IoTデバイスのセキュリティサービスを手掛けるVDOO Connected Trustは6月19日、日本法人「ビドゥジャパン」の設立と日本市場への本格参入を発表した。共同創業者 CEO(最高経営責任者)のNetanel Davidi氏と、日本法人代表の伊藤俊明氏に、IoTセキュリティの現状や日本での事業展開などを聞いた。
VDOO Connected Trust 共同創業者 CEOのNetanel Davidi氏
VDOOは2017年に設立され、イスラエルのテルアビブに本拠を置く。IoTデバイスの設計開発段階でのセキュリティ機能の組み込みを支援するSaaS型のセキュリティプラットフォーム「Vision」とデバイスを保護するエージェント「ERA」を提供する。国内では日本法人の設立以前からマクニカネットワークスと大日本印刷(DNP)が一次販売代理店となってIoT機器メーカーにVDOOのソリューションを提供している。同社は、MS&ADベンチャーズやNTTドコモベンチャーズなど日本を含む多くの投資機関から総額4500万ドルの資金も調達している。
近年は、インターネット接続が可能なIoT機器が大幅に増加し、それに伴いセキュリティリスクの高まりも認識されるようになった。例えば、2016年には「Mirai」と呼ばれるIoT機器に感染してボットネットを形成するマルウェアのソースコードが公開され、多数の亜種が出現した。マルウェアは感染可能な機器を探索する活動を常態化させており、攻撃者がボットネットを操り深刻なDDoS(分散型サービス妨害)攻撃を繰り返すなど、既に脅威が顕在化している。
Davidi氏は、2011年頃からITセキュリティの次にIoTや組み込み機器のセキュリティが重要テーマになると予見し、セキュリティ技術の研究開発や事業展開を進めてきたという。「特にIoTはさまざまなメーカーとサプライチェーンが存在し、限られたハードウェアリソースでセキュリティを確保しなければならないなど、複雑な課題がある。その解決を図る準備に長年注力してきた」と話す。
この間に技術の知的財産を蓄積するとともに、日本企業を中心とするエコシステムの拡充も進めてきた。顧客としては日本のメーカーのほか、BoschやSchneider Electricなどの大手製造企業も名を連ねる。今回の日本法人の設立は、日本市場が世界的にもIoTの先進国であり、これまでビジネスも順調に成長してきたからだという。
「日本市場は、IoT機器に対する品質、可用性、安定性への要求が極めて高く、これらを兼ね備えることがセキュリティにも直結する。日本のメーカーともさまざまな案件が増えており、より連携していくためにまず日本で法人を立ち上げることを決めた」(Davidi氏)
同社は、特に家電や医療機器、ビル制御システム、通信システム、防犯システムなどをターゲットにしているといい、ソリューション提供だけでなく、メーカーとの協業や業界標準の整備などにも取り組む考えだ。Davidi氏は、高度な専門が要求されるIoT機器の開発では、ITセキュリティの知見と取り入れるリソースの不足や開発工程の複雑さ、コストや時間などの制約、ハードウェアリソースの制約、製品出荷後のセキュリティ面でのサポートの難しさといった数々の条件があり、それらをクリアするためにも広範な取り組みが必要だと語る。
今回の日本法人設立に合わせて、重要生活機器連携セキュリティ協議会(CCDS)との連携も始める。まずは夏以降に、Visionを利用してメーカーなどデバイスのファームのセキュリティ状態をCCDSの指標に基づいて無償診断できるようにする。CCDS会員企業以外も利用でき、脆弱性の状況や設計上のセキュリティ問題などをダッシュボードで可視化する。
VDOOのセキュリティソリューション。開発~製造フェーズではSaaSを提供し、出荷後の保護をソフトウェアで行う
日本法人代表の伊藤氏は、Visionを活用することで機器の開発担当者がリモートでファームウェアのセキュリティを検査できるため、大幅な業務効率化に貢献すると説明する。「開発者あるいはPSIRT(プロダクトシーサート)がファームウェアのアップデートなどをクラウド環境にアップロードすれば30~60分ほどでセキュリティ状態を検査できる。35のセキュリティ標準について順守状況を検証可能であり、クラウドのデータセンターも日本にあるため国の輸出規制などに抵触することなく、安心して利用いただける」(伊藤氏)
一方のERA(Endpoint Runtime Agent)は、IoT機器上で稼働するセキュリティのエージェントソフトウェアになる。VISONの検査結果を踏まえてファームウェアを適用するデバイスごとにリスクの高い脅威を防御するように自動構成され、機器にインストールする。6つの防御層を講じており「ある層が突破されても別の層でブロックする多層防御を採用している。脆弱性に対して仮想パッチを当てるようなイメージ」(伊藤氏)とのことだ。
伊藤氏によれば、夏以降に大手のシステムインテグレーターや損害保険会社とのアライアンスを予定する。保険会社とはIoT向けの保険商品を展開し、契約したメーカーがVDOOのサービスでセキュリティ診断をできるようにするという。同氏は、日本市場に根ざした活用を強化していくと述べ、グローバルでのサービス開発やユーザーコミュニティーの立ち上げ、人員増強などを積極的に進めていくとしている。
日本市場での重点戦略
今後のサービスの方向性についてDavidi氏は、機器のセキュリティ対策に注力しつつ、エッジレイヤーやデータセンターネットワーク側のセキュリティ対策と連携した仕組みも検討していくと話す。
「まずIoT機器を堅牢にして不正侵入や不正操作などを排除し、利用者の大切な生命や情報といったものを守ることを実現したい。既に顧客からデータセンターなどを連携したソリューション開発を要請されており、プラットフォームもその能力を有しているので、今後対応していきたい。既にVMwareの仮想化環境やDockerコンテナーの環境をわれわれのプラットフォームで保護している事例もある」(Davidi氏)