HackerOne CEO カラ・スプレーグ氏 – インタビューシリーズ

カラ・スプレイグHackerOneのCEOである彼女は、ソフトウェアおよびセキュリティ分野における製品リーダーシップ、ゼネラルマネジメント、戦略コンサルティングなど、20年以上の経験を持つベテランテクノロジーエグゼクティブです。彼女はF5でエグゼクティブバイスプレジデント兼最高製品責任者などの上級管理職を歴任し、主要な製品およびプラットフォームイニシアチブを主導したほか、それ以前は大規模ビジネスを統括するゼネラルマネージャーとして活躍しました。F5入社以前は、マッキンゼー・アンド・カンパニーのパートナーとして10年以上勤務し、大手テクノロジー企業の成長と戦略に関するアドバイスを提供しました。その後、オラクルで技術スタッフとしてキャリアをスタートさせました。HackerOneでの役職に加え、彼女はTrimble Inc.の取締役も務めています。

HackerOne は、ハッカー主導型セキュリティの先駆者として最もよく知られるサイバーセキュリティ企業です。組織と倫理的なハッカーのグローバルコミュニティを結び付け、脆弱性が悪用される前に特定・修正します。このプラットフォームは、バグ報奨金プログラム、脆弱性開示、侵入テスト、そして人間の専門知識と自動化およびAI駆動型ワークフローを組み合わせたセキュリティテストサービスを通じて、企業や政府機関を支援しています。HackerOneは、セキュリティをリアクティブモデルからプロアクティブモデルへと転換することで、リスクの軽減と大規模なレジリエンス向上を目指す組織にとって、最新のアプリケーションセキュリティスタックの重要な構成要素となっています。

F5、マッキンゼー、オラクルといった大手テクノロジー企業で数十年にわたりリーダーシップを発揮した後、2024年11月にHackerOneのCEOに就任されました。キャリアのこの段階でこの挑戦を引き受けようと思ったきっかけは何ですか？また、会社を率いるにあたり、最初に何を優先しましたか？

私はこれまで、テクノロジー、戦略、リスクの交差点でキャリアを積み、リスクが高く、環境が急速に変化する局面において、組織が乗り越えられるよう支援してきました。私がHackerOneに惹かれたのは、AIがサイバーセキュリティのあり方を大きく変えつつあるまさに今、まさにそのような転換点に立っているからです。

セキュリティはもはやバックオフィス機能ではなく、信頼、レジリエンス、そしてビジネススピードの中核を担う要素です。企業は今や、深く相互接続されたシステム、絶え間ないデータフロー、そしてかつてない規模の自動化された意思決定に基づいて業務を行っています。AIはイノベーションを加速させる一方で、従来のセキュリティモデルでは対応できなかった新たな脆弱性、依存関係、そして障害モードも生み出しています。

だからこそ、HackerOneの使命は今、非常に重要な意味を持っています。私たちの使命は、より安全なインターネットを世界が構築できるよう支援することです。AI主導の世界において、この使命はかつてないほど喫緊の課題となっています。HackerOneが他と異なるのは、セキュリティ研究者のグローバルコミュニティとプラットフォームインテリジェンスを融合させ、攻撃者が悪用する前に脆弱性を発見・修正できる点です。この「人間参加型」モデルは、単に差別化されているだけでなく、不可欠な要素です。

就任初日から、私は3つの優先事項に注力しました。それは、エージェント型プラットフォームの機能拡張、研究者コミュニティへの投資、そしてお客様とパートナーとの信頼関係の深化です。具体的には、AIレッドチーム演習の拡大、Haiを副操縦士から、組織がリスクの優先順位付け、検証、そしてより迅速な修正を継続的に支援するAIエージェントの連携チームへと進化させること、そして開発サイクルのより早い段階でソフトウェアのセキュリティを確保するためのHackerOne Codeのリリースです。現在、お客様の90%以上がHaiを活用して、脆弱性の検証と修正作業を加速させています。

環境は急速に変化していますが、私たちの焦点は変わりません。それは、リスクがあなたを定義づける前に、リスクを封じ込めることです。HackerOneにとって、それはセキュリティを継続的かつ実用的にし、現代のイノベーションのペースに合わせて構築することを意味します。

HackerOneでは、ペネトレーションテストとAIレッドチーム演習が200%増加し、継続的な脅威エクスポージャー管理への戦略的シフトが見られました。これらのトレンドは、貴社の長期ビジョンをどのように変えつつありますか？また、この勢いはエンタープライズセキュリティの将来についてどのような示唆を与えているのでしょうか？

私たちが目にしているのは急増ではなく、リセットです。ペネトレーションテストとAIレッドチーム演習の200%の急増は、ポイントインタイムのセキュリティでは、現代の企業の変化のスピードに追いつけないことを裏付けています。

この現実が、コード、クラウド、AIシステムに至るまで、ライフサイクル全体にわたる継続的な脅威エクスポージャー管理を軸とした長期的なビジョンを形作っています。AIがイノベーションと攻撃速度の両方を加速させる中で、課題は脆弱性を見つけることではなく、何が悪用可能かを明らかにし、最も重要なものを優先し、迅速に修正することです。私たちは、まさにそれを実現するために、継続的なテスト、自律的な検証、インテリジェントな優先順位付け、そして人間の専門知識を組み合わせたプラットフォームを構築しています。

企業のリーダーにとって、これは明確なシグナルです。セキュリティは定期的な監査ではなく、継続的なビジネス規律になりつつあります。優れた業績を上げる企業は、リスクを早期に特定し、迅速に行動を起こし、ビジネス上の問題となる前にリスクを封じ込める企業です。この変化こそが、企業セキュリティの未来を決定づけるのです。

AI システム Hai は脆弱性検出ワークフローにどのように統合されますか? また、研究者や顧客にとって最も大きなメリットを提供するのはどこですか?

Haiは、脆弱性管理ワークフローに直接組み込まれたAIエージェントの連携チームです。発見事項を継続的に分析・文脈化することで、組織がリスクの優先順位付け、検証、そしてより迅速な修復を行えるよう支援します。レポートのライフサイクル全体にわたって運用され、レポート量の増加や脅威の複雑化が進む中で、防御側の戦力増強として機能します。

Haiは、ノイズを排除することで最大限の効果を発揮します。レポートの要約、パターンの特定、調査結果の検証、そして最も重要と思われる問題のハイライト表示によって、トリアージと理解度の向上を実現します。 調査によると、ユーザーの20%が毎週6～10時間を節約しています。 検出から確実な修復までの経路が大幅に短縮されます。

研究者にも恩恵があります。 半数以上が現在、仕事でAIや自動化を活用しているHai は、より強力な概念実証、より明確な説明、より一貫性のある検証の作成を支援します。

企業がソフトウェア スタック全体で AI をより積極的に導入するにつれて、過去 1 年間でどのような新しいカテゴリの脆弱性が出現しましたか?

AIが製品やワークフロー全体に組み込まれるにつれ、新たな脆弱性カテゴリーが大きな規模で出現しています。最新のHacker-Powered Security Reportでは、有効なAI脆弱性報告が前年比210%増加し、CISOの約80%がAI資産をセキュリティテストの対象に含めています。最も顕著なのは、プロンプットインジェクションです。 前年比で半分以上増加は、攻撃者がモデルの挙動に影響を及ぼす最も一般的な方法の一つです。また、モデルの不正操作、安全でない出力処理、データポイズニング、そしてトレーニングデータとレスポンス管理に関連する脆弱性も増加しています。

これらのリスクが特に重大なのは、システムに影響を与えるだけでなく、意思決定、ワークフロー、そして顧客の信頼にも影響を及ぼすからです。AIは、従来のテストでは十分にカバーできない障害経路をもたらします。これらのシステムが本番環境に導入され、運用上の重要性が高まるにつれて、専用の継続的なAIセキュリティテストは、企業のセキュリティプログラムにおいてますます中心的な役割を担うようになるでしょう。

私たちのアプローチは、AI 主導の自動化による検出とパターン検出の拡張と人間の専門知識を組み合わせて、微妙な障害、新しい弱点、現実世界への影響を明らかにし、防御側が攻撃者と同じ速度と規模で活動できるようにします。

研究者コミュニティが世界規模で拡大する中で、クラウド主導の大規模なエコシステム全体で多様性と包括性への取り組みを推進しながら、信頼、品質、公平性を維持するにはどうすればよいでしょうか。

信頼はクラウドベースのセキュリティモデルの基盤であり、コミュニティの拡大に合わせて慎重に構築する必要があります。私たちにとって、それは明確な基準、一貫したインセンティブ、そして強力なガバナンスから始まります。

私たちのコミュニティは、厳しい審査を受けたセキュリティ研究者で構成されており、顧客と連携して、幅広いテクノロジーの現実世界の脆弱性を特定、検証し、修正する支援を行っています。

プラットフォームのインテリジェンスと人間による監視を組み合わせることで、品質と公平性を維持しています。具体的には、研究成果の検証、統一されたエンゲージメントルールの適用、そして研究成果のインパクトに基づく報酬の付与（経歴、地域、在職期間ではなく）などです。レピュテーションシステム、透明性の高いトリアージ、そして一貫した報酬モデルによって、市場の双方に説明責任が確立されます。

私たちは研究者の成功に深く注力しています。オンボーディング、トレーニング、そして明確な成長パスを通して、新人研究者がスキルと信頼性を築けるよう支援しています。過去6年間で、 50人の研究者が当社のプラットフォームでそれぞれ1万ドル以上を稼いでいます これは、作品の質とモデルの公平性の両方を示す強力なシグナルです。

多様性とインクルージョンは別々の取り組みではなく、エコシステムの強さの中核を成すものです。セキュリティ上の課題はグローバルであり、多様な視点は異なる攻撃経路や盲点を浮き彫りにします。その結果、信頼性が高く、パフォーマンスの高いコミュニティが生まれ、成長していくにつれて、分断が進むのではなく、より強固なものになります。

HackerOne は、AI 支援による脆弱性の発見が責任あるものであり、偏見や誤用を回避することを保証するために、どのような安全対策を講じていますか?

当社のプラットフォーム全体で、AI エージェントは明確性を向上させ、発見を検証し、修復を加速するように設計されていますが、受け入れ、重大度、対応に関する決定については人間が責任を負います。

私たちは、お客様に期待するのと同じ基準を自らにも課しています。AI機能を社内で活用し、実際のワークフローで継続的にプレッシャーテストを実施し、自社ソリューションにおける影響の大きい脆弱性を発見した研究者コミュニティには報酬を提供しています。これにより、バイアス、不一致、あるいは誤用を早期に発見するための緊密なフィードバックループが構築されます。

AI がセキュリティ運用にさらに組み込まれるようになるにつれ、私たちの目標は、透明性、継続的なテスト、人間の責任に基づいて、チームが信頼できる基準を設定することです。

脆弱性の発見と報奨金が120%増加したことは、脅威の状況に大きな変化が生じていることを示唆しています。これは、検出技術の進歩と解釈すべきでしょうか、それともエンタープライズソフトウェアのリスクが高まっている兆候と解釈すべきでしょうか？

それは両方です。それがポイントです。

この増加は、検知技術の真の進歩を反映しています。研究者はより実践的で質の高い脆弱性を発見しており、報奨金の増加は、企業が真のリスクを明らかにし、修正することを重視していることを示しています。発見件数の増加は、必ずしもソフトウェアのリスクが高いことを意味するのではなく、脆弱性がようやく可視化されたことを意味します。

同時に、エンタープライズソフトウェアはますます複雑化し、相互接続性も高まっています。AI、サードパーティへの依存、そしてリリースサイクルの高速化により、従来の制御が想定していたよりも速いペースで攻撃対象領域が拡大しています。

結論はシンプルです。リスクは動的であり、セキュリティも同様に変化しなければなりません。最もレジリエンスの高い組織は、リスクにさらされることは避けられないと想定し、本当に重要な問題の解決に徹底的に注力します。

AI の能力がさらに向上するにつれて、今後数年間でクラウドソーシング セキュリティ プラットフォームにとって最大の課題となるのは何だとお考えですか?

あらゆるセキュリティ プラットフォームにおける最大の課題は、速度と規模が増大しても信号と信頼を維持することです。

AIによって発見の障壁が下がるにつれ、プラットフォームでは自動化されたハイブリッドワークフローからのトラフィックが急増するでしょう。リスクとなるのは発見数が少なすぎることではなく、顧客を圧倒するノイズと、不一致なインセンティブによって信頼が損なわれることです。

成功するプラットフォームとは、活用可能性を検証し、影響を優先し、成果に応じた報酬を提供するプラットフォームであり、同時に強力なガバナンスと人的責任も維持するプラットフォームです。未来は、より多くの問題を発見することではなく、適切な問題をより早く発見し、ビジネス上の問題が発生する前に洞察を行動に移すことにかかっています。

HackerOne は脆弱性の発見を超えて、継続的な監視、AI 駆動型修復、予測的脅威モデリングなどの分野に拡大していくとお考えですか?

私たちの焦点は、企業が直面する中核的な問題、つまり、絶えず変化する環境における実際のリスクを理解し、抑制するという問題を解決することです。

当然のことながら、これはポイントインタイムの検出を超えることを意味します。私たちは既に、コードとAIのレッドチームワークから検証、優先順位付けに至るまで、エクスポージャーのライフサイクル全体にわたって運用を行っており、お客様がエクスポージャーを早期に把握し、影響をより迅速に理解し、修復からクローズまでを迅速に進められるよう支援する機能への投資を継続していきます。

AIはこうした進化において、特に優先順位付けとワークフローの高速化において中心的な役割を果たしていますが、常に人間の責任が中心にあります。私たちの目標は、現代のイノベーションに遅れを取らない、継続的かつ実践的なセキュリティです。

敵対者が AI を採用するケースが増えていますが、HackerOne はどのようにして先手を打って防御ツールの急速な進化を図っていくのでしょうか?

私たちは、実際の攻撃が発生する場所で活動することで、敵の先手を打つことができます。世界中の研究者コミュニティは、AIを活用した技術を実際の環境で既にテストしており、敵の実際の行動を早期に把握しています。

私たちは、人間の洞察とAI主導の自動化を組み合わせることで、検出、検証、優先順位付け、そして修復をスケールアップします。同様に重要なのは、お客様に提供しているのと同じAIレッドチーム演習のアプローチを用いて、自社プラットフォームの継続的なプレッシャーテストを実施していることです。

目標はあらゆる新たな攻撃を予測することではなく、攻撃者よりも速く学習するシステムを構築することです。これこそが、AI主導の脅威環境において防御ツールが対応していく方法です。

素晴らしいインタビューをありがとうございました。同社が人間の専門知識とAI主導のセキュリティをどのように活用し、組織がビジネス上の問題になる前に現実世界のリスクを特定し、抑制しているかについて詳しく知りたい読者は、次のサイトをご覧ください。 HackerOne.