「この1年で圧倒的な国内シェアを握る」と意気込みを語るカウリスの島津敦好代表取締役CEO


 今後10年以内に、情報セキュリティの領域で世界トップ企業になる――。こう宣言するのは、国内で今大きな注目を集める起業家、島津敦好氏である。島津氏は2015年12月にカウリスを設立。IoT(モノのインターネット)時代を見据えた新手のセキュリティソリューションのグローバル展開を目論む。

 カウリスはこの1年弱の間に、日本を代表する複数の企業と相次いで手を組み、一気に知名度を高めた。2017年4月に、ソニーのコーポレートベンチャーキャピタルなどを引受先とする第三者割当増資を実施。8月にはトヨタ自動車から、未来の自動車社会を創造する協業相手に選ばれた。トヨタはIoTの自動車版である「コネクテッドカー」のセキュリティ強化に、カウリスの技術を応用したい考えだ。

 さらにカウリスは11月、ライドシェアサービスの米ウーバーテクノロジーズ日本法人代表だった塩濱剛治氏を副社長に、元ソニー会長兼CEOの出井伸之氏を社外取締役に迎えた。

 カウリスが提供しているのは、AI(人工知能)を駆使した、クラウド型の不正アクセス検知サービス「FraudAlert(フロードアラート)」である。オンラインバンキングやオンライン証券など、インターネットサービスにおけるユーザーの「本人らしさ」を自動的に判断し、悪意を持つ第三者によるアカウントの乗っ取り被害を防ぐ。

 すでにメガバンク、大手通信事業者、大手EC事業者をはじめ、国内の名だたる企業で、FraudAlertを採用する動きが広がっている。FraudAlertの管理対象になっているユーザーのアカウント数は現時点で合計7000万件を数える。この記事の読者のなかにも、FraudAlertで守られている人がいるはずだ。

 「2018年末には国内のセキュリティ市場で圧倒的なシェアを握ることを目指す」と展望を語る島津氏に、現在高まりつつある新たなセキュリティのリスクと、それに対応するFraudAlertの概要を聞いた(島津氏の経歴は最終ページ)。

[JBpressの今日の記事(トップページ)へ]

深刻なクラウドストレージからの漏えい

――情報セキュリティサービスで先行する企業はたくさんあります。どうして、この分野で起業しようと思ったのでしょうか。

島津敦好氏(以下、敬称略) 誰もが安心してインターネットサービスを利用・提供できるようにするには、ユーザーとサービス事業者をサイバー攻撃から守る、新しいセキュリティインフラが必要だと考えました。今、かなり恐ろしい時代が来ているんです。

――恐ろしい時代、ですか?

島津 IoT時代には、ネットワークにつながるあらゆる機器が、様々なサービスとユーザーとの接点になります。すると、ハッカーは攻撃対象をどんどん広げていく。海外にはすでに、自動車の年式や車種ごとにハッキング方法を詳しくまとめた、700ページほどの分厚い書籍が存在します。

 IoTはユーザーに利便性をもたらす一方で、適切に対策を講じなければ、これまで以上にセキュリティが脅かされかねません。それがIoT時代の、もう一つの側面なのです。

――セキュリティ対策はハッカーとのイタチごっこと聞きますが、現状はいかがですか。

島津 既存のセキュリティ技術はほとんど、大手企業が導入してから1年程度で脆弱性を突かれ、破られてしまいます。試しに、あるキーワードで検索すると、実にさまざまな認証技術の突破方法が、ズラッと公開されていることを確認できるはずです。

 最近深刻なのは、多くの人が便利に使っているクラウドストレージが攻撃されるケースです。ユーザーが暗号化せずに格納しておいたファイルやメモからIDとパスワードが漏れ、本人になりすましたハッカーに、オンラインバンキングなどを悪用される被害が出ています。

 インターネットサービスを提供する事業者のデータベースからではなく、ユーザーが使っているクラウドストレージからIDとパスワードが漏れる。こうなると、事業者が自力でセキュリティを守るのは困難です。

――IDとパスワードが盗まれてしまっては、攻撃を防ぎようがない。

島津 ええ。IDとパスワードが平然と取引されている「ダークウェブ」の存在も無視できません。数年前からサイバー攻撃の傾向が、明らかに以前と違ってきています。インターネットサービスのハッキングというと、従来はランダムなIDとパスワードを組み合わせて機械的に攻撃するものが多かった。ところが、最近は不正に入手した“正規”のIDとパスワードを利用し、本人になります例が大多数を占めています。

――対策の一つとして、ワンタイムパスワードなどの追加認証を求める二要素認証を利用するインターネットサービスが増えています。

島津 二要素認証の導入と運用には多額の費用がかかるので、多くのユーザーを抱える事業者でないと採用に踏み切れないのが実情です。仮に二要素認証を用意しても、すぐに突破方法が編み出されて公開されてしまう。そもそも二要素認証を使わないユーザーが日本には多いため、IDとパスワードが漏れると簡単に攻撃を受けてしまいます。

「本人らしさ」を自動で判断

――FraudAlertは、それをどうやって防ぐのでしょう?

島津 FraudAlertは機械学習によって、ユーザーの「本人らしさ」をシステムが完全に自動で判断します。

 例えば、Webサイトのログイン時に使用した端末のOSやブラウザの種類、画面の解像度、ロケーションなどの情報を基に、ユーザーごとのログイン傾向をシステムが割り出す。そして、普段はMacでGoogle Chromeを使い新宿からアクセスするユーザーアカウントで、異なるロケーションやブラウザからログイン試行があると、怪しいと判断する。

――IDとパスワードが合致しても、環境の違いなどから不正を見抜いてログインを許さない。

島津 おっしゃる通りです。

 FraudAlertの判断結果を二要素認証と組み合わせれば、インターネットサービスの使い勝手を損なわずに、高い安全性を維持できるようになります。具体的には、怪しいと判断した時にだけ追加認証を求める。そうすることで、ユーザーはログインのたびに二要素認証する煩わしさから解放されます。

既存の認証技術(IDとパスワード、追加認証)と組み合わせてセキュリティを強化するFraudAlert


 時刻やロケーションを組み合わせて、本人らしさを判断することも可能です。午後2時に普段通り東京からログインを受け付けたユーザーアカウントに対し、午後2時15分に福岡からログインの試行があると、不正アクセスを疑うといった具合です。

――どれくらい情報が集まると、機械学習で本人らしさを見極められるようになるのでしょうか。

島津 各ユーザーのログイン回数が多ければ多いほどより精度の高い判定を実現できますが、通常は2〜3回程度のログイン実績があれば十分です。

複数サービスをまたぐ本人確認が可能に

 FraudAlertの最大の特徴は、クラウドに蓄積した本人らしさを、複数のサービスで参照できる点です。A銀行のオンラインバンキングの二要素認証に100回連続で成功しているユーザーアカウントがあった場合、そのログイン元の端末OSやロケーションが合致すれば、B銀行へのログインでも本人らしいとみなす、といった使い方が可能です。

 反対に、A銀行が管理する多数のユーザーアカウントへ、短時間に繰り返しログインを試みた端末は怪しいと判断。FraudAlertを利用するA銀行以外の事業者が、当該端末からのログインをはじくことができます。

――最後にこれからの展開を聞かせてください。

島津 まずは、ブルーオーシャンの国内市場で、FraudAlertを拡販します。類似サービスはいくつか存在しますが、いずれも外資系ベンダーのもので、導入と運用に多額の費用がかかります。そのため大手企業以外、セキュリティ対策はほとんど手付かず状態で残っている。

 AIを用いて本人らしさの判断を完全自動化し、10人強の小さな所帯で運営している当社は、月額数十万円からと、競合他社と比較してリーズナブルな価格でFraudAlertを提供できます。月間の認証回数が800万回を超えるような大型事業者のケースでは、競合ベンダーの100分の1程度の費用でセキュリティ対策を講じられる計算です。2018年末には国内で圧倒的なシェアとなることを目指します。

 並行して海外展開も準備しています。2018年中にシンガポールに事業拠点を設立することを計画しており、多くのユーザーを抱える金融や通信事業者を対象に、FraudAlertの実証実験を進める予定です。

 加えて、自動車やATM(現金自動預け払い機)などIoT分野のセキュリティ対策に乗り出す計画も進行中です。2018年はますます忙しくなりそうです。

島津 敦好(しまづ・あつよし)氏
カウリス代表取締役CEO
京都大学卒業後、ドリコムに入社。セールス担当として、同社のIPO(新規上場)を経験。2010年にオンライン英会話学習のロゼッタストーン・ジャパンに入社。法人営業部を立ち上げる。2014年にCapyに入社し、事業部長として不正ログイン対策のソリューションを大手企業に提案。同時にメディアを通じたセキュリティ意識向上の啓蒙活動を実施。2015年12月、カウリスを設立した。

筆者:栗原 雅