![[CEOインタビュー] あなたにつながるすべてのものをセキュアに ─ Cequence の API 保護](http://imgc.eximg.jp/i=https%253A%252F%252Fs.eximg.jp%252Fexnews%252Ffeed%252FScannetsecurity%252F5f%252FScannetsecurity_53269%252FScannetsecurity_53269_1.jpg,zoom=600,quality=70,type=webp)
人とサービス、システムとシステム、あるいはモノとクラウド ─ ありとあらゆるものがインターネットを介して相互に接続することで、新たなビジネスが生まれ、我々の生活はより便利になってきた。その「接続」を実現しているのが「API」だ。
私たちがそれと意識していなくても、一つのサービスの裏側ではさまざまなAPIが連携してデータをやりとりしている。この結果、状況に応じた最適な情報が提供されたり、シームレスに公共サービスを利用できたり、複雑な決済が実現されている。
だがもし、こうしたAPIが悪用される事態が起きたらどうなるだろうか。予期せぬ形で自分に関する情報が公開されたり、不正な送金や決済によって金銭的被害を被る恐れもある。従って適切なユーザー以外のAPI操作をブロックし、含まれるデータに改ざんなどが加えられないよう保護していく必要があるが、Webページ上の情報のようには目に見えない分、対策はやっかいだ。
この課題に取り組んでいるのが、米国発のセキュリティ企業であるCequence だ。シマンテックなどで数十年にわたりセキュリティ業界に携わってきたメンバーによって設立され、APIセキュリティやボット対策にフォーカスしたプラットフォームを提供している。先日来日した同社の創業者兼CEO、Ameya Talwalkar氏に同社の戦略を尋ねた。
(写真左:CEO 兼 共同創業者 Ameya Talwalkar 氏、写真右:VP, ビジネスデベロップメント担当 Arun Gowda 氏)
●保護すべき領域はWebアプリからモバイルアプリ、APIへと拡大
Q:Ameyaさんの経歴を教えてください。
Ameya:私は過去27年にわたり、ずっとサイバーセキュリティの世界に携わってきました。PKIの領域からキャリアをスタートし、シマンテックでネットワークセキュリティ分野に携わった後、約10年前にCequence を設立しました。
Q:27年の間に、業界ではどのような変化があったでしょうか。
Ameya:振り返ると、いろいろな革新がありましたね。約25年前はWebアプリケーションの開発が盛んになった時期でした。それを狙う不正アクセスも増え、Webアプリケーションを保護するために「Webアプリケーションファイアウォール」(WAF)と呼ばれるテクノロジが登場し、利用され始めました。
次にスマートフォンが急速に普及し、モバイルアプリがあらゆる人に利用され始めました。利用が広がれば、サイバー攻撃や詐欺、不正に狙われるのは世の常です。これに伴いセキュリティも、モバイルアプリへシフトする必要に迫られました。
そして、クラウドやサーバレス環境が広がってきたこの5~6年、ネット上の処理はAPIへと移行しつつあります。だからこそAPIを保護する必要があるのです。Cequence では、Webアプリ、モバイルアプリ、そしてAPIというこれらすべてを単一のプラットフォームで保護していこうと考えています。
Q: Cequence が目指しているのはどのような世界ですか?
Ameya:Cequence は、「あなたにつながるものを守る」というミッションを掲げています。ここで言う「つながるもの」とは、デジタルの言葉に直せば「API」です。
たとえばUberで車を呼ぶ場面では、バックエンドでAPIが使われています。
この世界における我々の目的は、APIがセキュアであることを担保し、あらゆる人のデジタルライフを安全なものにしていくことです。これこそ、我々の目指す未来像です。
Q:そんな未来像の実現に当たって、どんな課題が存在しているのでしょう。
Ameya:多くの企業にお話を伺うと、「自社が一体いくつのAPIを持っているかわからない」という声を伺います。事業やサービスごとにさまざまな外部のサービスと連携していった結果、自社がそれらに対しどのようなAPIを発行しているか、どのようなAPIを利用しているか、まるで把握できない状態になっているのです。セキュリティ業界ではしばしば「見えないものはセキュアにできない」と言われますが、その通りのことが起こっています。
Cequence は、「自社がいくつのAPIを持っているのか」「それらのAPIそれぞれに、どのようなリスクやガバナンス、コンプライアンス面の問題があるか」「それらのAPIは、どのように攻撃者によって操作され、攻撃されうるのか」という三つの質問に答えることができるプラットフォームを提供します。
● API のディスカバリとコンプライアンス、保護を一つのプラットフォームで実現
Q:では、Cequence のプラットフォームについてもう少し具体的に説明をお願いします。
Ameya:我々のプラットフォームは、主に三つの機能を提供します。
一つ目は「ディスカバリ」です。ツールによって、企業が用いているすべてのAPIをカタログ化します。多くの企業では、そもそもいくつのAPIが利用されているかはもちろん、そのAPIはどこから発行されているかも把握できておらず、調査に苦労することが少なくありません。特に大手企業では、部署ごとに開発者が独自の開発ツリーを構築してDevOpsを実践しており、一つの統合されたインベントリが存在しないことがあります。また、企業買収にともなって資産を統合した場合、買収された企業がどのようなAPIをいくつ持っており、果たしてそれがセキュアなのかどうかを確認するのが困難です。
一方、APIに対する攻撃や侵害は往々にして、誰も把握していないAPI、いわゆる「シャドーAPI」に対して行われます。従って、いかに自社のAPIをすべて洗い出し、シャドーAPIをなくしていくかが重要です。Cequence はAPIの情報を一カ所にまとめてカタログ化し、企業がAPI全体を制御できるようにして、シャドーAPIを排除していきます。
二つ目の機能はコンプライアンスです。サイバーセキュリティのリスクが高まっている中で、金融、ヘルスケアなど業界ごとにさまざまな法規制やガイドラインが定められるようになりました。Cequence のプラットフォームでは、そうしたさまざまな法規制への準拠を支援しております。
具体的には、各APIにおいて適切なレベルの認証・認可が実施されているか、また要求されるセキュリティレベルを満たしているかの確認ができます。
即座にアクションにつなげられることと、同時に現実的な運用に対応できるのも特長です。リスクと判定されたものに対しても、既知のリスクは許容する、対応が必要な問題にはフラグを立てるといった形で、システム内で柔軟に管理ができます。さらに、ServiceNowなどの外部ツールと連携により、開発チームとのスムーズなやりとりや、問題のステータスはリアルタイムで自動的に更新されるため、効率的な運用が可能となっています。
三つ目の機能はプロテクションです。仮に、自社で利用しているAPIをすべて洗い出し、しかもそれらが各種法規制に沿ってセキュアに運用されていたとしても、攻撃者や詐欺師らは、金銭や迷惑行為などを目的に、それでもなおAPIを操作しての攻撃を試みます。セキュアなAPIでもビジネスロジックが濫用される可能性はあります。Cequence はそれらを防ぎ、詐欺や悪用を防御する機能を提供しています。
具体的には、例えば、偽のアカウント作成、ポイントプログラムの悪用や詐取、SIMスワップなど、攻撃者はさまざまな手口で狙ってきますが、こうした脅威に対してCequenceは自動で検知できる仕組みがあり、そのため導入した当日からすぐに保護ができるようになります。
Q:APIの重要性が高まり、リスクが高まっていることを背景に、同じくAPIの保護などを提供するソリューションも出てきています。Cequence の特徴は何でしょうか?
Ameya:最大の特徴は、ディスカバリーとコンプライアンス、プロテクションという三つの機能を一つのプラットフォームで提供できる唯一のベンダーであることです。
おっしゃるとおり、WAFの一機能として、あるいはAPIゲートウェイの一部としてAPIを保護する製品や、APIのディスカバリ・コンプライアンス機能を持つ製品も存在します。
もう一つの特徴は、大規模な環境にも対応できるスケーラビリティが挙げられます。Cequence の顧客には、大規模な金融機関や小売業、エネルギー企業などがあり、中には1日あたり約20億件のトランザクションを処理している事例もあります。これほど大規模な環境にも対応できるプラットフォームです。
また、機械学習を活用して変化するアプリケーションや攻撃者の挙動に継続的に対応し、精度を高めることが可能です。その結果、大規模で複雑な環境を管理しているお客様ほど早期に導入効果を実感していただけるのではないかと思います。
一方で、中には法規制の要件が厳しく、国外にデータを出したくないといったお客様もいます。そうしたニーズに合わせ、我々のプロダクトはSaaSとして提供されるだけでなく、ソフトウェアを用いてオンプレミスで構築することも可能でして、お客様固有の環境に柔軟に対応ができます。
Q:APIのディスカバリや保護を行うことで、負荷が上がったりすることはないのでしょうか。
Ameya:以前の経験が役立っているのですが、われわれのソリューションはネットワークレイヤーでディスカバリーや保護を行うため、対象のアプリケーションにエージェントやコードを組み込む必要がありません。このため、新バージョンをリリースするたびにコードを追加するような手間がかかりませんし、「セキュリティが不安だからリリースを控えよう」と開発速度にブレーキをかけることもありません。
● 日本市場でも体制を整え、より多くの企業のデータビジネスを安全に
Q:Cequence が順調に成長し続けてきた要因は何だと思いますか?
Ameya:起業し、成功を収めた企業には三つの共通点があります。一つは、リスクを取ることのできる創業者と、それを支援するエコシステムの存在です。二つ目は、現時点ではまだ解決できていない大きな課題があることで、三つ目は、その課題を解決できるようなユニークさや秘訣を持っていることです。
Cequence は、この三つの要素を備えている企業です。世界のイノベーションの多くが生まれるシリコンバレーで創業しました。当時は、アプリケーション保護は実現できていても、APIを保護していかに不正利用を防ぐかという課題を誰も解決できていませんでした。そして、ネットワークセキュリティの領域で得た知見を生かすことで、この課題を解決するユニークな方法を提供することで成功を収めています。
すでに、世界の大手通信事業者、金融機関、小売業、エネルギー業界や、それ以外の業界でも多くのお客様がCequence を採用しています。日本でも、最大規模の通信事業者や人気の高いモバイルアプリを提供している企業などで導入されています。
Q:日本市場をどのようにとらえ、どのような戦略を立てていますか?
Ameya:日本は非常に重要な市場だととらえています。日本には、金融、自動車、あるいはゲーム・エンターテイメント分野など複数の分野において世界的な企業があり、非常に魅力的な市場です。
たとえば銀行はAPIを介してインタラクティブな処理を行いますし、ゲームで遊ぶ際にはAPIを介してユーザーが会話します。車は今やコネクテッドな存在となっており、APIを介してさまざまなデータをやりとりしています。APIを介したデータビジネスはどんどん成長しており、それらを保護していく必要があります。Cequence が日本に進出した理由はそこにあります。
すでにCTCのようなパートナー経由での販売を行っていることに加え、AWS Marketplace上での販売も展開しており、今後さらに販路を拡大していきたいと考えています。また、日本のお客様を特に技術面でサポートするため、日本での体制を拡大していく計画です。
Q:今後の展望についてお聞かせください。
Ameya:これからの5年間で、AI、そしてAIエージェント (Agentic AI)の時代が到来するでしょう。我々はWebアプリケーションからはじまり、モバイルアプリ、APIをカバーしてきましたが、今後、それらと共通のプラットフォーム上でAIエージェントのコミュニケーションをセキュアにしていこうと計画しています。
AIエージェントは互いにAPIを介して対話します。ユーザーがあるAIエージェントに指示したとすると、そのAIエージェントはアプリケーションや、さらに他のAIエージェントとAPIを介して対話します。そうすると、AIエージェントによる通信と、AIエージェントへの通信両方のサイドでセキュリティが求められます。我々は、今、AIエージェントがアプリケーションや他のエージェントとどうやり取りしているのかを可視化し、適切にコントロールできるようにすることで、不正利用や無許可のアクセス、ロジックの悪用といったリスクを防ぐお手伝いをしたいと考えています。
そして、「あなたにつながるものを守る」というミッションをこれからも追求し、デジタルワールドを保護していきたいと考えています。
私たちがそれと意識していなくても、一つのサービスの裏側ではさまざまなAPIが連携してデータをやりとりしている。この結果、状況に応じた最適な情報が提供されたり、シームレスに公共サービスを利用できたり、複雑な決済が実現されている。
だがもし、こうしたAPIが悪用される事態が起きたらどうなるだろうか。予期せぬ形で自分に関する情報が公開されたり、不正な送金や決済によって金銭的被害を被る恐れもある。従って適切なユーザー以外のAPI操作をブロックし、含まれるデータに改ざんなどが加えられないよう保護していく必要があるが、Webページ上の情報のようには目に見えない分、対策はやっかいだ。
この課題に取り組んでいるのが、米国発のセキュリティ企業であるCequence だ。シマンテックなどで数十年にわたりセキュリティ業界に携わってきたメンバーによって設立され、APIセキュリティやボット対策にフォーカスしたプラットフォームを提供している。先日来日した同社の創業者兼CEO、Ameya Talwalkar氏に同社の戦略を尋ねた。
(写真左:CEO 兼 共同創業者 Ameya Talwalkar 氏、写真右:VP, ビジネスデベロップメント担当 Arun Gowda 氏)
●保護すべき領域はWebアプリからモバイルアプリ、APIへと拡大
Q:Ameyaさんの経歴を教えてください。
Ameya:私は過去27年にわたり、ずっとサイバーセキュリティの世界に携わってきました。PKIの領域からキャリアをスタートし、シマンテックでネットワークセキュリティ分野に携わった後、約10年前にCequence を設立しました。
Q:27年の間に、業界ではどのような変化があったでしょうか。
Ameya:振り返ると、いろいろな革新がありましたね。約25年前はWebアプリケーションの開発が盛んになった時期でした。それを狙う不正アクセスも増え、Webアプリケーションを保護するために「Webアプリケーションファイアウォール」(WAF)と呼ばれるテクノロジが登場し、利用され始めました。
次にスマートフォンが急速に普及し、モバイルアプリがあらゆる人に利用され始めました。利用が広がれば、サイバー攻撃や詐欺、不正に狙われるのは世の常です。これに伴いセキュリティも、モバイルアプリへシフトする必要に迫られました。
そして、クラウドやサーバレス環境が広がってきたこの5~6年、ネット上の処理はAPIへと移行しつつあります。だからこそAPIを保護する必要があるのです。Cequence では、Webアプリ、モバイルアプリ、そしてAPIというこれらすべてを単一のプラットフォームで保護していこうと考えています。
Q: Cequence が目指しているのはどのような世界ですか?
Ameya:Cequence は、「あなたにつながるものを守る」というミッションを掲げています。ここで言う「つながるもの」とは、デジタルの言葉に直せば「API」です。
たとえばUberで車を呼ぶ場面では、バックエンドでAPIが使われています。
私は今Apple Watchを身につけており、心拍数などの情報がクラウドに送られていますが、これもAPIを用いています。Paypalで誰かに送金するときもAPIを経由します。つまり、私たちのデジタルライフはすべてAPIを使って接続されているのです。
この世界における我々の目的は、APIがセキュアであることを担保し、あらゆる人のデジタルライフを安全なものにしていくことです。これこそ、我々の目指す未来像です。
Q:そんな未来像の実現に当たって、どんな課題が存在しているのでしょう。
Ameya:多くの企業にお話を伺うと、「自社が一体いくつのAPIを持っているかわからない」という声を伺います。事業やサービスごとにさまざまな外部のサービスと連携していった結果、自社がそれらに対しどのようなAPIを発行しているか、どのようなAPIを利用しているか、まるで把握できない状態になっているのです。セキュリティ業界ではしばしば「見えないものはセキュアにできない」と言われますが、その通りのことが起こっています。
Cequence は、「自社がいくつのAPIを持っているのか」「それらのAPIそれぞれに、どのようなリスクやガバナンス、コンプライアンス面の問題があるか」「それらのAPIは、どのように攻撃者によって操作され、攻撃されうるのか」という三つの質問に答えることができるプラットフォームを提供します。
● API のディスカバリとコンプライアンス、保護を一つのプラットフォームで実現
Q:では、Cequence のプラットフォームについてもう少し具体的に説明をお願いします。
Ameya:我々のプラットフォームは、主に三つの機能を提供します。
一つ目は「ディスカバリ」です。ツールによって、企業が用いているすべてのAPIをカタログ化します。多くの企業では、そもそもいくつのAPIが利用されているかはもちろん、そのAPIはどこから発行されているかも把握できておらず、調査に苦労することが少なくありません。特に大手企業では、部署ごとに開発者が独自の開発ツリーを構築してDevOpsを実践しており、一つの統合されたインベントリが存在しないことがあります。また、企業買収にともなって資産を統合した場合、買収された企業がどのようなAPIをいくつ持っており、果たしてそれがセキュアなのかどうかを確認するのが困難です。
一方、APIに対する攻撃や侵害は往々にして、誰も把握していないAPI、いわゆる「シャドーAPI」に対して行われます。従って、いかに自社のAPIをすべて洗い出し、シャドーAPIをなくしていくかが重要です。Cequence はAPIの情報を一カ所にまとめてカタログ化し、企業がAPI全体を制御できるようにして、シャドーAPIを排除していきます。
二つ目の機能はコンプライアンスです。サイバーセキュリティのリスクが高まっている中で、金融、ヘルスケアなど業界ごとにさまざまな法規制やガイドラインが定められるようになりました。Cequence のプラットフォームでは、そうしたさまざまな法規制への準拠を支援しております。
具体的には、各APIにおいて適切なレベルの認証・認可が実施されているか、また要求されるセキュリティレベルを満たしているかの確認ができます。
加えて、本来ならば外部に送信すべきではない個人情報、いわゆるPIIやセンシティブデータなどを送信していないかもチェックができ、コンプライアンスやデータガバナンスの達成を包括的にサポートします。
即座にアクションにつなげられることと、同時に現実的な運用に対応できるのも特長です。リスクと判定されたものに対しても、既知のリスクは許容する、対応が必要な問題にはフラグを立てるといった形で、システム内で柔軟に管理ができます。さらに、ServiceNowなどの外部ツールと連携により、開発チームとのスムーズなやりとりや、問題のステータスはリアルタイムで自動的に更新されるため、効率的な運用が可能となっています。
三つ目の機能はプロテクションです。仮に、自社で利用しているAPIをすべて洗い出し、しかもそれらが各種法規制に沿ってセキュアに運用されていたとしても、攻撃者や詐欺師らは、金銭や迷惑行為などを目的に、それでもなおAPIを操作しての攻撃を試みます。セキュアなAPIでもビジネスロジックが濫用される可能性はあります。Cequence はそれらを防ぎ、詐欺や悪用を防御する機能を提供しています。
具体的には、例えば、偽のアカウント作成、ポイントプログラムの悪用や詐取、SIMスワップなど、攻撃者はさまざまな手口で狙ってきますが、こうした脅威に対してCequenceは自動で検知できる仕組みがあり、そのため導入した当日からすぐに保護ができるようになります。
Q:APIの重要性が高まり、リスクが高まっていることを背景に、同じくAPIの保護などを提供するソリューションも出てきています。Cequence の特徴は何でしょうか?
Ameya:最大の特徴は、ディスカバリーとコンプライアンス、プロテクションという三つの機能を一つのプラットフォームで提供できる唯一のベンダーであることです。
おっしゃるとおり、WAFの一機能として、あるいはAPIゲートウェイの一部としてAPIを保護する製品や、APIのディスカバリ・コンプライアンス機能を持つ製品も存在します。
しかし我々は創業時から、買収などで後付けで追加するのではなく、単一のプラットフォームで包括的に提供することを念頭に置いて、ソリューションを提供してきました。APIを洗い出し、リスクを正しく評価し、必要があれば修正を支援して保護していく、そしてそれがリアルタイムにできるのはCequence の特徴であり、強みです。
もう一つの特徴は、大規模な環境にも対応できるスケーラビリティが挙げられます。Cequence の顧客には、大規模な金融機関や小売業、エネルギー企業などがあり、中には1日あたり約20億件のトランザクションを処理している事例もあります。これほど大規模な環境にも対応できるプラットフォームです。
また、機械学習を活用して変化するアプリケーションや攻撃者の挙動に継続的に対応し、精度を高めることが可能です。その結果、大規模で複雑な環境を管理しているお客様ほど早期に導入効果を実感していただけるのではないかと思います。
一方で、中には法規制の要件が厳しく、国外にデータを出したくないといったお客様もいます。そうしたニーズに合わせ、我々のプロダクトはSaaSとして提供されるだけでなく、ソフトウェアを用いてオンプレミスで構築することも可能でして、お客様固有の環境に柔軟に対応ができます。
Q:APIのディスカバリや保護を行うことで、負荷が上がったりすることはないのでしょうか。
Ameya:以前の経験が役立っているのですが、われわれのソリューションはネットワークレイヤーでディスカバリーや保護を行うため、対象のアプリケーションにエージェントやコードを組み込む必要がありません。このため、新バージョンをリリースするたびにコードを追加するような手間がかかりませんし、「セキュリティが不安だからリリースを控えよう」と開発速度にブレーキをかけることもありません。
開発との摩擦なく保護できることが大きな特徴です。
● 日本市場でも体制を整え、より多くの企業のデータビジネスを安全に
Q:Cequence が順調に成長し続けてきた要因は何だと思いますか?
Ameya:起業し、成功を収めた企業には三つの共通点があります。一つは、リスクを取ることのできる創業者と、それを支援するエコシステムの存在です。二つ目は、現時点ではまだ解決できていない大きな課題があることで、三つ目は、その課題を解決できるようなユニークさや秘訣を持っていることです。
Cequence は、この三つの要素を備えている企業です。世界のイノベーションの多くが生まれるシリコンバレーで創業しました。当時は、アプリケーション保護は実現できていても、APIを保護していかに不正利用を防ぐかという課題を誰も解決できていませんでした。そして、ネットワークセキュリティの領域で得た知見を生かすことで、この課題を解決するユニークな方法を提供することで成功を収めています。
すでに、世界の大手通信事業者、金融機関、小売業、エネルギー業界や、それ以外の業界でも多くのお客様がCequence を採用しています。日本でも、最大規模の通信事業者や人気の高いモバイルアプリを提供している企業などで導入されています。
Q:日本市場をどのようにとらえ、どのような戦略を立てていますか?
Ameya:日本は非常に重要な市場だととらえています。日本には、金融、自動車、あるいはゲーム・エンターテイメント分野など複数の分野において世界的な企業があり、非常に魅力的な市場です。
たとえば銀行はAPIを介してインタラクティブな処理を行いますし、ゲームで遊ぶ際にはAPIを介してユーザーが会話します。車は今やコネクテッドな存在となっており、APIを介してさまざまなデータをやりとりしています。APIを介したデータビジネスはどんどん成長しており、それらを保護していく必要があります。Cequence が日本に進出した理由はそこにあります。
すでにCTCのようなパートナー経由での販売を行っていることに加え、AWS Marketplace上での販売も展開しており、今後さらに販路を拡大していきたいと考えています。また、日本のお客様を特に技術面でサポートするため、日本での体制を拡大していく計画です。
Q:今後の展望についてお聞かせください。
Ameya:これからの5年間で、AI、そしてAIエージェント (Agentic AI)の時代が到来するでしょう。我々はWebアプリケーションからはじまり、モバイルアプリ、APIをカバーしてきましたが、今後、それらと共通のプラットフォーム上でAIエージェントのコミュニケーションをセキュアにしていこうと計画しています。
AIエージェントは互いにAPIを介して対話します。ユーザーがあるAIエージェントに指示したとすると、そのAIエージェントはアプリケーションや、さらに他のAIエージェントとAPIを介して対話します。そうすると、AIエージェントによる通信と、AIエージェントへの通信両方のサイドでセキュリティが求められます。我々は、今、AIエージェントがアプリケーションや他のエージェントとどうやり取りしているのかを可視化し、適切にコントロールできるようにすることで、不正利用や無許可のアクセス、ロジックの悪用といったリスクを防ぐお手伝いをしたいと考えています。
そして、「あなたにつながるものを守る」というミッションをこれからも追求し、デジタルワールドを保護していきたいと考えています。
編集部おすすめ
![[USBで録画や再生可能]Tinguポータブルテレビ テレビ小型 14.1インチ 高齢者向け 病院使用可能 大画面 大音量 簡単操作 車中泊 車載用バッグ付き 良い画質 HDMI端子搭載 録画機能 YouTube視聴可能 モバイルバッテリーに対応 AC電源・車載電源に対応 スタンド/吊り下げ/車載の3種類設置 リモコン付き 遠距離操作可能 タイムシフト機能付き 底部ボタン 軽量 (14.1インチ)](https://m.media-amazon.com/images/I/51-Yonm5vZL._SL500_.jpg)