イスラエルの静的なアプリケーションセキュリティテスト(application security testingm、AST)のプロバイダーであるCheckmarxが、オープンソースのサプライチェーンセキュリティのスタートアップDusticoを、価額非公開で買収した。
2020年に創業されたDusticoは、機械学習を用いた動的なソースコード分析を提供し、ソフトウェアのサプライチェーンの中に悪質な攻撃やバックドアを検出する。
この買収でCheckmarxは、同社の静的なASTにDusticoの行動分析技術を組み合わせて、顧客にオープンソースパッケージの、リスクと評判の一体化したビューを与える。そしてその結果、ソフトウェアサプライチェーンの攻撃を防ぐためのより総合的なアプローチが得られる。
この買収は、サプライチェーンの攻撃が急増している最中に行われ、そこでは攻撃者が悪質なコードを信頼されているソフトウェアやハードウェアに忍び込ませている。2020年12月には、ロシアのハッカーがソフトウェア企業SolarWindsを侵犯して同社のIT管理ツールOrionに悪質なコードを植えたことが明らかとなった。後にロシアの対外諜報サービスであることが判明したそのハッカーは、そのコードのおかげで、Orionソフトウェアを使っている18000ものネットワークにアクセスできた。
関連記事:2020 was a record year for Israel’s security startup ecosystem(未訳、有料記事)
Dusticoの技術はSonatypeが提供しているものと似ており、三段構えのやり方でオープンソースのパッケージを分析する。最初は信頼性に着目して、パッケージのプロバイダーとオープンソースのコミュニティの住人である個々のコントリビューターの間の信頼性を可視化し、次にパッケージの健全性を調べて、そのメンテナンスのレベルを判定する。そして最後は、Dusticoの高度なビヘイビア分析エンジンがパッケージを調べて、そこに隠れている悪質な攻撃やバックドア、ランサムウェア、多段階攻撃、そしてトロイの木馬などを見つける。
両社によると、この洞察結果にCheckmarxのASTソリューションが組み合わさり、企業や開発者に、オープンソースとそれに依存しているサプライチェーンに結びついているリスクを管理するための、より大きな洞察力を与える。
CheckmarxのCEOであるEmmanuel Benzaquen(エマニュエル・ベンザケン)氏は次のように述べている。「DusticoとそのチームをCheckmarxを迎えることにより、イスラエルのテクノロジーのエコシステムはサイバーセキュリティのイノベーションと才能をさらに拡大できます。オープンソースの分析に対するDusticoの他と差別化されたアプローチと、Checkmarxのセキュリティテスト能力がブレンドして、顧客に現状打破的な価値をもたらし、ソフトウェアのサプライチェーンが抱えるセキュリティの課題を管理できるようになる」。
Dusticoを買収する前の2020年3月には、Checkmarxはプライベート・エクイティ企業Hellman & Friedmanに11億5000万ドル(約1267億5000万円)の評価額で買収された。さらにさかのぼって2015年には、同社は8400万ドル(約92億6000万円)の投資でInsight Partnersに身売りした。
関連記事
・スパイウェア「Pegasus」が政府批判を行う女性ジャーナリストのスマホから写真を盗むために使われた疑惑が浮上
・米国防総省がセンサー・AI・クラウドを組み合わせ「数日先の異変を察知」する未来予知システム「GIDE」開発中
・産業用サイバーセキュリティのNozomi NetworksがIPO前に約110億円調達
カテゴリー:セキュリティ
タグ:Checkmarx、オープンソース、買収、サプライチェーン、ランサムウェア
画像クレジット:Dmitry Bairachnyi/Getty Images
[原文へ]
(文:Carly Page、翻訳:Hiroshi Iwatani)