「Capy」という企業名や製品名を聞いたことがあるだろうか? 日本人が米国で設立したセキュリティ専門のベンチャー企業である。CEOである岡田満雄氏は、「日本企業の情報セキュリティ対策は脆弱。将来的に大変なリスクを抱えている」との思いから、独自の観点でセキュリティ対策ツールの開発を進めている。
ネットショッピングなどでクレジットカードを使用する際、IDやパスワードの入力とは別に、歪んだローマ字や数字の文字列が表示され、それらを読み取って入力することを求められることがある。「文字型キャプチャ(CAPTCHA)」と呼ばれる認証方式である。「ボット」と呼ばれるソフトウェアによる攻撃を防ぐ効果がある。
だが文字型キャプチャ認証には、「文字が歪み過ぎて読み取れない」「小文字の『エル』と、大文字の『アイ』、数字の『イチ』などが判別しにくい」といった問題がある。最近ではOCR(光学文字認識)機能で文字列を読み取ろうとするボットもあるため、人間でも上手く読み取るのが難しい文字列になる傾向にある。結果、誤入力を何度も繰り返した挙句、あきらめる利用者も少なくない。サイトの運営者からは、ビジネス機会を取り逃すといったマイナス効果が指摘されているほどだ。
こんな問題を解決するための技術開発を進めるのがCapyである。現CEOの岡田満雄氏が2010年、京都大学博士課程に在学中に研究プロジェクトとしてスタート。2012年に、京都大学を卒業した島田幸輝氏(現CTO)とともに米デラウェア州に設立した。
文字列の代わりに画像を利用
Capyは既に、文字型に変わる「Capyキャプチャ」と呼ぶ認証方式を提供している。従来のセキュリティ対策の課題を解決できる方式であり、着眼点が独創的だとして、多くの注目を集めている。
例えば、2013年にシリコンバレーで開かれた起業家コンテスト「TiE50」でトップ50の1社に選定。米マイクロソフトが展開する「アクセラレーター・プログラム」では、イスラエルのテルアビブで実施される「Batch#5」の1社にも選ばれた。最近では、電通国際情報サービス(ISID)が主催した「金融イノベーションビジネスカンファレンス」で大賞を受賞している。
Capyキャプチャの仕組みはシンプルだ。ランダムに表示される1枚の画像に1カ所だけジグゾーパスルの1ピース分の欠けがある。利用者は欄外にあるピースをドラッグして画像に当てはめ、画像を完成させればよい(図1)。ゲーム感覚で操作できるし、誤入力の確率も低いため、利用者のストレスを軽減できる。文字列を読み取れるボットも、画像に最後の1ピースを当てはめるという作業を自動で実行するのは困難だ。
拡大画像表示
さらにCapyは、「Capyアバターキャプチャ」や「Capyリスクベース認証」という仕組みも開発している。Capyアバターキャプチャは、ボットによる認証突破を回避するため仕組みで、イラストやアイコンの意味まで理解しないとログインできないようにする。
Capyリスクベース認証では、利用者の過去のログイン履歴を学習し、例えば今さっきまで東京にいたはずの人間が、数分後に広島からログインしようとしているなど、不自然な振る舞いを検知することで、なりすましによるログインを回避する。
そのCapyが、日本のセキュリティ対策の不十分さを憂いて開発した最新作が、「Capyリアルタイムブラックリスト」である。Capyのサービスを利用しているサイトで検知された、なりすましやパスワードリスト、マルウェアなどの攻撃者をクラウド上にブラックリストとして一元化し、リアルタイムで共有できるようにした。事業開発本部長の島津敦好氏によれば「あらゆる種類の攻撃者情報を集約した、国内唯一のブラックリストデータベース」である。
標的型攻撃では、特定業種を集中的に狙うケースが多い。そのため、同業社間で攻撃者情報をいち早く共有することが有効な対策だとされている。Capyリアルタイムブラックリストも参加企業が増えるほどその有効性が増すため、様々な業種のトップ企業に参加を呼び掛けている。島津本部長は、「日本のセキュリティ対策の中核になるデータベースに成長させたい」と意気込む。
CapyパズルキャプチャとCapyアバターキャプチャの参考価格は、1認証当たり1円。Capyリスクベース認証およびCapyリアルタイムブラックリストは現在、プライベートベータ版として無料で提供されている。
ちなみに、Capyという社名は、同社最初のプロダクトであるパズルキャプチャから発想を得たもの。既存のセキュリティ企業のイメージを覆す親しみやすネーミングとして名付けられている。