セキュア認証のSilverfort、機械学習とエージェントレスが特徴の認証ソリューションとは？

イスラエルで起業された新しい認証ソリューションのベンチャーであるSilverfortのCEOにインタビューを行った。CEOのHed Kovetz氏はCTOのYaron Kassner氏等とともにSilverfortを起業したエンジニアだ。Silverfortには、イスラエルの国防軍であるIDF（Israel Defense Forces）のサイバーエリート集団である8200部隊の出身者が多数在籍することを考えると、セキュリティに関しては高い技術力を持つベンチャーであることがわかる。

SilverfortのCEO、Hed Kovetz氏

Silverfortの会社概要を教えて下さい。

Silverfortは新しいセキュアな認証ソリューションを開発しているベンチャーです。今は60名ほどの社員が働いていますが、そのほとんどはエンジニアで、R＆Dはイスラエルで行っています。イスラエルには45名ほど、あとは北米などの拠点にいます。主にIDFの8200部隊にいたエンジニアで構成されているので、セキュリティやハッキングについては非常に詳しいと言えますね。

2019年10月にMicrosoftと締結したパートナーシップによって、Microsoftとは販売やソリューションの面で良い協力関係にあります。Citibankやシンガポールのテレコム企業SingTelとも、出資やパートナーシップの関係にあります。我々のビジネスは基本的にチャネルを経由してエンタープライズ企業に対してソリューションを提供することですので、あまり大きなセールスチームは必要ではありません。

Silverfortのソリューションの特徴を教えて下さい。

Silverfortのソリューションの特徴は、Proxyやエージェントを導入しなくてもセキュアな認証ソリューションを提供できることです。この背景には、モダンなシステムでは数多くのサーバーやソフトウェアが必要となっている状況に対して、ゲートウェイやエージェントですべてのシステムをカバーするのは不可能であるということがあります。Proxyやエージェントによってシステムを防御するためには非常に多くの労力が必要です。なぜなら、すべてのサーバーにインストールする必要があるからです。またクラウドネイティブなシステムであれば、デベロッパーがシステムを開発してサーバーを実装するのに合わせて、エージェントを入れなければなりません。しかし、毎日構成が変わるようなシステムでは、そんなことはもう不可能です。

Silverfortのソリューションであれば、アクセス認証を行うサーバー、例えばActive Directoryなどになりますが、その背後に導入されるSilverfortのプロセスがトラフィックを監視し、リスクを計算してそのアクセスが正しいものなのか、それとも不正なものなのかを判断します。その判定は機械学習を用いた人工知能が行います。そのために導入してから2週間ほどは、機械学習するためのデータを収集する必要があります。

Silverfortのアーキテクチャー。認証サーバーの背後で動作する

システムの稼働はオンプレミスだけですか？

我々のソリューションは、オンプレミス、パブリッククラウドのどちらでも実行可能です。レガシーなアプリケーションであればオンプレミスでの実行が必要になりますし、最新のクラウドネイティブなシステムでパブリッククラウドの良さを使うような場合では、ハイブリッドなシステムも必要でしょう。そのような場合でもSilverfortのシステムは対応できます。

Active Directoryの背後に存在してデータをチェックするという仕組みだとActive Directoryがダウンしたような場合には、動作ができないということになりますね？

それはその通りですが、エージェントやProxyサーバーのようなアーキテクチャーでもデータをもらう側のシステムが停止したら動けないということには変わりありません。通常の認証サーバーは企業の重要なシステムですので、簡単には落ちないようになっているはずです。

クラウドネイティブなシステム、特に最近はコンテナをKubernetesで実行するようなシステムの場合、外部と接続するNorth-Southのトラフィックだけではなく、East-Westのトラフィックの管理が重要になりますが、SilverfortのシステムはActive Directoryなどを経由するということで、クラスター内部のトラフィックには向いていないのでは？

エンタープライズ企業ではActive Directory、AWSではIAMなどのID管理においてセキュアな認証が必要というニーズは理解していますし、Silverfortのソリューションでカバーできます。またKubernetesのような別のID管理、ポリシー管理を行うような場合にも柔軟に対応できると思います。

Active Directoryの後ろですべてのトラフィックをモニターするという形式なんですか？

いえ、すべてのトラフィックではなくアクセスリクエストをActive Directoryからルーティングしてもらってそれを検査する、そして必要に応じてアクセスを拒否するというやり方です。なのですべてのトラフィックをモニターしているわけではありません。これは単にログインリクエストだけではなく、ファイルへのアクセスなどもチェックしています。

「どういうリクエストが不正なのか？」については、単にユーザーのクレデンシャルをチェックするだけでは判断できません。実は「ユーザーがどこの場所からログインしているのか？」ということを欺くことは、それほど難しいことではないのです。なのでそのユーザーが「普段行わないような動作をしているかどうか？」これを機械学習で判別することが重要なのです。また機械学習したデータを匿名化してSilverfortに送ることで、さまざまな行動データを応用することも可能です。

もちろん、これを行うためには企業からそのデータを使って良いという許諾をもらうことが前提ですが、これによって1社の学習データだけではなく、多くの企業が持つ行動データを使ってさらに判定の精度を上げることも可能になります。

ユーザーに対する課金はどういう仕組みですか？

ユーザーは年次のサブスクリプションで使ってもらうケースが多いですね。課金の単位はユーザー数です。処理したリクエストの数ではありません。また1人のユーザーがオンプレミスとパブリッククラウドの双方を使うような場合には、2ユーザーではなく1ユーザーとして課金します。つまり本当の意味のユーザー単位ということになります。

トラフィック数で課金するかどうかは社内でも議論がありましたが、トラフィック数で課金をすると対象となるサーバーを限定しようとする方向にユーザーが考えるのではないかという危惧がありました。このこともあって、ユーザー数をベースにしたわけです。つまりユーザー数による課金であればシステムの規模が拡がっても、使い方を限定しようとするようにはならないだろうということですね。

Silverfortのシステムを使う際のバリアーを下げたい、多くのシステムで使って欲しいという我々の思いが反映されています。

最後に今後の製品面とビジネス面の双方の計画を教えて下さい。

製品という意味では、これまでのユーザーがアクセスする際のセキュアな認証に加えてマシン対マシンのトラフィック、つまりIoTなどによって利用されるデバイスからのアクセスをセキュアにするという部分を強化したいと考えています。これはハッカーがデバイスを乗っ取って不正なアクセスをするというケースに対応するためです。これは従来の多要素認証などではカバーできない部分になりますが、それを強化したいと考えています。

もう一つは機械学習の強化ですね。アルゴリズムをもっと強化することで、より確実に不正なアクセスを防げると考えています。

ビジネス面では北米、ヨーロッパだけではなくアジア、APAC、特に日本市場も重要視しています。日本は重要な市場であると思いますし。我々は100％チャネルビジネスですので、良いパートナーシップが欠かせないと思っています。また日本で成功するためには、海外からの電話とメールだけのサポートで良いとは思っていません。ですので拠点というか実体のある存在が必要だとも思っています。

Silverfortの社員たち

昨今のように、さまざまなユーザーがさまざまな場所からアクセスを行うようなユースケースでは、エージェントやProxyを立ててアクセス管理を行う方式の限界が見えてきていると言えるだろう。Silverfortのソリューションは、Active Directoryにサイドカーのように実装されている点がユニークで効率的と言えるだろう。Microsoftとのパートナーシップを実現できたことなどから見ても、イスラエルのサイバーセキュリティー企業として良いスタートを切ったと言える。日本でのビジネス展開に期待したい。