GEが投資先を見極めるための10+1のポイント

写真拡大 (全2枚)

サイバーセキュリティや工業IoT(IIoT)に関するブログに目を通すと、ことの複雑さ(そしてその多さ)にばかり目が向き、全体を見失うことは大いにあるだろう。しかしこれはITセキュリティに関わる人達にとっては手付かずの大きなチャンスでもある。

簡単に言ってしまうと、GmailやFacebookなどの消費者が無料で使えるアカウントを保護するために投資を行う動機は限られる。消費者からの信頼を守ることや会社の看板に泥を塗らないためなどだ。間違いなく現実的に重要な問題ではある。だがこれが1000万ドルするタービンを保護しようとする工業企業の場合、セキュリティへの投資は全く異なった、そして率直な性質のものとなる。現在、セキュリティ投資の多くが工業に向けられているのはこのためだ。大きな可能性を秘めた市場であり、新しいイノベーションが衝撃を起こすこともあり得る。

ゼネラル・エレクトリック社のベンチャーキャピタル子会社 GE Venturesは、顧客のためのコスト削減と予測のつかないダウンタイムを無くすことについての大きなチャンスと責任について理解している企業の1つだ。同社は工業企業と数十年にわたって手を取り合ってきた。そんな彼らのもつ工業ビジネスプロセスを最適化するためのプラットフォームであるPredixアーキテクチャは、徹底したセキュリティ戦略をもつものだ。

プラットフォームの徹底したセキュリティ戦略に加え、GE Venturesは常に工業サイバーセキュリティに挑むスタートアップ企業を求めている。彼らによれば、スタートアップ企業の中には非常に見込のあるものも幾つかあるという。いうまでもなくIIoTはスタートアップ企業が簡単に参入できる市場ではない。工業ネットワークは企業のITとは異なり、華々しいデビューは非常に難しい。工業サイバーセキュリティでは立派な製品のロードマップを持つことで成功が約束されるわけではない。しかしそんな中、成功しているスタートアップには幾つかの共通点が見られる。以下に述べるのはGE Venturesの観点だ。

 

1.) 自分たちのことをよく分かっている

スタートアップ企業を評価する際、GEは多くのことを見る。チームが適切に専門性を有しているか、技術に特徴はあるか等だ。その中で最も重視することが、その企業の上から下まで工業に向いた人材が揃っているかどうかである。最も成功しているスタートアップ企業には、工業コントロールシステムについて組織的な知見を持っている。それはしばしば前職で身に着けてきたものだ。彼らは時には苦労を伴いながらも経験を積み、市場のことを熟知している。何ができて何ができないかを理解しており、顧客のビジネス継続性に常に目を向けている。

 

2.) ヒポクラテスの誓い:まず害を与えてはならないということを守っている

手がけるものがなんであれ、成功しているIIoTのスタートアップ企業は機械に障害が起きてはならないという、顧客の第一の目的を見失わない。システムをセキュアにするために何をするに置いても、生産を遅らせたり工業資産の機能を損なうことは許されない。

 

3.) 顧客のためにことをややこしくしない

成功しているIIoTスタートアップ企業は、顧客は何年も業務を決められた方法で行っていることを分かっている。また工業系でない企業が持っているであろう知識を顧客も持っているだろうとか、移行の際に失われたものの埋め合わせを望むだろうというという思い込みは犯さない。見込のあるIIoTスタートアップ企業は既に工業企業にソリューションを提供しており、投資したお金がどこに使われたのかを明らかにすることを拒んでいない。

 

4.) セキュリティを統合化されたものにする

成功しているIIoTスタートアップ企業はセキュリティを、追加できる機能だとかより高額に売りつけるための手段だと考えていてはダメだということを分かっている。顧客が求めているのはセキュリティが製品に組み込まれているものであり、既存の工業プロセスに完全に統合されていることである。

 

5.) 一度に全てをやろうとしない

企業のITセキュリティとIIoTのサーバーセキュリティは全く異なるものだ。ただ単に一方からもう一方へものを持ってくるだけというわけには行かない。しかしながら企業のセキュリティの進歩から学べるところはある。一度に全ての問題を解決しようとしないところだ。

企業の世界では、まずデータの保護などの大きな問題にとりかかり、やがてそこから周辺のセキュリティや認証、データ損失の回避、コンプライアンスといった細かな問題全体にとりかかっていく。優れたスタートアップ企業はIIoTサイバーセキュリティに置いてこれと同様のことを行っている。彼らの狙いは工業サイバーセキュリティの問題全体を解決することではない。個別の問題を潰していき、有効なソリューションをつくり上げることだ。

 

6.) まず自分たちが狙われたらどうするかというところから始める

世界一のデジタル大企業ですら悪質な、あるいは説明のつかないコードが環境に紛れ込むことがあり、その脅威は時に数年間以上眠ったままになっていることがある。優れたIIoTスタートアップ企業は自分たちの製品にも同じことが起こり得ることを予期している。これは脆弱性を完全無くすために多大な時間と労力を使っていないということではない。問題が起こった時にはその部分を周りから切り離し、影響が全体に波及しないことを保証するため、彼らは時間と労力を使っているのだ。

 

7.) 広く展開させるための準備ができている

成功しているIIoTスタートアップ企業は、工業企業の顧客にとってダウンタイムは許されないということを忘れない。
そのためには素晴らしい技術を持つだけでは不十分であり、その技術を時には国をまたいで展開させることができなければならないということを理解している。

 

8.) セキュリティはたった1つの工業デバイスをネットワークに繋げる前から始まっているということを分かっている

成功しているスタートアップ企業は、最も危険な脆弱性はコードの欠陥だけでなく、サプライチェーンにも潜んでいることに気づいており、OEMから仕入れる部品に改竄されたファームウェアが入り込むことがあることを知っている。彼らは素晴らしいテクノロジーを持っているにも関わらず、一部のコンポーネントに信頼されてないベンダーの製品を使っていたことから契約が流れたベンダーがわかり、その重大性を学んでいる。

そんな中、興味深い分野での模索が行われている。パブリックな台帳だ。資産が本物であることを証明し、サプライチェーンの端から端まで監査するためにブロックチェーンに目を向ける企業の数は増えている。それは工業組合も同じで、Trussted IoT Allianceは先日IoTデバイスの証明を行うための標準台帳の構想を推進すると発表した。まだ日は浅いが、こうした取り組みは多くの非IT系資産(エンジンやパーツなど)がITバックボーンに接続する工業コントロールシステムにとって非常に重要なものになる。

 

9.) 流行り言葉に踊らされない

スタートアップ企業やメディア界隈はハイプ・サイクルに過剰に反応しがちだ。最新のホットなコンセプト(今ならAIとマシンラーニングだろうか)であれ、それがどういったものかを確かめずにはいられない。だが成功しているIIoT企業は毎月どんな新しいものが出てくるかを気にすることに時間を費やさない。特定の工業上の問題に対する現実的な回答を出すためだけに集中している。

 

10.) 移動するデータの安全を守るというニーズを理解している

工業では、これまでになくデータが集められ処理される端末部分だけでなくそれがクラウドに行き交うことから、移動するデータの安全性も求められる。

移動するデータの保護は工業システムにとって厄介な課題だ。ある企業では暗号化されたデータを復号化せずにやりとりするシステムを開発している。

 

11.) 仕事に終わりはないということを理解している

サイバーセキュリティに携わる良いスタートアップ企業は、自分たちの仕事に終わりはないということを理解しており現状に満足していない。現実のサイバーセキュリティは常に動いており、限りないイタチごっこである。

以上に挙げたのは全てではないが、IIoTサイバーセキュリティに関する企業を選び始めるのであればいい足掛かりになるのではないだろうか。

MICHAEL DOLBEC & ABHISHEK SHUKLA
[原文4]