インタビュー6 days ago
Kevin Paige、ConductorOne CISO – インタビューシリーズ
Kevin Paigeは、ConductorOneのCISOであり、政府、エンタープライズテクノロジー、急成長スタートアップにまたがる30年以上の経験を持つベテランのサイバーセキュリティ幹部です。サンフランシスコ・ベイエリアを拠点に、同社のアイデンティティセキュリティ戦略を主導するとともに、現代のワークフォースセキュリティとガバナンスについて組織に助言しています。Paigeは以前、Uptycs、Flexport、MuleSoftでCISOを務め、急成長期にセキュリティプログラムの構築と拡大を支援しました。キャリアの初期には、SalesforceとxMattersでセキュリティリーダーシップおよびインフラストラクチャの役割を担い、米国陸軍と米国空軍の両方に勤務しました。運用上の役割に加えて、アドバイザーおよび投資家としてサイバーセキュリティスタートアップエコシステムでも活動しています。 ConductorOneは、現代のクラウドおよびハイブリッド環境向けに設計されたアイデンティティガバナンスおよびアクセス管理プラットフォームを開発しています。その技術は、アプリケーション、インフラストラクチャ、オンプレミスシステムにわたるアイデンティティと権限の統一された可視性を提供し、組織がアクセスレビューを自動化し、最小権限アクセスを実施し、アイデンティティベースのセキュリティリスクを軽減できるようにします。アイデンティティ分析と自動化されたワークフローを組み合わせることで、このプラットフォームはセキュリティチームが大規模なアクセス管理を行いながら、コンプライアンスと運用効率を向上させるのに役立ちます。 あなたは、米国空軍での軍事サイバー作戦、MuleSoft、Flexport、Salesforceなどの企業でのエンタープライズセキュリティリーダーシップの役割を経て、現在はConductorOneのCISOを務める長いキャリアをお持ちです。これらの役割を通じて、アイデンティティセキュリティに対するご自身の見方はどのように進化し、なぜアイデンティティが現代のサイバーセキュリティにおいて最も重要な戦場の一つになったとお考えですか? 空軍では、アイデンティティははるかに単純でした——機密レベル、知る必要性、すべてがファイアウォールの背後にあり、完了です。MuleSoftでは、それは規模に関するものになりました——数百のSaaSアプリケーションにわたって何千人ものユーザーをプロビジョニングし、ギャップを作らないようにすることです。Flexportでは、境界線は完全に消え、アイデンティティは、誰かがどこにいるかに関係なく機能する唯一のコントロールでした。 今、ConductorOneでは、アイデンティティは最も根本的な変革を遂げています。それはもはや人々だけに関するものではありません——自律的に行動する機械、API、サービスアカウント、AIエージェントに関するものです。ほとんどの組織が使用するツールは、もはや存在しない世界のために設計されました。 アイデンティティが重要な戦場である理由は、それがすべてに触れるからです。世界最高のエンドポイントセキュリティとネットワークセグメンテーションを持っていたとしても——何かが間違ったアクセス権を持っていれば、それらはすべて無意味です。 あなたの近刊となるFuture of Identity Reportによると、企業の95%がAIエージェントがすでに自律的なITまたはセキュリティタスクを実行していると述べています。これらのエージェントは現在、実際にどのようなタスクを実行しており、その自律性のレベルはどのくらいの速さで向上すると予想されますか? 私が驚いたのは、採用率ではなく、その速度でした。昨年は96%がエージェントを導入する計画でした。今年は95%がすでに導入しています。これは漸進的な曲線ではありません。これは閾値の超克です。 エージェントは、ヘルプデスクのワークフロー、アラートのトリアージ、アクセスレビュー、プロビジョニング、そして場合によっては自動修復を処理しています。ほとんどの人が見落としている部分は、組織の64%がすでに、事後レビューのみでエージェントが自律的に行動することを許可していることです。エージェントが最初に行動し、人間が後でチェックします——もしチェックするならば。 今日ヘルプデスクタスクを行っているエージェントは、12ヶ月以内にセキュリティ上の決定を行うようになるでしょう。問題は自律性が高まるかどうかではなく、ガバナンスがそれに追いつくかどうかです。現時点では、追いついていません。 このレポートは、アプリケーションプログラミングインターフェース(API)、ボット、AIエージェントを含む非人間アイデンティティの台頭を強調しています。なぜこれらの機械アイデンティティはこれほど急速に増加しており、なぜ多くの組織はそれらを効果的に管理するのに苦労しているのでしょうか? 三つの力が収束しています。クラウドとSaaSの採用は、すべての統合が独自のアイデンティティを必要とすることを意味します。DevOpsは大規模に機械アイデンティティを生成します——すべてのパイプライン、コンテナ、マイクロサービスです。そしてAIエージェントは、アクセス権を持つだけでなく、それを使って意思決定を行うまったく新しいカテゴリーを追加しています。 組織が苦労するのは、ツールがこのために構築されていないからです。従来のIAMは、ログインとログアウトを行う人間を想定しています。非人間アイデンティティは継続的に動作し、MFAに応答せず、しばしば永続的な認証情報を持ち、人間のアクセス権をレビューするように誰もレビューしないため、権限を蓄積します。 所有権の問題もあります。開発者がサービスアカウントを作成してチームを移動したとき、誰がそれを所有するのでしょうか?多くの場合、誰も所有していません。業界の調査によると、NHIの97%が過剰な権限を持っています。これはツールの問題ではなく、ガバナンスのギャップです。 企業のほぼ半数が、非人間アイデンティティが現在人間ユーザー数を上回っていると述べていますが、それらのアイデンティティが何にアクセスできるかについて完全な可視性を持っている企業はわずかな割合です。組織がこれらの自動化されたアイデンティティに対する可視性を失うと、どのようなリスクが生じますか? 三つの層があります。第一に、侵害された認証情報です。NHIはしばしば、ローテーションされない長寿命のAPIキーや静的トークンを使用します。それらの一つを手にした攻撃者は、侵害された人間のアカウントと同じアラームを引き起こさない永続的なアクセス権を持ちます。 第二に、権限の蓄積です。読み取りアクセスで始まった統合が、静かに書き込みアクセスを獲得します。機械アイデンティティをレビューする人がいないため、古い権限を削除する人はいません。 第三に——そしてこれは急速に浮上しています——AIエージェントはこれらの両方のリスクを増幅します。データベース読み取りアクセス権を持つ侵害されたサービスアカウントは悪いものです。同じアクセス権を持ち、読み取った内容を自律的に要約、共有、行動に移すことができるAIエージェントは、指数関数的に悪いものです。 私たちのレポートでは、NHIの可視性は実際に低下していることがわかりました——前年比で30%から22%へ。組織は問題を解決するよりも速く発見しています。 多くの企業はAIを生産性向上の加速器と見なしていますが、あなたの調査によると、それは攻撃対象領域を静かに拡大することもできます。AIツールとエージェントの採用は、どのようにして新しいアイデンティティ関連のセキュリティリスクを生み出すのでしょうか? 最も差し迫ったリスクは、偶発的な過剰な権限付与です。チームはあるワークフロー用にAIエージェントを導入しますが、機械のための権限をスコープすることは人間よりも難しいため、必要以上に広範なアクセス権を与えます。そのエージェントはサポートチケットだけでなく、顧客データベース全体を見ることになります。 次に、プロンプトインジェクションがあります。外部入力を処理するエージェントは、意図しない行動を取るように操作される可能性があります。エージェントが広範なアクセス権を持っている場合、巧妙に作られたプロンプトは、役立つアシスタントをデータ流出ツールに変えます。...
