ここから本文です

「セキュリティーAI」実現目指す 誰でもわかる形で不正ログインを防ぐCapy

7/21(金) 7:00配信

アスキー

「本物の“セキュリティーAI”を作りたい」Capy Inc.のCEO 岡田満雄氏は、野望ともいえる大きな目標がある。
 「ここからワンストップのセキュリティーを。専門家のブレインで固めて、スーパーエンジニアたちで本物の“セキュリティーAI”を作りたい」――オレゴン州立大学卒業、京都大学大学院で情報学の博士号を取得し、国内だけでなく海外でも多数の受賞経験があるCapy(キャピー) Inc.のCEO、岡田満雄氏はサイバーセキュリティーの「ドクター」として、将来の通過点をそう語る。さらにその先には、野望ともいえる大きな目標がある。
 
 難しい、わかりにくいといわれがちなセキュリティーを、誰もがわかるかたちで提供すること。よくわからないから何も対策せず、その結果やられるという現状を変えるため、岡田氏はどのように活動してきたのか。岡田氏にCapyの生い立ち、そして向かう先に見えるものを聞いた。
 

ログインの総当たり攻撃を防ぐ「Capy CAPTCHA」とは
 まず、岡田氏が考案し既に多数の国内サイトでも導入されている「Capy CAPTCHA」とはなんだろうか。
 
 現在、ウェブサイトは利用者を特定する認証手段として、IDとパスワードを利用している。多くのウェブサービスを利用する際に、どうしても発生してしまうのが「パスワードの使い回し」だ。
 
 パスワードの使い回しはセキュリティー上のリスクのひとつで、あるウェブサービスにおいてID、そしてパスワードが万が一漏えいしてしまうと、そのセットをほかのウェブサービスでも使い回している場合、ログイン試行が成功してしまう可能性がある。これは「正しいユーザーが正しいパスワードを利用してログインしている」ように見えるため、自社サービスには脆弱性がなかったとしても「被害」が発生する。これを「パスワードリスト型攻撃」と呼ぶ。
 
 パスワードリスト型攻撃と、実際の人間のログイン試行に違いはあるのだろうか。実はそこには「機械」プログラムによるログインか、人間によるログインかの微妙な差がある。その区別さえつけば被害を防げるはずだ。多くの場合、1つのサイトに多数のログインIDパスワードのセットを何度も試行する形での攻撃が行なわれるため、攻撃者はプログラミングにて攻撃を自動化する。
 
 そこで、IDパスワード以外に、「機械がログイン試行しているかどうか」を判定する仕組みを入れ込む。読者の多くも、極めて読みにくいアルファベットの羅列を入力させるウェブサービスを体験したことがあるだろう。
 
 機械は読めないが人間は読めるという差を利用したのが、人間とマシンを判別するテスト、「CAPTCHA」と呼ばれる技術だ。岡田氏が考案した「Capy CAPTCHA」は、従来の文字型CAPTCHAをさらに推し進め、より機械が判断しづらく、人間には一目瞭然な「パズル」に進化させたものだ。現在はパズルのピース型に絵をはめ込む「Capyパズルキャプチャ」、さらには絵の中にあるものをルールに従い配置する「Capyアバターキャプチャ」などをリリースしている。
 
 サービス開始からは4年が経過し、現在ではソフトバンクモバイルの会員サイトや各種クレジットカード企業の会員サイトなど、国内での展開事例が多く存在している。多くの企業からは「不正ログイン試行が防げた」という声が上がっており、中には「外したときに再度不正ログインの波が来るかもしれないため、使い続けていきたい」「自社に導入したら、不正ログイン試行の波が同業他社に流れたようだ」というコメントまであったという。
 
 さらには、ログインユーザーの行動が怪しい場合、パズルのピースを動的に増やすなどの設定も行われる。このような形で不正ログインに対しては実績・効果を上げているが、Capyとしては次の段階、不正行動を予測する「セキュリティーAI」の実現を目指しているという。
 
誰でも抽出できるアナログ透かしをデジタルで
 そもそも、パズルのようなこのCapyという仕組みはどのような発想から生まれたものなのだろうか。岡田氏のアイデアのオリジンは「電子透かし」だったという。
 
 「京都大学では、電子透かしを専門に研究していた。当時考えていたのは、ノイズにしか見えないドットだらけの画像を2枚用意し、それをある角度で重ねるとはっきりと絵が浮かび上がる仕組み。ちょうどそのころiPhoneが普及し始め、スマホやタッチパネルでその仕組みをいったい何に活用できるだろうと考えていたところ、教授から『CAPTCHAに使えるのでは』とアイデアをもらった」と、岡田氏は振り返る。
 
 ただし、当時シリコンバレーにてヒアリングを行なった結果、”直感的に重ねあわせる”ということが利用者にはわかりにくいという指摘があった。「電子透かしはブラックボックス化されたプログラムを通さないと抽出できないが、アナログな透かしは紙幣を光にかざせば誰でも抽出できる。そのような『誰でも抽出できるアナログでの透かしをデジタルでやるには……』と考えたことがそもそものきっかけ」(岡田氏)
 
 最終的にそれが、Capyのパズルキャプチャソリューションに進化し、2013年にリリースされた。実はこのリリース後、「画像解析を行なうことで機械的に解けるのでは」という指摘もあったというが、岡田氏は機械側の特徴を検知し、機械か人間かを判別するアルゴリズムも追加しており、「いまはその手法は無意味」と述べる。
 
 Capyはこれらの判断アルゴリズムを含めた国際特許を取得済みであることに加え、IEEEの国際会議でのベストデモ賞受賞、SF Newtech、TiE50 WinnerやIVS Launch Padなどさまざまな大会において優勝するなど、多くの実績を得ている。マイクロソフトベンチャーズ社主催のAkamai - Microsoft Cybersecurity Acceleratorへの正式採択に加え、500Startupsからの出資なども行なわれている。
 
さらなる目標、「セキュリティーAI」の実現へ
 国内大手企業における採用も多く、読者のなかにも、Capyの画面を見た、体験したという方もいるのではないか。岡田氏の想像以上に国内での引き合いは増え、そのサポートや運用の下地を作る作業が現在まで続いているという。「いいフィードバックも多く、その対応のために時間を取っている」と岡田氏は述べる。Capyを導入する手間は少なく、ログイン画面に数行スクリプトを入れ、CapyのコンポーネントをSaaS的に埋め込むことで実現できる。
 
 次に狙うはもちろん、海外だ。そのための準備はほぼできていると岡田氏は言い、2017年内にはアメリカ西海岸に移動し、本格的な世界展開を行なうことも決まっている。しかし、岡田氏の狙いはさらにその先にある。
 
 「今後はCapy CAPTCHAやRisk-base認証(ユーザーのログイン履歴を学習し、リスクを未然に検知する対策)だけでなく、多要素認証(ID・パスワード以外に、指紋やPINなど別の認証要素を組み合わせる対策)、WAF(Web Application Firewall)も全部つくって、“ワンストップのセキュリティー”を実現する。SaaS型で機能をまるごと提供し、かつリーズナブルなセキュリティーソリューションを提供する」(岡田氏)
 
 その自信の裏には、岡田氏がこれまで培ってきたネットワークがある。「ちょうど京都大学との共同研究を開始するところで、今後は国のプロジェクトも一緒にやる予定。多くの専門家の方々と協業してオープン・イノベーションを実現したい」と岡田氏は述べる。
 
 その目標のひとつは、「セキュリティーAI」の実現だと岡田氏は言う。
 
 現時点で既存のCapyが収集するログイン情報において、正常、異常の判別データをまとめ億単位でのデータが集まっており、これを活用する形となる。「解析に関しての京都大学との共同研究では、データベースから悪意のある行動の予測や前兆などを予想できる技術を確立したい。その情報を基に、前述した動的なセキュリティーレベルの変更を行い、効率的に機械と人間の差を見つけたりできる」
 
 そもそもセキュリティーAIが実現できるかどうか、生きるか死ぬかは「データ」をいかに集めるかということにあると岡田氏。現在はIPアドレスやユーザーエージェント、ロケーション情報などが活用できるが、今後スマホのセンサーと連携させれば、たとえばログイン時のスマホの傾き、動きをジャイロセンサーで見て、それがどのように動いてるかをもとに判断も可能となる。
 
 AIはセキュリティー分野でも注目されており大手も意欲的に取り組む分野だが、Capyとしてはコア技術をつくったエンジニアとブレイン、そして集めたデータによって実現できると考えている。
 
「利用する側への負担を強いるセキュリティーが多すぎる」
 Capyのソリューションが登場してから4年、岡田氏によれば、実際に攻撃を受けてもその影響での被害はほとんどないというから驚きだ。パズルを使ったセキュリティーは、子供でもわかる非常にシンプルでわかりやすいユーザーインターフェースでありながら、その背景に仕込まれた技術は非常に高度。
 
 JavaScriptのコード2行でOKというシンプルな導入ながら、たとえ最初の壁が破られても、あやしい挙動に対しては、動的なセキュリティーレベルの調整を行なうなど、十重二十重の体制が敷かれている。岡田氏自身、先を見据えた対策や考えを早くから持っており、もっと攻撃を受けて早く突破されると思っていたが、幸か不幸かその見込みは外れて、使っていない奥の手がまだまだ残されていると語った。
 
 サービスが開始してからの解約件数もほぼゼロとのこと。一度入れると外せない背景は、用途が非常にシンプルで、一般の使う側にとってわかりやすいセキュリティーを提供するという世界観からだろう。「利用する側への負担を強いるセキュリティーが多すぎる」(岡田氏)という、そのような視点で作られたサービスという点がCapyの強みといえる。
 
 この先岡田氏が向かうべきセキュリティー市場は非常に大きい。
 
 セキュリティー市場には、Capyやセキュリティーソフトのようなツールが半分で、もう半分に教育、運用などのコンサル領域がある。岡田氏のCapyはツールをカバーするが、「コンサル領域はAIで自動化する。そうすれば、ワンストップですべてが提供できる」と語る。
 
 「米国留学中に、トップクラスの人と付き合うことを目標にした。現在もそのつながりはあって、研究やディスカッションを続けている」。その先にあるものはなんだろうか。岡田氏は意外な言葉を述べる――「世界の平和を目指したい」
 
 全世界のセキュリティーレベルを向上することで、岡田氏は不幸な人を減らしたいと述べる。それはサイバー世界だけでなく、リアルな世界も含めてだ。「世界を変えるという大きなことをやるためには、発言力、成功事例が必要。一番手っ取り早いのは、“シリコンバレーで成功する”ことだと思っている。いまはまだその準備中」と述べる。
 
 日本における準備期間を経て、現在38歳の岡田氏は「思ったよりも時間がかかっていて、少々焦っています。もう人生、半分終わっちゃったんで」と苦笑いを浮かべた。
 
●株式会社Capy
2012年10月、米・デラウェア州にてCapy Inc.を設立。同時期に『Capyパズルキャプチャ』をローンチ。国内外で高い評価を得て、大手事業者を中心に製品導入が進んでいる。
資金調達では、創業時にジャフコより100万ドルを調達。そのほか株主には500 Startups、Intecur, K.K.。
現在、エンジニア・セールス・管理部門を募集中。
 
 
文● 宮田健 聞き手・編集●北島幹雄/ASCII STARTUP 撮影●曽根田元

最終更新:7/25(火) 14:58
アスキー