企業デバイスのサプライチェーンがグローバル化と細分化を加速するにつれ、組織にとってサプライヤーからのハードウェアとソフトウェアのセキュリティ確保はますます困難になっています。EUのサイバー政策に貢献するEU機関である欧州連合サイバーセキュリティ機関によると、2021年時点で、サイバー攻撃の66%がサプライヤーのコードを標的としています。
こうした攻撃に対抗するのは容易なことではありませんが、ユーリー・ブリギン氏はその挑戦に挑んでいます。彼は、企業環境や公共部門の環境において、デバイスのハードウェア、ファームウェア、ソフトウェアの脆弱性攻撃から保護するクラウドプラットフォーム「Eclypsium」の創設者です。
投資家の信頼感、あるいは単にサプライチェーンセキュリティソリューションへの需要を反映して、Eclypsiumは本日、Ten Eleven Venturesがリードし、グローバル・ブレインのKDDI Open Innovation FundとJ Venturesも参加した2,500万ドルのシリーズB資金調達ラウンドを完了し、同社の戦略資金は5,000万ドルに達した。Bulygin氏は、調達した資金はEclypsiumの製品機能の拡張、現在の販売活動のサポート、そして年末までに従業員数を約80名から100名以上に増やすために充当されると述べた。
「いくつかのマクロレベルのトレンドがEclypsiumのソリューションへの需要を押し上げており、成長を加速させるために資金調達を行うには今が絶好のタイミングだ」と、ブリギン氏はTechCrunchのメールインタビューで語った。「グローバルサプライチェーンはますます複雑化しており、完成品デバイスには世界中のベンダーから調達されたハードウェアやファームウェアのコンポーネントが使われている可能性がある。これらのベンダーすべてが、デバイスのセキュリティ確保におけるリスクと複雑さを増大させている。さらに、ホワイトハウスが米国のサプライチェーンのレジリエンス構築に継続的に注力していることで、グローバル経済に内在するリスクに新たな焦点が当てられ、政府機関からのEclypsiumのソリューションへの需要も高まっている。」
Eclypsiumを設立する以前、ブリギン氏はIntelで約10年間勤務し、セキュリティ脅威分析を主導し、ソフトウェアおよびハードウェアの脆弱性とエクスプロイトに関する研究を指揮しました。その後、McAfeeで高度な脅威研究のシニアディレクターに就任し、オープンソースのプラットフォームセキュリティ評価フレームワークであるCHIPSECを設立しました。
Eclypsiumを設立したブリギン氏は、(彼自身の言葉を借りれば)企業が機器メーカーや従来型のエンドポイントセキュリティ管理ツールに依存する「罠」に陥るのを防ぐためのサービスの構築を目指しました。Finite Stateのようなスタートアップ企業は、コネクテッドデバイス向けにファームウェアベースのサプライチェーンセキュリティを提供していますが、ブリギン氏は、このレベルの保護は、ほとんどのサイバーセキュリティベンダーにとって後付けのものだと主張しています。
この主張は鵜呑みにしてはならない。ブリギン氏には当然ながら販売する製品があるからだ。しかし、他の条件が同じであれば、サプライチェーン攻撃が世界的に増加しているのは事実だ。マシンID管理企業であるVenafiが2022年に実施した調査によると、最高情報責任者(CIO)の82%が、自社はサプライチェーンを標的としたサイバー攻撃に対して脆弱であると考えている。この報告書は、クラウドネイティブ開発への移行とDevOpsプロセスによるスピードアップが、サプライチェーンのセキュリティ確保に伴う課題を著しく複雑化させていることを示唆している。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
「現代のデバイスの膨大な数と複雑さは、様々なメーカーが製造した機器、そしてそれらに同梱されているすべてのファームウェアとソフトウェアに関する高度な専門知識と理解を必要とします。また、侵害されたデバイスを検出し、さらなる侵害から保護するための独自の機能セットも必要です」とブリギン氏は述べています。「ファームウェアは、テクノロジーサプライチェーンの実現と防御において非常に重要な役割を果たしているため、多くの従来型セキュリティベンダーは、便宜を図って自社製品に『ファームウェア固有の機能』を追加してきました。しかし、ファームウェアセキュリティは単なるアドオンではありません。」
Eclypsiumは、PCやMac、サーバー、「エンタープライズグレード」のネットワーク機器、IoTデバイスなどのハードウェアをサポートしています。このプラットフォームを利用することで、組織はクライアントソフトウェアをインストールすることなく、デバイス群やネットワークインフラを可視化・制御できます。ファームウェアオーケストレーション機能により、セキュリティチームはさらに一歩進んだ対策を講じることができます。Eclypsiumを活用することで、デバイスメーカーが公開したファームウェアアップデートを検出、分析、展開し、ハードウェアに埋め込まれた「予期しない」、そして潜在的に悪意のあるソフトウェアモジュールを検知することが可能になります。
「組織は、自社のデバイス群と運用を守るために、ゼロトラスト原則を採用する傾向がますます強まっています。そのため、明示的に検証されるまでシステムとユーザーを信頼しないというスタンスが一般的です。…しかし、各デバイスは、独自の組み込みコードとオペレーティングシステムを備えた複雑なコンピューターシステムであり、それぞれが多くのサプライヤーによって構築されています」とブリギン氏は述べています。「デバイス検証を真に成功させるには、デバイスに組み込まれ、メーカーから提供されるすべてのコードからオペレーティングシステムやアプリケーションに至るまで、ハードウェアとソフトウェアのコードのすべてのレイヤーを理解する必要があります。デバイスに組み込まれたソフトウェアとファームウェアのコードは、各デバイスで実行される最も基本的で特権的なソフトウェアです。」
エクリプシウムの顧客基盤の規模について問われたブリギン氏は、具体的な売上高の数字については明らかにしなかった。しかし、同社の顧客の3分の1がフォーチュン2000企業であり、エクリプシウムが米国連邦政府と複数の契約を結んでいることは自発的に明らかにした。
パンデミックにより、多くの組織がリモートファースト、どこからでも仕事ができる、BYOD(Bring Your Own Device)環境へと移行し、境界防御に依存しない防御モデルと原則の導入が加速しました。最も顕著な変化は、アプリケーションレベルとデバイスレベルの両方におけるゼロトラスト原則への移行です。オペレーティングシステム、組み込みソフトウェアとファームウェア、ハードウェア層を含むデバイスに対する多層防御の必要性が認識されるにつれ、Eclypsiumのようなデバイス向けサプライチェーンソリューションへの関心が高まっています。
Eclypsiumのような資金調達ラウンドが示すように、サイバーセキュリティバブルは縮小し始めているかもしれないが、まだ崩壊していない。金融アドバイザリー会社Momentum Cyberのデータによると、サイバーセキュリティ関連のスタートアップ企業は2021年に記録的な額となる295億ドルのベンチャーキャピタル資金を調達した。これは2020年の120億ドルの2倍以上であり、ユニコーン企業として誕生した企業も過去最高数に達した。また、Crunchbaseによると、サイバーセキュリティ関連のスタートアップ企業へのベンチャーキャピタル投資額は2022年第1四半期に約60億ドルに達した。
カイル・ウィガーズは2025年6月までTechCrunchのAIエディターを務めていました。VentureBeatやDigital Trendsに加え、Android Police、Android Authority、Droid-Life、XDA-Developersといった様々なガジェットブログにも記事を寄稿しています。音楽療法士のパートナーとマンハッタンに在住。
バイオを見る
