Kara Sprague、HackerOne CEO – インタビューシリーズ

Kara Spragueは、HackerOneのCEOであり、ソフトウェアおよびセキュリティ分野におけるプロダクトリーダーシップ、ゼネラルマネジメント、戦略コンサルティングにまたがる20年以上の経験を持つベテランのテクノロジー幹部です。彼女は、F5でエグゼクティブバイスプレジデント兼チーフプロダクトオフィサーなどの上級管理職を務め、主要な製品およびプラットフォームイニシアチブを率い、また大規模事業を監督するゼネラルマネジャー職を歴任した後、2024年11月にCEOに就任しました。F5以前には、マッキンゼー・アンド・カンパニーのパートナーとして10年以上を過ごし、主要テクノロジー企業に成長と戦略について助言し、キャリアはオラクルでの技術スタッフとして始まりました。HackerOneでの役割に加えて、Trimble Inc.の取締役会にも参加しています。

HackerOneは、ハッカー活用型セキュリティの先駆者として最もよく知られるサイバーセキュリティ企業で、組織と世界中の倫理的ハッカーコミュニティを結びつけ、脆弱性が悪用される前に特定して修復します。同プラットフォームは、人間の専門知識と自動化およびAI駆動のワークフローを組み合わせたバグ報奨金プログラム、脆弱性開示、ペネトレーションテスト、セキュリティテストサービスを通じて、企業や政府を支援しています。セキュリティを事後対応型から事前対応型モデルへと転換することで、HackerOneは、リスクを軽減し、大規模なレジリエンスを向上させようとする組織にとって、現代のアプリケーションセキュリティスタックの重要な一部となっています。

F5、マッキンゼー、オラクル、その他の主要なテクノロジー組織での数十年にわたるリーダーシップ経験を経て、2024年11月にHackerOneのCEOに就任されました。キャリアのこの段階でこの挑戦に取り組むことになった理由は何ですか？また、会社のリーダーシップを始めた際に最初に設定した優先事項は何でしたか？

私は、技術、戦略、リスクの交差点でキャリアを積み、組織がリスクが高く環境が急速に変化する瞬間を乗り切るのを助けてきました。私がHackerOneに惹かれた理由は、AIがサイバーセキュリティの状況を再形成している今、まさにそのような転換点に私たちがいるからです。

セキュリティはもはやバックオフィスの機能ではありません。それは信頼、レジリエンス、ビジネス速度の核心的な推進力です。企業は今、深く相互接続されたシステム、絶え間ないデータフロー、前例のない規模での自動化された意思決定に基づいて運営されています。AIはイノベーションを加速していますが、同時に、従来のセキュリティモデルが対応できるように構築されていなかった新たな接合部、依存関係、障害モードも生み出しています。

だからこそ、HackerOneのミッションは今、非常に重要なのです。私たちのミッションは、世界がより安全なインターネットを構築できるようにすることです。AI駆動の世界において、このミッションはかつてないほど緊急を要します。HackerOneが異なるのは、世界中の人間のセキュリティ研究者コミュニティとプラットフォームの知性を組み合わせて、攻撃者が悪用する前に脆弱性を見つけて修正する点です。その人間参加型モデルは、単に差別化されているだけでなく、不可欠なのです。

初日から、私は3つの優先事項に焦点を当てました：自律的なプラットフォーム機能の拡大、研究者コミュニティへの投資、顧客やパートナーとの信頼関係の深化です。これは、AIレッドチーミングの拡大、Haiをコパイロットから組織が継続的にリスクを優先順位付け、検証、修復するのを支援するAIエージェントの調整されたチームへと進化させること、開発サイクルのより早い段階でソフトウェアを保護するHackerOne Codeの立ち上げを意味します。現在、顧客の90％以上がHaiを利用して、脆弱性の検証と修正作業を加速しています。

状況は急速に進化していますが、私たちの焦点は変わりません：リスクがあなたを定義する前に封じ込めることです。HackerOneにおいて、それはセキュリティを継続的で実用的なものにし、現代のイノベーションのペースに対応できるように構築することを意味します。

HackerOneでは、ペネトレーションテストとAIレッドチーミングが200％急増し、継続的脅威エクスポージャー管理への戦略的シフトが見られています。これらのトレンドは、同社の長期的なビジョンをどのように再形成していますか？また、この勢いはエンタープライズセキュリティの未来について何を示唆していますか？

私たちが見ているのは一時的な急増ではなく、リセットです。ペネトレーションテストとAIレッドチーミングの200％の急増は、単発的なセキュリティでは現代企業の変化の速さに到底追いつけないことを裏付けています。

この現実が、コードやクラウドからAIシステムに至るまでの全ライフサイクルにわたる継続的脅威エクスポージャー管理に関する私たちの長期的ビジョンを形作っています。AIがイノベーションと攻撃速度の両方を加速させる中で、課題は脆弱性を見つけることではなく、何が悪用可能かを証明し、最も重要なものを優先順位付けし、それを迅速に修正することです。私たちは、継続的なテスト、自律的な検証、インテリジェントな優先順位付け、人間の専門知識を組み合わせてまさにそれを実現するプラットフォームを構築しています。

企業リーダーにとって、示唆は明らかです：セキュリティは定期的な監査ではなく、継続的なビジネス規律になりつつあります。優れた成果を上げる企業は、リスクをより早く特定し、より迅速に行動し、それがビジネス上の問題になる前にエクスポージャーを封じ込める企業です。この転換がエンタープライズセキュリティの未来を定義します。

AIシステムのHaiは、脆弱性発見のワークフローにどのように統合されていますか？また、研究者と顧客にとって最も大きな効果を発揮するのはどの部分ですか？

Haiは、脆弱性管理ワークフローに直接組み込まれた調整されたAIエージェントのチームであり、組織がリスクをより迅速に優先順位付け、検証、修復できるよう、発見を継続的に分析し文脈化します。これはレポートのライフサイクル全体で動作し、ボリュームが増加し脅威がより複雑になる中で、防御側の力を増幅する役割を果たします。

Haiは、ノイズを排除することで最大の効果を発揮します。レポートを要約し、パターンを特定し、発見を検証し、最も重要になりそうな問題を強調することで、トリアージと理解を向上させます。私たちの調査によると、ユーザーの20％が毎週6〜10時間を節約しており、検出から確信を持った修復までの道のりを大幅に短縮しています。

研究者も恩恵を受けています。彼らの半数以上が現在、仕事でAIや自動化を利用しており、Haiは彼らがより強力な概念実証、より明確な説明、より一貫性のある検証を生み出すのを支援します。

企業がソフトウェアスタック全体でより積極的にAIを採用する中で、過去1年間にどのような新たなカテゴリーの脆弱性が出現しましたか？

AIが製品やワークフローに組み込まれるにつれて、意味のある規模で新たな脆弱性カテゴリーが出現しているのを目にしています。最新のHacker-Powered Security Reportでは、有効なAI脆弱性レポートは前年比で210％増加し、CISOのほぼ80％がセキュリティテストの対象範囲にAI資産を含めるようになりました。プロンプトインジェクションが最も目立っており、前年比で半分以上増加しており、攻撃者がモデルの動作に影響を与える最も一般的な方法の一つであり続けています。また、モデル操作、安全でない出力処理、データポイズニング、トレーニングデータやレスポンス管理に関連する弱点も増加しています。

これらのリスクが特に重大なのは、単にシステムに影響を与えるだけでなく、意思決定、ワークフロー、顧客の信頼に影響を与える点です。AIは、従来のテストでは完全にはカバーされない障害経路を導入します。これらのシステムが本番環境に導入され、運用上より重要になるにつれて、専用かつ継続的なAIセキュリティテストは、企業のセキュリティプログラムにおいてますます中心的なものになるでしょう。

私たちのアプローチは、発見とパターン検出を拡大するためのAI駆動の自動化と、微妙な障害、新しい弱点、現実世界への影響を発見する人間の専門知識を組み合わせることで、防御側が攻撃側と同じ速度と規模で活動できるようにします。

世界中の研究者コミュニティが拡大する中で、そのような大規模なクラウドパワード・エコシステムにおいて、信頼、品質、公平性を維持しつつ、多様性と包括性へのコミットメントをどのように推進していますか？

信頼はクラウドパワード・セキュリティモデルの基盤であり、コミュニティが拡大するにつれて意図的に構築されなければなりません。私たちにとって、それは明確な基準、一貫したインセンティブ、強力なガバナンスから始まります。

私たちのコミュニティは、審査を受けたセキュリティ研究者で構成され、顧客と提携して幅広いテクノロジーにわたる現実世界の脆弱性を特定、検証、修復支援します。

私たちは、プラットフォームの知性と人間の監視を組み合わせることで品質と公平性を維持しています。発見を検証し、統一された行動規範を実施し、研究者の背景、地理、在籍期間ではなく、影響に基づいて報酬を支払います。評判システム、透明性のあるトリアージ、一貫した報酬モデルは、市場の両側に説明責任を生み出します。

私たちは研究者の成功に深く投資しています。オンボーディング、トレーニング、明確な成長パスを通じて、新しい研究者がスキルと信頼性を構築するのを支援しています。過去6年間で、50人の研究者が私たちのプラットフォームでそれぞれ100万ドル以上を獲得しており、これは仕事の質とモデルの公平性の両方を示す強力なシグナルです。

多様性と包括性は別個の取り組みではありません。それらはエコシステムの強さの核心です。セキュリティの課題はグローバルであり、多様な視点は異なる攻撃経路と盲点を浮き彫りにします。その結果は、成長するにつれてより強く（より断片化されるのではなくなる）、信頼できる高性能なコミュニティです。

HackerOneは、AI支援による脆弱性発見が責任あるものとなり、バイアスや悪用を回避するために、どのような保護策を講じていますか？

私たちのプラットフォーム全体で、AIエージェントは明確さを向上させ、発見を検証し、修復を加速するように設計されています。一方で、受け入れ、深刻度、対応に関する決定については、人間が責任を負います。

私たちは、顧客に期待するのと同じ基準を自分自身にも課しています。私たちは自社のAI機能を内部で使用し、実際のワークフローで継続的にプレッシャーテストを行い、自社のソリューションにおける高影響度の脆弱性を特定した研究者コミュニティに報酬を支払います。これにより、バイアス、不整合、悪用を早期に表面化させる緊密なフィードバックループが生まれます。

AIがセキュリティ運用にますます組み込まれるにつれて、私たちの目標は、透明性、継続的テスト、人間の責任に基づいた、チームが信頼できる基準を設定することです。

脆弱性発見と報酬が120％増加したことは、脅威の状況に大きな変化があることを示唆しています。これは検出の進歩と解釈すべきですか、それともエンタープライズソフトウェアがよりリスクを抱えるようになっている兆候と解釈すべきですか？

それは両方です。それがポイントなのです。

この増加は、検出における真の進歩を反映しています。研究者はより実行可能で高品質な弱点を発見しており、報酬の増加は、企業が現実のリスクを表面化させ修正することに価値を置いていることを示しています。発見が増えることは、自動的にソフトウェアがよりリスクを抱えていることを意味するのではなく、エクスポージャーがようやく可視化されていることを意味します。

同時に、エンタープライズソフトウェアはより複雑で相互接続されるようになっています。AI、サードパーティ依存関係、より速いリリースサイクルは、従来のコントロールが対応できるように設計された速度よりも速く攻撃対象領域を拡大しています。

結論は単純です：リスクは動的であり、セキュリティもそうでなければなりません。最も回復力のある組織は、エクスポージャーは避けられないものと想定し、実際に重要なものを修正することにひたすら焦点を当てます。

AIの能力が高まる今後数年間で、クラウドソーシング型セキュリティプラットフォームにとって最大の課題は何だと考えますか？

あらゆるセキュリティプラットフォームにおける最大の課題は、速度と規模が増大する中で、シグナルと信頼を維持することです。

AIが発見への障壁を下げるにつれて、プラットフォームでは自動化およびハイブリッドワークフローからのボリュームの急増が見られるでしょう。リスクは発見が少なすぎることではなく、ノイズが顧客を圧倒し、整合性のないインセンティブが信頼を損なうことです。

成功するプラットフォームは、悪用可能性を検証し、影響を優先順位付けし、報酬を成果と連携させながら、強力なガバナンスと人間の説明責任を維持するプラットフォームです。未来はより多くの問題を見つけることではなく、適切な問題をより速く見つけ、ビジネス上の問題が発生する前に洞察を行動に移すことです。

HackerOneは、脆弱性発見を超えて、継続