アシュリー・ローズ、Living Securityの創設者兼CEO – インタビュー・シリーズ

アシュリー・ローズ、Living Securityの創設者兼CEOは、サイバーセキュリティの革新者であり、組織がセキュリティにおける人間のリスクに取り組む方法を再定義することに焦点を当てたシリアル・エントレプレナーです。2017年に会社を創設して以来、彼は、従来の認識トレーニングを超えた、データ駆動型、行動に焦点を当てたサイバーセキュリティ・アプローチの開発を主導してきました。そのアプローチは、文化の変化と計測可能なリスク削減に向けて進化しています。製品リーダーシップと起業家精神の背景を活かし、彼はLiving Securityを急成長するSaaSプラットフォームに成長させました。そのプラットフォームは、企業組織で使用されており、さらに、Women in CyberSecurityのようなイニシアチブのメンター、顧問、擁護者として、サイバーセキュリティ・エコシステムに貢献しています。

Living Securityは、人間のリスク管理に焦点を当てたサイバーセキュリティのSaaS会社です。組織が従業員の行動に関連するリスクを特定、測定、削減するのを支援します。そのプラットフォームは、行動、ID、脅威データを集約して、高リスクユーザーを特定し、セキュリティの侵害を防ぐために、ターゲットを絞ったリアルタイムのトレーニングと介入を提供します。分析、自動化、シミュレーションやゲーム化されたトレーニング方法などの組み合わせにより、企業は、コンプライアンス駆動型のセキュリティ認識から、従業員全体で計測可能なリスク削減への移行を可能にします。

あなたは2017年にLiving Securityを創設しました。以前は消費者向け製品事業を立ち上げ、成長させ、製品オーナーとして働いていました。サイバーセキュリティと人間のリスクに焦点を当てることを決めた具体的な瞬間や認識は何でしたか？また、そのオリジナルのテーゼは、AIがワークフォースの一部になるにつれてどう変化していますか。

2017年当時、ほとんどの組織はセキュリティ認識トレーニングをチェックボックスの演習として扱っており、行動の変化にはつながらなかった。転換点は、人間の行動がセキュリティの侵害を引き起こしている場合、答えはより忘れやすいトレーニングではなかったという認識でした。Living Securityの共同創設者であるDrew Roseは、セキュリティ・プログラムを自分で実行しており、ゲーム化を開始し、サイバーセキュリティの脱出ルームのような初期のプロトタイプを構築していました。私たちは、セキュリティを体験型にすると、人々が関与し、学び、実際に行動を変えることができることを実感しました。那がLiving Securityの基盤となりました。

共同創設者として、Drewと私はすぐに、関与は開始点に過ぎないことを認識しました。経験をプラットフォームに拡大するにつれて、人々がどのように行動し、どこで苦労し、リスクが実際に集中しているかというパターンを認識しました。那は、組織が人間のリスクやそれをターゲットに削減する方法に関する実際の可視性を持っていないことを明らかにしました。那の洞察が人間のリスク管理の開拓につながりました。人間のリスク管理とは、トレーニングの提供のみではなく、個人の行動、権限、脅威に基づいてリスクを特定、測定、削減することを意味します。AIがワークフォースの一部になるにつれて、そのオリジナルのテーゼは拡大しました。課題は、人間の行動だけではなく、人間とAIシステムがどのように共同で動作するかという点にあります。人間は依然として中心にあり、AIエージェントを管理・展開しています。つまり、可視性をそれらのエージェントに拡張し、リスクを個々に結び付ける必要があります。那がワークフォース・セキュリティへの進化を推進しています。

あなたは、人間のミスはセキュリティの侵害の不完全な説明であると主張しています。組織は、人間の行動とAI駆動の行動の両方が攻撃面に貢献している今日、ワークフォース・リスクをどのように再考するべきですか。

セキュリティの侵害を「人間のミス」と表現することは、問題を単純化し、リスクが実際にどこから来ているかを隠しています。人間のリスクは、ミスだけではなく、行動、権限、脅威への露出によって形作られるものです。従業員の中には、機密システムへの特権アクセスを持つ人もいれば、頻繁に標的とされる人もいます。したがって、セキュリティの侵害のリスクは、ユーザーに均等に分布しているわけではありません。組織は、リスクが実際に存在する場所を理解するために、行動、権限、脅威への露出の交差点を可視化する必要があります。

結果として、組織は、認識ベースのモデルを超えて、ワークフォース・リスクを共有の運用上の課題として再考する必要があります。つまり、人間のリスクとAI駆動の行動の両方に焦点を当て、ハイブリッド・ワークフォース全体でリアルタイムの介入を適用することです。リスクを個々のユーザーのミスとして扱うのではなく、仕事の実行方法を継続的に可視化し、リスクが集中している場所を理解し、ターゲットを絞った介入を適用する必要があります。

AIツールは、コードの作成、ワークフローの処理、決定の下しまで行っています。AIシステムがツールからワークフォースの一部として扱われるべき時点はいつですか。

AIシステムは、エンタープライズ環境内で行動を起こす瞬間から、ツールではなくワークフォースの一部として扱われるべきです。那時点で、AIシステムは、従業員と同様に、行動、権限、接触するデータによってリスクを引き起こします。組織にとっての転換点は、AIエージェントが生産性の層だけではなく、運用上の参加者であることを認識することです。したがって、AIエージェントは、人間のユーザーと同様に、統一されたワークフォース・リスク・モデル内で監視、管理、保護される必要があります。

企業は、リスクが従業員に限定されず、AIエージェントの自律性とアクセスのレベルが異なる場合に、ガバナンスにどのように取り組むべきですか。

企業は、ポリシーベースのガバナンスを超えて、人間とAIエージェントの両方に適用される、継続的な行動駆動型のプロセスとしてガバナンスを扱う必要があります。多くの組織にはすでにAIポリシーがあるかもしれませんが、ギャップは、特に従業員が公認環境を超えてツールを採用し、AIシステムがさまざまなレベルのアクセスで動作する場合に、執行と可視性にあることが多いです。

効果的なガバナンスは、役割とデータ・アクセスに基づいて受け入れ可能な使用を明確に定義することから始まりますが、ワークフローに組み込まれたリアルタイムのガイダンスと、リスクが発生している場所を可視化して適応できるようにする継続的な測定も必要です。最終的に、ガバナンスは、人間とAIシステムの両方が意思決定を行い、データにアクセスし、リスクを引き起こしている今日の仕事の実行方法を反映する必要があります。

Living Securityは、行動駆動型のセキュリティ・モデルに重点を置いてきました。那の哲学は、行動の一部がAIシステムから来ている場合にどのように変換されますか。

Living Securityの行動駆動型アプローチは、AIにも自然に拡張されます。焦点は、リスクを生み出すのは誰かではなく、どのようにリスクが導入されるかにあります。人間かAIシステムか、リスクは行動、データへのアクセス、取られる行動、ワークフロー内での意思決定の方法で現れます。AIシステムがより多くの運用上の責任を負うにつれて、同じモデルが適用されます。組織は、行動に対する可視性と、リアルタイムで介入する能力が必要です。

那が、Livvyの開発につながりました。Livvyは、Living Securityプラットフォームを動かすAIインテリジェンスです。人間とAIの活動の両方にわたって予測インテリジェンスと継続的な監視を適用します。AIを別の課題として扱うのではなく、行動、人間か機械か、を統一されたワークフォース・リスク・モデル内で継続的に測定、導き、管理できるようにします。

多くの組織は、まだ周期的なセキュリティ認識トレーニングに頼っています。現代の環境では、那モデルはどのようにして壊れますか。データ駆動型のアダプティブ・アプローチは、実践ではどのように見えますか。

周期的なセキュリティ認識トレーニングは、静的な脅威の風景のために構築され、リスクが広範な教育を通じて削減できるという仮定に基づいているため、壊れます。実際、ほとんどのインシデントは、トレーニングの欠如ではなく、日常的な運用上の行動から生じます。リスクは、ユーザーのサブセットに集中しています。よりアダプティブでデータ駆動型のアプローチは、リスクが実際に存在する場所を継続的に特定し、仕事の流れの中でターゲットを絞ったリアルタイムのガイダンスを提供することに焦点を当てます。トレーニングの完了から、計測可能なリスク削減への移行です。

あなたのプラットフォームは、リアルワールド・データを使用した人間のリスクの量化を強調しています。組織は、人間の行動、IDとアクセス、脅威への露出を含む、どのようなシグナルを追跡する必要がありますか。

組織は、行動、IDとアクセス、脅威への露出に焦点を当てるべきです。これらのシグナルは、リスクがどのように生み出され、ワークフォース全体で集中しているかを反映しています。那には、AIも含まれます。従業員が使用しているツール、ツールのアクセス権、ツールの構成やプロンプトについても同様です。これらのシグナルは、それ自体では有用ですが、実際の価値は、それらがどのように組み合わさってリスクの物語を語るかという点にあります。

例えば、財務担当役員は財務システムへのアクセスを持っており、MFAを使用しておらず、機密データに接続されたAIツールを使用しており、フィッシング・キャンペーンによって積極的に標的とされている場合、リスクは非常に高くなります。一方、権限が限定され、露出が低いビジネス・デベロップメント・リレーション担当者は、はるかに低いリスクです。リスクは、単に何をするかではなく、誰がアクセス権を持っているか、どのシステムが行動を起こしているか、どのくらい頻繁に標的とされているかによって決まります。組織がこれらの要素をまとめて見ることができると、セキュリティの侵害が最も起こりやすい場所を理解し、リアルタイムで対応できます。対応策としては、個々に警告を発したり、制御を強化したり、特定のグループに対する介入を優先したりすることがあります。

AIは、新たな脆弱性を生み出していますが、防御にも使用されています。バランスはどのように変化するでしょうか。AIのセキュリティへの影響は、最終的にはプラスになるでしょうか、またはマイナスになるでしょうか。

AIは、攻撃面を拡大しながらも、組織がリスクを検出して対応する方法を改善しています。一方では、ワークフローがより複雑になり、自律的な行動が可能になり、新たな脆弱性が生じます。他方では、セキュリティチームが行動を大規模に分析し、迅速に対応できるようになります。バランスの変化は、組織がどのように適応するかに依存します。現在、多くの組織はまだ可視性とガバナンスに追いつこうとしています。特に、AIが予測できない方法で使用されている場合にそうです。長期的には、AIの影響はプラスになる可能性がありますが、組織がAIをワークフォースの一部として扱い、人間のリスクと同等のレベルの監視、ガイダンス、コントロールを適用する必要があります。

すべての従業員やAIシステムが等しいリスクをもたらすわけではありません。組織は、フリクションや過度な監視を生み出さないように、介入をどのように優先するべきですか。

リスクは等しくありません。等しいと扱うことは、フリクションを生み出すことになります。重要なのは、リスクが実際に集中している場所に焦点を当てることです。約10%のユーザーが73%のリスクを引き起こしているという事実から、組織は、行動、権限、露出のデータを使用して、誰や何に注意が必要かを優先する必要があります。さらに、仕事の流れの中でガイダンスを提供することで、セキュアなパスを最も簡単にたどれるようにし、すべての従業員に対して監視を増やすのではなく、フリクションを減らすことができます。

5年先を想像してみると、ワークフォース・セキュリティはどのように見えますか。組織は、今日まだ何を過小評価していますか。

5年先を想像すると、ワークフォース・セキュリティは、人間とAIエージェントの両方が共同で動作する方法を理解し、管理する能力で定義されます。周期的なトレーニングや静的なコントロールではなく、継続的な可視性、リアルタイムのリスク評価、行動、権限、脅威の変化に応じて動的な対応が必要になります。人間は依然として中心にありますが、AIを通じて自分自身を拡張しています。したがって、セキュリティは、人間とAIの両方を考慮する必要があります。

組織が過小評価しているのは、すでに人間のリスクに関する可視性のギャップがあるということです。AIはこのギャップを拡大させています。多くの組織は、AI戦略があると考えていますが、実際には、人間と使用しているツールの両方に対する可視性が欠けています。ステップ1は、人間のリスク、行動、権限、脅威への露出を理解することです。ステップ2は、従業員が使用しているAIエージェントへの可視性を拡大することです。AIエージェントは、人間が与えるアクセスと決定によってのみ、強力でリスクのあるものになります。基盤がなければ、組織はAIに遅れています。実際には、ワークフォース全体で拡大する盲点を持って運営しています。

素晴らしいインタビュー、詳しく知りたい読者は、Living Securityを訪問してください。