Pocket

グーグルは独自の二段階認証(2FA)技術を有している。では、同社のベンチャー部門はなぜ2FAサービスを販売する企業に投資しているのだろうか?

それはつまり、企業のセキュリティが非常に重要だと分かったためだ、とGoogle Venturesの共同経営者、カリム・ファリスは語っている。ファリスは企業のセキュリティの重要性をここ数年にわたって力説し、ThreatStream、Ionic Security、Shape Security、Duo Securityなど、2FAサービスを販売する企業への投資を行ってきた。中でもDuo Securityは、Box、フェイスブック、NASA、トヨタ、Twitterを含む5,000以上の顧客を抱えている。

セキュリティに注目するのは重要だ。特に2FAのような仕組みは、エンドユーザーにとって分かりやすいものだ(一般的に、2FAを用いてユーザーがログインする場合、パスワードと、多くの場合テキストメッセージまたは小型の電子端末によって配信される二次認証コードの両方を使用する必要がある)。Aruba Networksの研究から分かるように、企業自身はそのデータ保護についてほとんど関心を持っていない。

pic001
カリム・ファリス

わずか数年前のグーグル社は、企業向け製品・サービスに対し全く無関心だったが、現在は、クラウド、アプリ、ストレージなどにおいてもその点を考慮している。そこで、企業のセキュリティにグーグルがどのような関心を持っているかについて、ファリスへのインタビューを行った。折しも、Redpoint Venturesの主導とGoogle Venturesの参入により、Duo SecurityのシリーズC に3,000万米ドルの資金が投入される前夜のことだった。

サイバー犯罪の増加に伴うサイバーセキュリティの必要性

ReadWrite(以下、RW):Google Venturesはセキュリティ関連の新興企業に対して関心を高めているようです。今、あなたにとって情報セキュリティがより魅力を持つ背景には、どういった市場の変化があるのでしょうか?

カリム・ファリス(以下、KF):われわれは、ユーザビリティを最適化しながら、革新的な方法によってセキュリティ上の課題を解決しようとする企業に投資することにしています。Duo Securityのほか、われわれはThreatStream、Ionic Security、Shape Security、Synackのような企業に投資してきました。

セキュリティは常に重要なトピックであり、犯罪者の悪用によってサイバー攻撃の可能性が高まる中、ますます注目を集めています。われわれは、ファイアウォールのような伝統的な防御壁によって保護されていた物理的ネットワークの周囲を強固に囲むことにより、企業を保護していました。しかし、端末の持ち運びが行われるようになっただけでなく、クラウドや携帯サービスの台頭によって、もはやそれのみに頼ることはできなくなっています。

このように、新たなサービスの登場により、企業のセキュリティはより脆弱になり、セキュリティにおける技術革新の必要性に拍車がかかりました。これが投資の機会を生み出すことになったのです。

RW:Duo Securityのどのような点が気に入りましたか?

KF:われわれは多くの点が気に入りました。優れたチーム、ユーザーベースのサービスを提供することに対する強い情熱、そして技術力です。二要素認証には努力に見合うだけの大きな価値がありますし、誰もが考慮すべきものです。とりでを守らなければならない場合に、最初にすることは門を守ることです。Duoはそれを信じられないほど簡単に展開し、利用できるようにしました。彼らは門を守ることから始め、今では堀を作っています。

考慮すること

RW:最初のデュー・ディリジェンスのプロセスで、多くの企業がDuo、さらには2FAを採用していることがわかったとおっしゃっています。企業のセキュリティを強化する際に2FAはなぜそれほど重要なのでしょうか?

KF:歴史的な経緯として、企業は十分な保護と使いやすさの間で常に適切なバランスを探る必要がありました。情報セキュリティ責任者(CISO)がセキュリティ・ポリシーを適用しようとすると、多くの場合、ユーザーにとっては使いにくかったり、重要なワークフローが中断されるという犠牲を払うことになりました。生産性に大きく影響してしまうのです。

2FAの場合、ハードまたはソフト・トークンを導入するのはユーザーに不評でした。キーチェーンにプラスチックのデバイスをもう一つ追加する場合も、あるいはログインするたびにワンタイムパスワードを入力する場合も同じです。Duoは、そのプロセスを完璧でより安全なものにすると同時に、企業の運用負荷を軽減する方法を考え出しました。それがユーザーへの大きなインパクトとなって受け入れられることになったのです。

RW:Duoはとりでの門を保護することから始めたとおっしゃいました。これを最も効果的に運用するにはどうしたらいいでしょうか?

KF:効果的に運用するには、ITチーム内で誰がどのアプリケーションにアクセスできるかについてルールを定め、その順守を自動化する必要があります。そうすることで、社内かクラウドかに関係なく、アプリケーションにアクセスしようとする悪質な試みをリアルタイムで検出し、防止することができます。

私がDuoを気に入っている理由の一つは、これらのルールを守るため、同社のサービスがユーザーの行動、場所、端末のセキュリティの状態、そしてリアルタイムでIPアドレスの評価を分析していることにあります。これによって、ユーザーの作業を中断することなく、セキュリティはより効果的に運用されます。

これは非常に重要です。 Mac、Windows PC、iOSやAndroid端末などにエージェントソフトを導入する必要はありません。それでいてCISOは、エンドユーザー使用端末のセキュリティの状態を知ることができます。ポリシーに基づき規則に従っていないユーザーの端末を特定し、職場においてその使用に制限を加え、企業の安全性を保っているのです。

トップ画像提供:Shutterstock

Pocket