あすのユニコーンたち

不正アクセス検知サービスでサイバー犯罪を防ぐ【株式会社カウリス（東京都千代田区）】

2024年 6月 6日

「日本からサイバー犯罪をなくす」という目標を掲げるカウリスの島津敦好代表取締役CEO

国内の被害総額が年間1000億円を超えるといわれるサイバー犯罪。こうした悪質・巧妙化する犯罪を防ごうという気概と正義感を持って独自の取り組みを進めているスタートアップが株式会社カウリス（東京都千代田区）だ。創業者の島津敦好代表取締役CEOが開発した不正アクセス検知サービス「Fraud Alert（フロードアラート）」はログインや口座開設時に不正なアクセスを検知するもので、金融機関を中心に大企業が相次いで導入。また電力会社や中央省庁などとの官民連携を進めており、誰もが安心してインターネットを利用できる社会を目指していく考えだ。志の高い取り組みは高く評価され、島津氏は昨年12月に「第23回Japan Venture Awards」（JVA、中小機構主催）で中小企業庁長官賞を受賞した。さらに今年3月28日には東証グロース市場に上場を果たした。

法人向け不正ログイン対策で大賞を受賞、脚光を浴びる

島津氏の起業までの道のりは比較的長かった。京都大学卒業後、ドリコムに入社。セールス担当として同社のIPOを経験する一方で、業績が厳しくなった部門の事業譲渡を担当し、同僚が次々といなくなるなか最後まで責務を果たした。次にオンライン英会話学習のロゼッタストーン・ジャパンに転職し、法人営業部を一人で立ち上げ、売り上げを大きく伸ばした。「ドリコムでは忍耐強さを学び、ロゼッタストーンではプチ起業を経験した。それらがカウリス設立に際して役立った」と振り返る。

続いて、サイバーセキュリティを手掛けるCapy（キャピー）に入社。当時は他人のIDとパスワードを使った不正アクセスが頻発していた時期で、島津氏は、ログイン時にパズルを当てはめるという対策ツールを大手企業に提案していた。「不正ログインのソリューションを体系的に提案する企業は今のところない。これはブルー・オーシャン（他社と競合することなく事業を展開できる領域）ではないか」と感じたという。

そして起業に向けて大きな転機となったのが2015年2月に行われた「金融イノベーションビジネスカンファレンス（FIBC）」だ。島津氏は法人向け不正ログイン対策ソリューションを発表し、大賞を受賞した。一躍脚光を浴びた島津氏に対しては「ぜひ事業を立ち上げてほしい」「起業時には出資したい」との声が寄せられるようになり、Capyを退社して同年12月にカウリスを設立するに至った。その後、FIBCの関係者であるソニーと主催者の電通国際情報サービス（ISID）は2017年に出資し、カウリスの株主となっている。

“怪しい情報”を瞬時に業界を越えて共有、大企業が相次いで導入

「Fraud Alertではリアルタイムで業界を越えて怪しい情報をシェアできる」と話す島津氏

島津氏が開発したFraud Alertは、250以上のパラメータ（検知項目）を活用してオンラインでの顧客接点である口座開設、ログイン、入出金の三つのポイントについて金融庁が定めるガイドラインに則してモニタリングを行う。また、過去に銀行や証券会社、クレジットカード会社、暗号資産交換業者などの業界で不正に利用された端末情報のデータベースを有しており、これらの情報をもとに高い精度で不正ログインを検知できる。「日本では不正が疑われる怪しい人物や口座の情報は各社ごとにデータベース化され、2カ月ほど後に業界内で共有される仕組みになっているが、Fraud Alertを導入すればリアルタイムで、しかも業界を越えてシェアできる」（島津氏）という。

島津氏がにらんだとおり、不正アクセス検知サービスに対する社会的ニーズは高く、会社設立から間もなくして大手通信キャリアがFraud Alertを導入。金融機関では、2017年に株主となったセブン銀行が翌年に実証実験を行ったうえで採用した。その後もメガバンクや地方銀行、ネット銀行などが相次いで導入。現在、国内の銀行の約15％がFraud Alertを採用しており、「2026年には50％に増やしたい」（島津氏）。業績も好調で、2021年に単年度黒字を達成し、翌年には累積損失を解消している。

規制のサンドボックス制度で電力データ活用、「スタートアップが法律を変えた」

Fraud Alertと並んでカウリスの柱となっているのが電力会社との取り組みだ。全国10電力のうち関西電力（現・関西電力送配電）と連携し、同社が保有する設備情報を活用して不正な銀行口座の開設を未然に防ごうというものだ。電力会社のデータを第三者に提供することは法律上の規制を受けるが、新技術などの実証のために既存の規制の適用外とする「規制のサンドボックス制度」の認定を2019年3月に取得し、セブン銀行を加えた3社で実証を行った。「（関電は）当初から積極的だった。営利目的ではなく、自社の管内で起きている犯罪をなくそうというCSR（企業の社会的責任）的な考えから参画してもらった」と島津氏。

そして実証で不正口座の開設防止に成果を上げると、サイバー犯罪を防ごうという共同の取り組みは広がりを見せた。電力データを継続的にチェックすることで、不正口座の開設防止だけでなく、正規に開設されたあとに転売された口座の発見にも威力を発揮。さらに他の電力会社も加わり、クレジットカードの不正利用の防止でも電力データが活用されるようになっている。政府も有効性を認め、電気事業法など関係法令を改正する運びとなった。「スタートアップが法律を変えた」（島津氏）という画期的なケースとなった。

FATFの次回審査で「日本は安全な国と認定してもらうことが大事」

設立からまだ10年に満たないカウリスの取り組みは着実に成果を上げてきているものの、島津氏は「世界的に見て日本の対策は何周も遅れている」と話す。マネーロンダリング対策での国際協調推進のために設立された政府間会合であるFATF（ファトフ、金融活動作業部会）による第4次対日審査が2019年に実施され、その結果、日本には取り組むべき課題が多く残されているとして、3段階ある評価のうち真ん中の「重点フォローアップ国」との評価が2021年8月に公表された。島津氏は「日本は制度の脆弱性や独特の商習慣があり、マネーロンダリングをやりやすい国だといえる」と分析する。

FATFによる第5次審査は2025年に始まる見込みだ。「ここで日本は安全な国と認定してもらうことが大事」と島津氏。「“安全な国”ということは犯罪グループから見れば“面倒な国”となり、彼らもあきらめて犯罪を行わなくなるだろう。日本国民の大切な資産が守られるだけでなく、ビジネス上のリスクが小さい国だとして海外からの企業進出や移民が増え、国内経済の活性化にもつながる」との見方を示した。

金融庁など中央省庁とのさらなる連携を目指す

昨年12月の「第23回Japan Venture Awards」で中小企業庁長官賞を受賞

島津氏が撲滅を目指すサイバー犯罪は「VUCA（ブーカ）」の状態にあると言われる。VUCAとは「Volatility（変動性）」「Uncertainty（不確実性）」「Complexity（複雑性）」「Ambiguity（曖昧性）」の頭文字を合わせたもので、これまでの経験が通用しない予測不能な状態を表している。「常に変化し続けるサイバー犯罪を防ぐには迅速で柔軟な対応が必須。当社のようなスタートアップはフットワークが軽く速い動きが取れる」として、スタートアップが果たすべき役割を強調。そのうえで、今後は金融庁や警察庁など中央省庁との連携をいっそう強めていく。「たとえば、金融業界に新たな対策を講じてもらうには金融庁が指導や通達を行うのが一番効果的だ」と島津氏。

さらなる連携に向けてカウリスは、中央省庁などとの間で相互に出向を行うといった人事交流も進めたいとしている。折しも、同社は昨年3月に日本経済新聞社と金融庁の共催イベント「FIN/SUM2023」の「インパクトピッチ」で最優秀賞にあたる日経賞を受賞したのに続き、12月にはJVAで中小企業庁長官賞を受賞と、政府関係の賞に選ばれた。「これらの受賞はこれから金融庁や警察庁など霞が関との連携を進めていくうえではずみとなり、大変うれしい」と島津氏。東証グロース市場で上場を果たした同社は、「日本からサイバー犯罪をなくす」という志の高い目標に向けて成長を続けていく。