バグバウンティプラットフォームを提供するIssueHunt株式会社がシリーズAラウンドにて、第三者割当増資による資金調達を実施したことを明らかにした。今回のラウンドにより累計調達額は約3.5億円となる。
今回のラウンドでの引受先は、KUSABI、ココナラスキルパートナーズ、AdlibTechVentures、G-STARTUPファンド。
今回の資金調達により人材採用を強化し、日本国内へのバグバウンティの普及を目指す。
脆弱性による危険を未然に防ぐ
同社が提供する「IssueHunt」は、企業の情報システムやウェブサイト上の脆弱性を発見した人に対して報奨金を支払う仕組みである、バグバウンティのプラットフォームだ。自社だけでは発見することが難しい、想定外の脆弱性を見つけてもらうことにより、悪意ある第三者からの攻撃を防ぐ。同プラットフォーム上には、グローバルな著名企業のバグバウンティに参加して報奨金を獲得している、実績のあるホワイトハッカーが多数登録している。
IssueHuntは2022年7月に提供を開始し、上場している国内IT企業を中心に導入が進んでいる。また、脆弱性報告窓口の設置ツール「IssueHunt VDP」の提供を2023年1月より開始。ユーザーや善意のセキュリティリサーチャーが脆弱性を見つけた場合に、脆弱性の報告を可能とする窓口を設置することで、セキュリティ上の問題が発生してから対応するまでの時間を短縮する。
また7月より、社内向けバグバウンティの提供開始を予定しており、自社内でバグバウンティを行うことで、外部のホワイトハッカーへ脆弱性診断を依頼するハードルを下げるだけでなく、脆弱性を発見することによる社員の活躍機会を創出する。
今回の資金調達に際して、代表取締役CEO 横溝 一将氏に、今後の展望などについて詳しく話を伺った。
欧米で普及するバグバウンティを日本にも
―― これまで、企業の脆弱性に関する対策にはどのような課題がありましたか?
横溝氏:ウェブサイトからの情報漏洩など、脆弱性対策に取り組む企業は多いです。自社内でのセキュリティ対策に加えて、外部のベンダーによる診断を実施している企業も多いですが、それらだけでは対策しきれない、想定外の脆弱性は非常に多く潜んでいます。こうした脆弱性が企業に及ぼすリスクは大きい一方で、自社やベンダーによる脆弱性診断だけで対応することはかなり難しく、現実的には不可能とも言えます。
想定外の脆弱性を発見するための仕組みとして、バグバウンティが存在します。プラットフォーム上で企業が脆弱性の診断依頼をし、登録するホワイトハッカーやセキュリティリサーチャーが調査し、脆弱性が見つかった場合はその重要性により報酬を支払う形態です。欧米ではこうした仕組みは一般的で、大手IT企業の脆弱性がこうした取り組みから発見される例も複数あります。しかしながら日本語対応しているサービスはほとんどなく、日本企業の導入ハードルは高い現状があります。また日本では、デジタル庁が脆弱性への対策として、バグバウンティについて言及していますが、日本国内におけるバグバウンティの認知度は低く、なかなか普及していません。
また仮に善意のホワイトハッカーが脆弱性を発見した際、それを報告する窓口を持たない企業も多いです。脆弱性が見つかっても報告されずに放置されると、セキュリティリスクに気付かずに何年も過ぎてしまう可能性があります。独立行政法人情報処理推進機構は脆弱性の報告窓口を持つよう注意喚起を行っており、アメリカではすでに一般に浸透している仕組みで、日本企業も早急に対応することが必要です。
―― 創業のきっかけを教えてください。
孫正義さんや堀江貴文さんのご出身が福岡県で、私自身も福岡出身ということもあり大学在学時に起業に興味を持ちました。新卒で大きな会社に入社するよりも、自分自身で大きなことがしたいと考え、CTOとともに共同創業しました。当初はアプリやウェブサイト開発の受託事業を展開していましたが、東京で開催されたスタートアップイベントに刺激を受けたことをきっかけに、事業転換をしてスタートアップとしてオープンソースのソフトウェア開発を開始しました。
―― IssueHunt開発の背景を教えてください。
オープンソースの開発をしていた際、世界中の多くのエンジニアが開発を手助けしてくれました。会ったことも話したこともない人が、当社のツールが好きだからという理由で開発を手伝ってくれることに非常に感銘を受けたんです。元々、GitHub上に存在するユーザーの要望をかなえた人に対して報酬を支払うようなプラットフォームを開発しており、有名なエンジニアも開発に協力してくれました。開発を支援してくれるエンジニアについて調べる中で、彼らの多くが大手IT企業のバグバウンティに参加していることを知り、すでに存在するコミュニティを脆弱性の発見に横展開をしようと思ったことがIssueHunt開発のきっかけです。誰もが知る大手企業の脆弱性を発見することはキャリアにもプラスに働きます。2022年頃から開発を始め、2022年7月からバグバウンティプラットフォームとして提供を開始しました。
誰もが才能を発揮できるプラットフォームへ
―― 資金調達の背景や使途について教えてください。
バグバウンティとVDPのベンダーとしてサービスを展開しているのは、国内では当社のほかにはなく、さらに人材採用を強化してビジネスを推進するために資金調達を行いました。お客様からのフィードバックや要望に対して迅速に開発を進める開発力は大きな強みですが、より開発スピードを高め、セールスやマーケティング、ソフトウェアだけでは解決できないようなセキュリティ課題を解決するコンサルティング人材を中心に増員していきます。
―― 今後の展望を教えてください。
短期的にはバグバウンティの社会実装を目指します。徐々にバグバウンティの概念自体は知られていますが、まだまだ仕組みについての理解は進んでいません。アメリカではバグバウンティはかなり一般的で、バグバウンティに取り組んでいない企業のほうが、システムに自信がない、怪しいと思われるなど、顧客の信頼を損なう傾向にあります。日本においてもバグバウンティを広く実装して知っていただくことが直近の取り組みになります。
当社は、世界中どこにいても才能のある人が公平に評価をされるべきだという思想を持っています。これまでは、性別や出身により、その人に与えられるチャンスが限られてしまうことも少なくありませんでした。インターネットの世界ではパソコンさえあればその才能を発揮することができます。セキュリティという枠組みにとらわれず、世界中の才能ある人が輝けるエコシステムの構築が長期的な展望です。
日本では過去10年間で、上場企業だけでも1億人以上の個人情報が漏洩していると言われています。サイバーセキュリティの対策にきちんと取り組まなければ、日本全体の国力低下につながることは明白です。個人情報の重要性が高まる社会情勢の中で、特に日本のサイバーセキュリティベンダーとは連携しながら、バグバウンティをはじめとした脆弱性対策に取り組んでいきたいと思います。
%2520(26).webp?auto=compress&h=180&max-w=320&fit=crop)
