Security OrchestrationのC2A Security、Claudeを組み込んだEVSec新バージョンをリリース

イスラエルのエルサレムに本社を構えるC2A Securityは、ソフトウェア定義型製品およびサイバーフィジカルシステム向けの製品セキュリティ・オーケストレーション/コンテキストプラットフォーム「EVSec」の「Claude Inside」バージョンをリリースしたと発表しました。Anthropicが提供するLLM「Claude」をEVSecのAIレイヤーに組み込むことで、コンテキストに即した脅威分析、脆弱性インテリジェンス、SBOM(Software Bill of Materials)分析、規制コンプライアンス自動化といった、製品セキュリティ業務全般のAI駆動能力を強化します。今回のリリースの背景には、メーカーや事業者が複雑化する製品、ソフトウェアサプライチェーン、規制環境に対応するため、サイバーセキュリティ管理への圧力が高まっていることがあります。自動車向けの「UN R155」「ISO/SAE 21434」、医療機器向けの「FDA Cybersecurity Requirements」、産業システム向けの「IEC 62443」、そして欧州連合の「Cyber Resilience Act(CRA)」など、多岐にわたるフレームワークが、製品セキュリティチームに対して継続的かつ証跡ベースのセキュリティプロセスを要求しており、従来の手作業中心のワークフローでは対応しきれない領域となっています。

加えて、AIを活用したサイバーセキュリティの世界も急速に変化しています。AnthropicのClaude Mythos Preview、OpenAIのGPT-5.5 with Trusted Access for Cyber、Google DeepMindのCodeMender、GoogleのBig Sleepなど、脆弱性発見・解析・パッチ生成を加速させるAIシステムが次々と登場する一方、攻撃側のAIツール化も同時に進行しています。製品セキュリティチームには「理論的なリスク」と「実際の製品コンテキストにおいて悪用可能なリスク」を迅速に切り分ける能力が、これまで以上に求められています。

C2A SecurityのCEOであるRoy Fridmanは次のようにコメントしています。「AIによって脆弱性の発見、分析、悪用のスピードと規模は劇的に拡大します。私たちの顧客が求めているのは、もっと多くの問題を見つけることではありません。彼らが知りたいのは、何が本当に重要で、自分たちの製品コンテキストにおいて何が悪用可能で、最初にどう対応すべきか、ということです。Claudeの高度な推論能力と、EVSecの製品セキュリティに関する専門知識・サイバーモデル・コンテキストリスクエンジンを組み合わせることで、メーカーが実際のセキュリティ成果のためにAIを使う実践的な方法を提供します」。EVSecの本質は、製品アーキテクチャ、ソフトウェアコンポーネント、脆弱性、脅威シナリオ、コンプライアンス要件、リアルタイムのリスクワークフローを単一のプラットフォーム上で結びつけ、製品ごとに固有の「コンテキスト型サイバーモデル」を構築する点にあります。今回ClaudeをEVSecのAIレイヤー内で活用することで、複雑な技術情報や規制情報を取り込み、製品固有のコンテキストに基づいて推論し、生データから守るべき行動への移行を加速できるようになります。

「Claude Inside」版EVSecが支援する主なワークフローは以下のとおりです。1つ目は脅威モデリングと攻撃経路分析で、製品仕様、アーキテクチャファイル、エンジニアリングドキュメント、セキュリティ入力情報から脅威モデルを生成・洗練します。2つ目はSBOMと脆弱性インテリジェンスで、ソフトウェアコンポーネントデータ、脆弱性情報、サプライヤーから提供されたエビデンス、コードレベルの到達可能性コンテキストを分析し、優先度を判断します。3つ目は規制・コンプライアンスへの推論で、エンジニアリングとセキュリティのエビデンスを上記の主要フレームワークにマッピングします。4つ目はワークフロー、レポーティング、ダッシュボードの自動化と意思決定支援で、エンジニアリング、セキュリティ、コンプライアンス、製品、経営層に向けて監査対応可能なアウトプットを生成します。汎用的なAIツールとは異なり、EVSecは構造化された製品セキュリティ専門環境の中でAIを動作させる点が特徴です。Claudeは、C2A Security独自のサイバーモデル、コンテキストリスクエンジン、オーケストレーションワークフローと並列して動作し、各顧客が実際に保有する製品アーキテクチャ、コンポーネント、脆弱性、ドメイン固有のセキュリティデータに根ざしたAI支援型の分析を可能にします。なお、EVSecは顧客のデータガバナンス要件に応じて、Claude以外のLLMサービスとも連携できる設計となっています。

C2A Securityについて
C2A Securityは、2016年にNDS/Ciscoのベテランエンジニアであった Michael Dick によってイスラエルのエルサレムで設立された、AIベース・コンテキスト駆動の製品セキュリティ・オーケストレーションプラットフォームを提供する企業です。自動車、医療機器、産業システム、ロボティクスといった、規制が厳しいサイバーフィジカルシステム市場における、ソフトウェア定義型製品の固有のセキュリティ要件に応えることに特化しています。
主力プラットフォーム「EVSec」は、AI駆動のコンテキスト分析、高度なセキュリティ自動化、自動コンプライアンスレポーティングを通じて、セキュリティチームとエンジニアリングチームの間の可視性ギャップを埋め、統一的なセキュリティ・ポスチャーの実現を支援します。これにより、製品の設計・開発段階から脆弱性管理、コンプライアンス対応、市場投入後の運用に至るまでのライフサイクル全体で、製品セキュリティを管理しながらソフトウェアリリースの期間短縮とコスト削減を実現します。
顧客およびテクノロジーパートナーには、Bayer、BMW Group、Daimler Truck AG、Ascensia、Elekta、NVIDIA、Siemens、Orcanos、HARMAN、Marelli、NTT Data、Deloitteといったグローバルプレイヤーが名を連ねます。同社は業界の先駆けとなったDevSecOpsプラットフォームに対し、欧州自動車サプライヤー協会CLEPAから「CLEPA Innovation Award」を受賞しています。

TagsCyber SecurityIsrael