モノのインターネット(IoT)は、セキュリティ上の問題を抱えている。この10年で、センサーからウェブカメラ、スマートホーム機器に至る、インターネットに接続された新しい機器が次々と登場してきた。その多くが大量生産品でありながら、一方ではほぼ何のセキュリティも考慮されてこなかった。さらに悪いことに、多くの機器メーカーはセキュリティ上の欠陥を修正する努力をせず、パッチを提供するためのソフトウェアアップデートの仕組みの提供も完全に放棄している。
こうしたことから、安全性に欠け、パッチも当てられないまま問題を起こす機器が広まり、一度故障したり避けられないハッキング被害を受けた際には、廃棄されてしまうことになる。
このような状況の中で、セキュリティ技術のベテランであるWindow Snyder(ウィンドウ・スナイダー)氏は、もっと良い方法があるはずだと考えている。彼女の新しいスタートアップであるThistle Technologies(シスル・テクノロジー)は、True Venturesから250万ドル(約2億7000万円)のシードファンディングを受けた。同社の目的は、IoTメーカーが確実かつ安全にソフトウェアアップデートをデバイスに配信できるようにすることを支援することだ。
スナイダー氏がThistleを創業したのは2020年のことだが、動物に食べられないように鋭いトゲを持っている植物(Thistle、アザミ)にちなんでその名が決められた。スナイダー氏が「それはディフェンスメカニズムなのです」とTechCrunchに語ったように、その名はディフェンステクノロジー企業にふさわしいネーミングだ。このスタートアップの目的は、人手やリソースのないデバイスメーカーたちが、それぞれのデバイスのソフトウェアにアップデートメカニズムを組み込み、セキュリティアップデートを受信したり、セキュリティ脅威に対する防御を強化したりできるようにすることだ。
「私たちは、個別の企業がそうしたセキュリティ対応作業を自身で行わなくても良くなるような手段を開発しているのです。メーカー企業は、とにかく顧客向けの機能の構築に時間を費やしたいものですから」とスナイダー氏はいう。Thistleを創業する前、スナイダー氏はApple(アップル)、Intel(インテル)、Microsoft(マイクロソフト)でサイバーセキュリティの上級職を務め、Mozilla(モジラ)、Square(スクエア)、Fastly(ファストリー)ではチーフセキュリティオフィサーを務めた。
Thistleは、IoTが最もセキュリティを必要としているタイミングで登場した。ボットネットの運用者は、デフォルトのパスワードが脆弱な機器をインターネット上でスキャンし、そのインターネット接続を乗っ取ることで、その先の被害者に大量のインターネットトラフィックを浴びせかけ、ウェブサイトやネットワーク全体をオフラインにすることで知られている。2016年には、Mirai(ミライ)ボットネットが、インターネットインフラ大手のDyn(ディン)に対して仕かけた記録的な分散型サービス妨害攻撃(DDoS攻撃)によって、Shopify(ショッピファイ)、SoundCloud(サウンドクラウド)、Spotify(スポティファイ)、Twitter(ツイッター)などの大手ウェブサイトが数時間にわたってアクセス不能になった。Miraiは、攻撃開始の時点で、数千台のIoT機器をそのネットワークの中に取り込んでいた。
また、被害者のネットワークに足を踏み入れて、内部から攻撃を仕かけたり、マルウェアを仕込んだりするための手段として、IoTデバイスを標的にするような悪質なハッカーもいる。
機器メーカーが、こうしたセキュリティ問題を自分たちの中でほとんど解決してこなかったため、議員たちは、怠惰なメーカーたちが引き起こす重大な間違いを阻止するための立法化を検討している。たとえばデフォルトのパスワード(多くの場合変更不可能)を使用したり、セキュリティアップデートを配信する手段を持たない機器を販売するといったことの禁止だ。
カリフォルニア州は2018年にIoTセキュリティ法を成立させてこのための道を開き、英国はその直後の2019年に同様の立法を行った。なお米国には、IoTの基本的なセキュリティ基準を定めた連邦法は存在していない。
関連記事:カリフォルニア州でデバイスのデフォルトパスワードを禁ずる法律が成立
スナイダー氏は、こうしたIoTサイバーセキュリティ法の導入を推進することが、個別にセキュリティエンジニアを雇わなくても「人々がコンプライアンスを遵守できる簡単な方法」になると述べている。遠隔アップデートの仕組みがあれば、修正プログラムや新機能の提供が可能になるため、IoTデバイスを(おそらく数年単位で)より長く利用することができるようになるだろう。
スナイダー氏は「ソフトウェアを使って、そうした機器の耐障害性を高め、新機能を提供し続けることのできるインフラストラクチャーを構築することは、機器メーカーにとって大きなチャンスとなります。そのセキュリティニーズをサポートするために、私はセキュリティインフラストラクチャーの会社を創業したのです」と語る。
スナイダー氏は、今回のシード資金を使って、デバイスやバックエンドのエンジニアやプロダクトマネージャーを採用し、デバイスメーカーとの新たなパートナーシップの構築に注力するという。
Thistleのシードラウンドに投資した、True Venturesの共同創業者であるPhil Black(フィル・ブラック)氏は、同社のことを「セキュリティ技術における、抜け目のない自然な次のステップだ」と評している。また彼は「ウィンドウ(・スナイダー)さんは、私たちが創業者に求める資質をたくさん持っています。彼女は対象分野の深い専門知識を持っていますし、セキュリティコミュニティでとても尊敬されています。なによりこの業界を進化させたいという強い情熱を持っているのです」と付け加えた。
カテゴリー:セキュリティ
タグ:Thistle Technologies、資金調達、IoT
画像クレジット:Jorge Sanz / SOPA Images/ Getty Images
[原文へ]
(文:Zack Whittaker、翻訳:sako)