SolarWindsへのハッキングのようなソフトウェアサプライチェーン攻撃の増加を受け、バイデン政権は昨年、ベンダーにソフトウェア部品表(SBOM)の提供を義務付ける大統領令を発令しました。SBOMは、理論上は、新たに公開された脆弱性がセキュリティチームに影響を及ぼすかどうかを判断するのに役立ちます。しかし、業界の専門家は、SBOMは必ずしも攻撃を阻止したり、サプライチェーンのセキュリティ確保の課題に対処したりするのに十分な網羅性を備えているとは限らないと警告しています。
スタートアップ企業であるOx Securityは、SBOMに代わるソリューション「Pipeline Bill of Materials(PBOM)」の開発を進めています。Oxは、PBOMが最終的なソフトウェア製品のコードだけでなく、開発全体を通してソフトウェアに影響を与えた手順やプロセスもカバーすることで、さらに進化していると主張しています。PBOMは注目を集めているようです。設立から1年も経っていないにもかかわらず、Oxは本日発表した通り、シード資金として3,400万ドルを調達し、FICO、Kaltura、Marqetaなど30社の顧客を抱えています。
これまでの投資家には、Evolution Equity Partners、Team8、Rain Capital、Microsoft のベンチャー ファンド M12 などが含まれています。
「悪名高いSolarWindsへの攻撃が発生したとき、業界全体がどれほどのストレスを感じたかを覚えています」と、元Check Point幹部でCEOのNeatsun Ziv氏は、TechCrunchのメールインタビューで語った。「共同創業者のLior Arzi氏とアイデアを出し合った際、エンドツーエンドのサプライチェーンソリューションの必要性について話し合いました。最終製品に組み込まれるコードだけでなく、開発ライフサイクル全体を通してソフトウェアに影響を与える可能性のあるすべての手順とプロセスも考慮するソリューションです。2021年末、私たちはこのソリューションを構築するためにOx Securityを設立しました。」
PBOMの開発にあたり、ジブ氏は、Ox社が過去1年間に発生した70件以上の攻撃の根本原因について「徹底的な」調査を行ったと主張している。PBOMは、当時容易に入手できていれば攻撃を阻止できたかもしれない情報を収録し、関係者と共有することで、使用しているソフトウェアが信頼できる安全なビルドから派生したものであることを検証できるように設計されたとジブ氏は述べている。
OxのプラットフォームはPBOMを活用し、既存のソフトウェア開発ツールやインフラストラクチャと統合することで、開発ライフサイクル全体を通じてソフトウェアに影響を与えるアクションを記録します。組織のコードリポジトリに接続し、「コードからクラウドまで」環境をスキャンし、検出可能な資産、アプリ、パイプラインのマップを作成します。
Oxは、使用されているセキュリティツールを特定し、それらが正常に動作していることを確認し、追加のツールが必要かどうかを判断します。その後、プラットフォームは発見されたセキュリティ問題を、ビジネスへの影響度に基づいて優先順位付けし、自動修正と推奨事項とともにハイライト表示します。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
「多くのIT部門は人員不足に陥り、可視性が欠如しており、エンジニアリング部門とDevOps部門をまたがるセキュリティプロジェクトの優先順位付けに苦労しています。その結果、ソフトウェア開発ツールとプロセスがセキュリティチームの管理と所有権の及ばない『シャドー開発』とDevOpsが生まれています」とZiv氏は続けます。「また、自動化が著しく不足しているため、手作業が発生し、これらの役割を担う人材の離職率が高くなっています。Oxプラットフォームは、継続的な可視性の提供、リスクの優先順位付け、手動ワークフローの自動化、そしてGitLab、Jenkins、アーティファクトレジストリ、本番環境といった[ソフトウェア開発]要素の体制確保によって、これらの問題を解決します。」
PBOMは(少なくとも現時点では)自主的な仕様です。Oxは、Legit Security、Cycode、Apiiroといったベンダーと競合しており、ApiiroはPalo Alto Networksが5億5000万ドルで買収間近と報じられています。しかし、Ziv氏はOXの顧客基盤が30強のブランドに及ぶことを指摘し、シェアを拡大しつつあると主張しています。
「私たちは会社を築き、顧客数を拡大することに全力を注いでいます。今のところ、攻撃件数の増加による需要の増加のみが見られます」とジブ氏は述べた。「過去の不況を振り返ると、どの時期も成功を収めた企業がありました。ですから、私たちは市場の動向ではなく、セキュリティリスクの解決に全力を尽くしています。私たちは、このビジョンの実現を願う強力なパートナーと共に、この道を歩んでいきます。」
M12のマネージングパートナーであるモニー・ハシッド氏は、電子メールで次のように述べました。「サプライチェーン攻撃は増加しており、攻撃対象領域も拡大しています。ソフトウェアのセキュリティと整合性に関しては、使用されているコンポーネントだけでなく、開発プロセス全体にわたるセキュリティ体制を考慮する必要があります。Oxは、サプライチェーンセキュリティに変革をもたらす標準の先駆者です。OXと協力してソフトウェアセキュリティの向上に取り組めることを誇りに思います。」
Oxはシードラウンドで得た資金を活用して、2023年末までに従業員数30名を倍増させる計画だ。
カイル・ウィガーズは2025年6月までTechCrunchのAIエディターを務めていました。VentureBeatやDigital Trendsに加え、Android Police、Android Authority、Droid-Life、XDA-Developersといった様々なガジェットブログにも記事を寄稿しています。音楽療法士のパートナーとマンハッタンに在住。
バイオを見る
