フランスのスタートアップ エスケープ は、Y Combinatorの2023年冬のコホート終了直後に、390万ドル(360万ユーロ)の資金調達ラウンドを調達した。 同社は、API が公開される前に API を保護することに重点を置いたサイバーセキュリティ製品を提供しています。
フランスのVC企業Irisがラウンドをリードしており、Frstも参加している。 既存の投資家であるIrregular Expressions、Tiny Supercomputers、Kima Venturesがラウンドに参加している。 同社のエンジェル投資家には、フィリップ・ラングロワ氏、メディ・メジャウイ氏、ロクサーヌ・ヴァルザ氏などが含まれる。
「私たちは、サイバー攻撃をシミュレートできる人工知能を活用したカスタム アルゴリズムを作成することにしました。 セキュリティ上の欠陥が見つかると、修復策が提供されます」と共同創設者兼 CEO の Tristan Kalos 氏は私に語った。 彼は Antoine Carossio とともにスタートアップを設立し、現在 10 名が Escape で働いています。
より技術的に言えば、Escape は開発パイプラインに直接統合されるエージェントレス ソリューションです。 開発チームがコード リポジトリに新しいコード行をコミットするたびに、継続的インテグレーション/継続的デリバリー フロー (CI/CD) の統合を使用して Escape がトリガーされます。
たとえば、Escape はレート制限の問題を特定できます。 つまり、悪意のある攻撃者がこの欠陥を利用して大量のデータを抽出する可能性があります。 Escape では、データ操作を防ぐために無効なアクションが適切にブロックされているかどうかを確認することもできます。 と統合します スニック エスケープの問題が Snyk のコードの問題に表示されるようにします。
「これらは動的テストです。 私たちはソースコード自体をテストするのではなく、アプリケーションの実行時にテストします。 API で複雑なのは、ビジネス ロジック、つまり API と対話する方法と攻撃する方法です。 私たちは、深層学習とヒューリスティックを組み合わせた強化学習を使用しています」とカロス氏は述べています。
Escape は、スタートアップが最良の市場開拓戦略であると判断したため、最初に GraphQL API に焦点を当てることにしました。 しかし、同社は現在、GraphQL ベースの API よりも広く普及している REST API のサポートを展開しています。
同社はすでにSorare、Shine、Neo4Jなど約20社のクライアントを説得している。 ご覧のとおり、Escape は、銀行や金融サービス会社など、デリケートな業界で働く大規模なクライアントに焦点を当てたいと考えています。 各契約は年間数万ユーロの価値がある可能性があります。
Escape を使用する前は、会社の API が保護されていることを確認するのはほとんどが手動のプロセスでした。 時々、大企業はセキュリティ アナリストと協力して侵入テスト (略してペネトレーション テスト) を実施します。
「年に 1 ~ 2 回、彼らはやって来て、何が起こっているかをすべて調べて、セキュリティ報告書を渡します。 企業は社内で調査結果を検討し、問題点を列挙します。これも解決しなければなりません、あれも解決しなければなりません」とカロス氏は私に語った。
しかしその後、企業は製品の特定の部分、または特にその API を担当する開発者を見つけなければなりません。 言い換えれば、それは受け身で不完全なプロセスです。
Escape はペンテストを完全に置き換えることを望んでいません。 ペンテストは API だけに焦点を当てているわけではなく、それよりもはるかに大規模なものです。 Escape は、セキュリティ上の欠陥を API レベルで表面化し、最初に見つかった時点で修正できるようにしたいだけです。 このようにして、セキュリティ会社がペネトレーションテストを実施する時点で、ほとんどの問題はすでに修正されています。 これはよりプロアクティブで動的なセキュリティ モデルであり、それが優れたセールス ポイントになる可能性があります。