AIペンテストの拡大・自動化に向け、AikidoがシリーズBで6,000万ドルを調達

ベルギーのソフトウェアセキュリティ系スタートアップが、人工知能を用いてペネトレーションテストに伴う時間・コスト・労力を削減するため、6,000万ドルを調達した。

DST Globalが主導したシリーズBの資金調達により、Aikido SecurityはAI駆動のペンテストに一層注力できるようになる。ベルギー・ヘントに拠点を置く同社は、AIペンテストは人間のテスターよりも速く、安く、効果的だと見ていると、共同創業者兼CEOのWillem Delbare氏は述べた。同社はまた、サプライチェーン攻撃に関連するオープンソースの取り組みを拡大し、開発者のシステムを現代的な脅威に対して免疫化する計画だ。

「私たちにとって、ブランドとストーリーを確立するチャンスです」とDelbare氏はInformation Security Media Groupに語った。「セキュリティでは、ブランドのハロー効果も少しあります。フォーチュン500企業であれば、どこの誰とも分からないスタートアップから必ずしも買いたいとは思いません。自社のコードセキュリティ全体を任せるなら、その相手が今後15〜20年は存続することを知りたいのです。」

2022年に設立されたAikidoは従業員164人を擁し、4回の外部資金調達で累計約8,500万ドルを調達している。直近では2024年5月にSingular.vc主導でシリーズA投資を受けた。同社は創業以来、Willem Delbare氏が率いており、Aikidoを立ち上げる前にTeamleader CRM、Futureproofed Cities、Officientを共同創業している。同社はシリーズBと同時に評価額10億ドルに到達した（参照: Aikido Security、競合を引き離すためAIコードスタートアップTragを買収）。

ソフトウェアセキュリティ市場が過度に細分化されている理由

同社は過去1年で売上3倍成長を計画していたが、実際には5倍を達成した。これは製品の実現可能性とスケーラビリティを証明しただけでなく、2026年と2027年に向けてより野心的な成長目標を掲げる意欲をAikidoにもたらしたという。Delbare氏は、DSTがRevolutなどの高成長欧州スタートアップを支援し、Facebookの初期投資家でもあったことから、主導投資家として世界的な信頼性を提供すると述べた。

「成長の数字は想定より良かった」とDelbare氏は語った。「つまり、その分、少し余計に資金を燃やすことにもなります。」

現在のソフトウェアセキュリティ市場は、機能が重複するツールが乱立し、通常は異なるベンダーから提供されるため、統合不良、コスト増、セキュリティチームの運用負荷増につながっていると同氏は述べた。AikidoはAIペンテスト、自動修正機能、継続的なフィードバックループを統合し、開発ライフサイクル全体を通じて継続的な評価と修復を提供する。

「これらのカテゴリは、通常かなり重複しているのですが、最終的には一つに統合されていくと私たちは考えています」とDelbare氏は語った。「買い手の観点からも理にかなっていません。統合の悪い製品を持つ4社くらいのベンダーと話さなければならない。私たちのアプローチはそれをすべて解決し、よりコスト効率が高く、より統一された体験を提供します。」

この分野には新興スタートアップがひしめく一方で、Aikidoが最も頻繁に競合するのは、導入実績が大きく、市場での存在感が強く、ブランド認知の高いCheckmarx、Veracode、SnykといったプレイヤーだとDelbare氏は述べた。Aikidoは、参加を招かれたRFPでは勝率が非常に高く、課題は製品競争力ではなく、見つけてもらえるか（発見性）と認知にあるという。

「最もよく遭遇するのは最大手企業です。単純に導入実績が最も大きいからです」とDelbare氏は語った。「RFPの案件に入れさえすれば、私たちはほぼ常に勝ちます。だから私たちにとっては、純粋に見つけてもらうことが課題なのです。」

AIエージェントが人間のペンテスターの振る舞いを模倣できる仕組み

AikidoのAIエージェントは、人間のペンテスターの行動を模倣でき、特に反復的で機械的、かつ時間のかかる作業に強い。最短12時間でペンテストのサイクルを完了し、人間の50〜100倍の速度で動作し、重大な脆弱性を2〜3倍多く特定するという。Delbare氏によれば、その結果、サービスははるかに手頃になり、中堅市場の顧客でも継続的なペンテストが現実的になる。

「こうしたエージェントが多数連携して動けば、人間のペンテスターが行うこと――少なくとも2週間かけて行う作業のうち、非常に退屈な部分――を実際に模倣できます」と同氏は述べた。「まだ人間の評価者とベンチマークしていますが、見えてきているのは、エージェントの性能が本当に魔法のようだということです。このレベルに到達するまで、あと9〜12カ月はかかると思っていました。」

CrowdStrikeのようなツールはコンパイル済みソフトウェアには非常に有効だが、JavaScriptベースのプラグインや拡張機能のような、非コンパイルまたはインタプリタ型のコードはスキャンしない。Aikidoは、npmパッケージ、Chrome拡張、VS Codeプラグイン由来の脅威から保護することでこのギャップを埋める。これらは開発者環境で直接実行され、従来の防御を回避するため、マルウェアの侵入経路として人気が高い。

「私たちのマルウェアチームは、新しいChrome拡張の新リリース、Visual Studio拡張の新リリースをすべて監視し、奇妙な挙動がないか評価します」とDelbare氏は語った。「私たちのSafe Chain製品ラインは、ノートPCにインストールしてサプライチェーン攻撃に対して免疫化できる、無料のオープンソース製品です。」

Delbare氏は3〜4年以内のIPOを見込んでおり、同社はすでに年間経常収益（ARR）で数千万ドル規模に達しているとし、18〜24カ月以内にARR1億ドルを目標にしているという。また同氏によれば、同社は発見された重大な脆弱性の数、Aikidoのオープンソースツールの採用状況、企業向けオンボーディング率と継続率を通じた顧客成功とプラットフォームの定着度も追跡している。

「もう一つの指標は、ユーザーを安全に保つことです」とDelbare氏は語った。「それが結果として、次のマルウェア攻撃を止めること、CVEを見つけること、新しい企業を私たちのプラットフォームにオンボードすること、そしてオープンソースソフトウェアの採用につながります。いまGitHubには少なくとも20のプロジェクトがあると思います。」