として登記されました。
Ziv氏はCheck Point社のVP Cyber Productsを、Arzi氏はEnd Point Cyber SecurityのDirectorを務めていました。
現在、Ziv氏はOX Security社のCEO、Arzi氏はチーフ・プロダクト・オフィサーを務めています。

サードパーティーリソースの活用

ソフトウェアのサプライチェーン・セキュリティが注目される背景には、ソフトウェア開発のスピードアップのために、開発者が最初からすべてのコードを書くのではなく、サードパーティーが開発した既成のコードなどのリソースを利用するケースが増えていることがあります。
このため、企業はソフトウェアの中身を完全にコントロールすることができず、セキュリティ上の弱点が発生する可能性があるのです。

前述のように、イスラエルのスタートアップにはサプライチェーンのセキュリティに取り組む企業が多く、それぞれが異なる側面に特化しています。
これらの企業の中で最も有名なのはSnyk社で、昨年の評価額は85億ドルでした。
Snyk社のもともとの専門性は、ソフトウェア開発におけるオープンソースのコードコンポーネントの使用状況を可視化し、その弱点を特定することでした。

Ziv氏によれば、OX Security社の特徴は、コードを書いてからクラウドにアップロードするまでの開発トラック全体を見渡し、その過程で問題を発見し、さらに最も重要な問題を明らかにすることだと言います。

ソフトウェアのサプライチェーン・セキュリティの必要性と、開発におけるサードパーティーリソースの利用から、ソフトウェア企業はソフトウェア部品表（SBOM）と呼ばれるツールを使用することが要求されています。
これはコードに含まれるすべてのもののリストを作成するものです。
OX Security社は、パートナーとともに、PBOM（Pipeline Bill of Materials）と呼ばれる新しい規格を開発し、より包括的で、開発プロセスの過程で各コードに何が起こったかをより詳細に記述するとしています。

当団体について

日本とイスラエルを結ぶインキュベーション支援事業をワンストップにて提供しております。
スタートアップやベンチャー企業、また、当研究所からしかご紹介することが出来ないビッグプロジェクトのマッチング、紹介、参画募集や代理店募集など、すべて直付の紹介を行っております。

当団体からご紹介できるセキュリティサービス一覧はこちらから