本番アプリケーションを内側から守る――Rein Securityはアプリケーションセキュリティに新たなアプローチを提示する。
Rein Securityは、800万ドルの資金調達を実施し、Glilot Capitalの支援を受けてステルス状態から姿を現した。テルアビブとニューヨーク市に共同本社を置くReinは、2024年にマタン・バル・エフラト(CEO)とネタネル・ルビン(CTO)によって設立された。
同社は、稼働中のアプリケーションを内側から効果的に保護する技術を導入している。
両共同創業者は18歳の頃からサイバーセキュリティ(より具体的にはアプリケーションセキュリティ)に携わってきた。なおルビンは15歳で銀行向けのペンテスターを務め、その後、兵役としてイスラエル軍情報部でセキュリティ研究者として勤務した。
次の一手を検討する中で、バル・エフラトはルビンにこう尋ねた。「なぜ君はいつもWebサーバーをそんなに簡単にハックできたの?」 ルビンの答えは突き詰めれば、本番環境におけるアプリケーションのコンテキスト可視性の欠如に行き着く。既存のAppSecツールの多くはコードスキャンと本番前テストで止まっている。これにより問題は表面化するが、アプリケーションが本番に入った後に実際にどう振る舞うのかは示せない。
2人はこの課題に取り組むことを決め、アプリケーションの本番環境の内側でリアルタイムのコンテキストと保護を提供すると約束する、特許出願中のプラットフォーム技術を開発した。アプリ内から得られる反応速度――起きるべきでない事象を検知して対応する速度――は、AI支援および「バイブコーディング」による悪意ある攻撃の速度と規模が拡大し続けるにつれて、ますます重要かつ緊急性を帯びてくるだろう。
バル・エフラトは、エージェンティックAIアプリケーションに関連する現在の難しさを説明する。まず、プロンプトに対する従来型のガードレールは難しい。プロンプトは1行の文にも、文書にも、画像にもなり得て、いずれも隠れた悪意あるプロンプト内容を含む可能性がある。さらに大きな問題は、アプリケーション自体が非決定的であることだ。定義上、それは確率的である。「ここでセキュリティを提供する唯一の方法は、エージェンティックアプリケーションそのものと同じくらい動的であることです」と彼は言う。
「私たちは、CISOやAppSecリーダーが、混乱を招くことなく、あらゆるアプリ、MCP、ライブラリ、APIを保護できるようにするためにReinを設立しました。本番環境でアプリに何が起きているのかを正確に把握し制御することで、チームは調査や分析に過度な時間を費やすのではなく、リアルタイムで実際の問題を解決できます。」
この問題に取り組むため、Reinはアプリケーションにコードを1行追加するだけの新技術を開発した。1日もかからずに、プラットフォームはそのアプリにとって通常または許容される振る舞いをベースライン化する。期待される標準からの逸脱を検知すると、アラートを発し、その逸脱を防止する。
「例えば、通常は1つのことしかしないライブラリや関数が、突然RCEやLog4Jを実行した場合、私たちはこのコンテキストでは起きるべきでない逸脱を検知し、permission deniedを返します」とバル・エフラトは説明する。
「ユーザー視点でも、ランタイム視点でも、私たちは侵入的なことは何もしていません。プロセスを終了しません。スレッドも終了しません。HTTPリクエストすら終了しません。いまアクセスされている悪意あるリソース――言い換えれば、エクスプロイトそのもの――だけをマイクロサンドボックス化します。攻撃の発生を防ぐための、非侵入的な方法です。」
Reinは、プロキシ、サンプリング、eBPFに依存せず、性能影響を1ミリ秒未満に抑えつつ本番コンテキストを適用するアーキテクチャにより、ゼロデイとワンデイの両方にわたるランタイム保護を実現すると主張している。
KuppingerCole Analystsのリードアナリストであるアレクセイ・バラガンスキーは次のようにコメントする。「本番環境における実際の実行コンテキストの可視性を高めることは、アプリケーションリスクについての考え方に別の視点をもたらします。その視点は、セキュリティチームがリスクの優先順位付けを行い、摩擦を減らし、現代のソフトウェア開発に合わせてセキュリティ実践を適応させるのに役立ちます。」
