クラウドセキュリティプラットフォームApiiroが、アプリケーションAttack Surface探索ツールの提供を開始

テルアビブおよびニューヨークを拠点とするApiiroは、アプリケーション・セキュリティ・リスク・グラフの上位に位置するアプリケーション攻撃表面探索ツールを発表しました。Apiiroは、クラウドアプリケーションセキュリティプラットフォームを提供しています。開発中または継続的に更新されるアプリケーションの脆弱性を発見し、それらの脆弱性を関連するビジネスリスクと関連付ける。これにより、開発者またはセキュリティチームは、ビジネスの文脈で重要なリスクを理解することができます。

Apiiroは、アプリケーション全体のリスクグラフを構築します。これは継続的なもので、アプリケーションが進化すれば、リスクグラフも進化します。リスクグラフは、当該アプリケーションのコンテキストに沿ったリスクビューを提供します。例えば、アプリケーションには、インターネットからしか攻撃できない既知の脆弱性を持つOSSコードが組み込まれていることがあります。この場合、脆弱性は存在しますが、リスクではありません。Apiiroのリスクグラフは、社内コード、OSS、API、レガシーコード、リポジトリなどを含め、アプリケーション全体にこのアプローチを適用します。アプリケーションに含まれる実際のビジネスリスクを浮き彫りにします。これらのデータはすべて、リスクグラフの中に含まれています。あまり明確ではありませんが、それでもデータの中に含まれているのは、アプリケーションが提示する攻撃対象です。新しいRisk Graph Explorerは、これを提供するために設計されています。ApiiroのCPOであるMoti Gindiは、SecurityWeekに次のような例を挙げています。「脆弱性があり、クリティカルリスクが高い（CVEスコアが9以上とする）依存関係を探し、インターネットに公開され、個人情報にも触れるため、自分のアプリケーションへの影響が深刻かどうか、などです。このようにして、複雑なクエリーを構築して、アプリケーションの攻撃対象領域を探索することができます。例えば、個人情報が暴露されやすいかどうかを調べて、データ保護コンプライアンスをチェックするために使用することができます。他の例としては、「PIIを公開するインターネット向けAPIを持つコードモジュールの2.0-β9から2.15.0までのすべてのLog4jバージョン」、「公開リポジトリまたはストレージバケットにPIIを保存するリポジトリ全体に現れる特定の秘密のすべてのインスタンス」などが考えられます。」

Gindiは、次のように述べています。「リスクグラフエクスプローラーは、クラウドアプリケーションやソフトウェアサプライチェーンのあらゆる要素を可視化することで、従来のアプリケーションセキュリティの課題を解決するというApiiroのビジョンを表しています。この業界初のアプローチは、重要なリスクを特定し削減するだけでなく、よりスマートで効率的なアプリケーションセキュリティプログラムを構築するために必要なツールや知識をお客様に提供します。これは、Apiiroのリスクグラフエクスプローラーの進化の始まりに過ぎないことを明記しておきます。Apiiroのラボでは、すでに自然言語をエクスプローラのエディタに翻訳する機能を備えています。"これは、私たちが進化するにつれて追加されるものです。それはまた、クエリを提案します。コミュニティによって提案され、入力されたクエリのライブラリをリリースすることを計画しています。英語で質問を書くと、リスクエクスプローラーがクエリそのものを生成してくれる機能が登場すると続けた。簡単な翻訳で、GPTの技術でとても簡単にできることです。」

Apiiroは、Idan Plotnik（CEO）とYonatan Eldar（CTO）により2018年に設立されました。2022年11月にシリーズBラウンドで1億ドルを調達し、総資金額は1億3500万ドルに達しています。