OX Securityの共同創業者兼CEO、Neatsun Ziv氏 – インタビューシリーズ

ニーツン・ジヴOX Secuityの共同創設者兼CEOである彼は、DevSecOps時代のソフトウェアサプライチェーンセキュリティの再定義の最前線に立っています。OX設立前は、Check Pointでサイバーセキュリティ担当バイスプレジデントを務め、グローバルな取り組みを主導し、SolarWindsやNotPetyaといった注目度の高い脅威への迅速な対応を統括しました。過去10年間で最も重大なサイバーインシデントの発生時には、インターポール、各国のCERT、その他の執行機関と直接連携する機会も数多くありました。

OX セキュリティ OXは、ノイズを排除し、組織が真に重要なリスクのごく一部に集中できるよう設計されたアプリケーションセキュリティプラットフォームです。エクスプロイト可能性、到達可能性、ビジネスへの影響を分析し、ソフトウェア開発ライフサイクル全体にわたってエビデンスに基づいた優先順位付けを実現します。コードからクラウドまでを網羅し、100以上の連携機能とノーコードワークフローを備えたOXは、ガイド付きの修復機能を開発者ワークフローに直接組み込み、効果的かつスムーズなセキュリティ対策を実現します。

OX Securityの共同設立前は、Check Pointで大規模インシデント対応を指揮されていました。起業を決意したきっかけは何ですか？また、アプリケーションセキュリティ分野にはどのようなギャップを感じていましたか？

チェック・ポイントで働いていた私は、「企業間の速度ギャップ」、つまり従来のセキュリティ企業のスピードの遅さを身をもって体験しました。また、セキュリティチームが様々な面で非常に非効率であることも目の当たりにしました。特にリスクの優先順位付けにおいて顕著でした。

同時に、当時はまだ未発達だった生成AIが、セキュリティツールの進化の未来を象徴していることに気づきました。そして実際、それは猛スピードで進化していました。いくつかの重要な変化が同時に起こっていました。

脅威アクターの加速: 攻撃者は新しいテクノロジーや手法を急速に採用し、セキュリティ ソリューションが対応できるよりも速いペースで動いていました。

「バイブコーディング」現象: 当時はこの用語は存在しませんでしたが、開発者が Copilot などの AI 支援コーディング ツールにますます依存するようになり、ソフトウェアの構築方法が根本的に変えられ、まったく新しいセキュリティ上の考慮事項が導入されるようになりました。

サプライ チェーン攻撃の進化: ソフトウェア サプライ チェーン攻撃の加速により、既存のツールでは対応できなかったアプリケーション セキュリティに対する新しいアプローチが緊急に必要になりました。

急速に進化するこれらの課題に対処するには、既存の企業構造内で段階的に改善するだけでは不十分です。

最終的に私が気づいたのは、脅威は急速にコード内に侵入しており、セキュリティもそれに追随する必要があるということでした。私たちは既存のフレームワークから脱却し、新たな高速レースに参戦する必要がありました。

OXの核となる使命は、開発者が実際に重要な脆弱性の5%に集中できるよう支援することです。その洞察はいつ具体化されたのでしょうか？また、それが今日の製品開発の意思決定にどのように影響しているのでしょうか？

かなり大規模な開発チームの運用管理を担当した経験から、セキュリティ関連の問題の膨大な量に圧倒される状況を目の当たりにしてきました。何が重要で何が重要でないかを理解する必要があります。果てしないリストを精査しても、リスク軽減の実現には繋がりません。むしろ、フラストレーションを生み、時間とリソースを浪費するだけなので、リスク軽減から遠ざかってしまうことさえあります。

この経験から、開発者が本当に重要なことに集中できるよう支援し、なぜそれが重要なのかを説明する必要があることがわかりました。その後、開発者が問題を簡単に解決する方法、あるいはもっと良い方法として、開発者に代わって解決する方法を示す必要があります。これは現在、次のようなツールによって可能になっています。 エージェントOX.

この洞察は、私たちの会社を築き上げる基盤となり、今日のすべての製品開発における意思決定の指針となっています。私たちが開発するすべての機能、すべての可能性は、「これは開発者が本当に重要なことに集中するのに役立つだろうか？リスクを軽減できるだろうか？」という問いから始まります。

このプラットフォームは、SDLC全体のリスクをマッピングする「コードプロジェクション」を中心としています。この技術の仕組みと、他の脆弱性管理ツールとの違いについて説明していただけますか？

コードプロジェクションとは、コード内の問題を検知し、そのコードがクラウドに到達したときにどのように動作するかを事前に予測する技術です。これにより、本番環境で問題が発生するずっと前、つまりリスクが既に顕在化している段階で、問題を解決できるようになります。

これは、すべてのコードがビルドされ、クラウドに配信されるプロセス、つまりCI/CDを持っていることを理解することで機能します。私たちはコードを読み、その意味を解釈することができます。端的に言えば、インターネットに公開されるものと公開されないものは明らかに異なる影響を及ぼします。

他の製品との重要な違いは、ほとんどのツールが長々とした問題リストを残して作業を終えることです。真に重大なリスクの5%以下に焦点を当てることができず、これらのリストをフィルタリングしていくと、ほとんど無関係なタイムフレームしか設定されなくなります。また、どの開発者に問題を割り当てればよいのかもわかりません。

私たちのアプローチはそれを完全に変えます。問題を特定するだけでなく、コンテキスト、優先順位、明確な所有権を提供します。

スキャンツール、シークレット管理、SBOM、SaaSディスカバリーなど、様々な機能を完全に統合していますね。これらすべてをシームレスな開発者エクスペリエンスに統合する上で、最も困難だった技術的課題は何でしたか？

最も難しい問題は、データを洞察へと変換することです。データとは、今おっしゃった通りのものです。しかし、開発者には明確さ、箇条書き、そして論理的な根拠が必要です。焦点を絞ったコミュニケーションです。膨大なデータをいかに実用的な洞察へと変換するか。これが業界最大の課題です。

その情報を統合して、一貫したストーリーを伝え、開発者が実際に実行できる明確で優先順位付けされたアクションを提供することが、最大の課題でした。

PBOM（パイプライン部品表）はOXのイノベーションです。SBOMとの違いは何でしょうか？そして、なぜ現代のソフトウェアサプライチェーンのセキュリティ確保に不可欠なのでしょうか？

PBOMとは、ソフトウェアが開発されてから本番環境に移行するまでのあらゆる事象を監視できる機能です。SBOMはその構成要素の一つであり、アプリケーション内のすべてのソフトウェアパッケージを監視します。

先ほどの質問への回答ですが、PBOMは実際にはデータを洞察へと変換するための基盤です。なぜなら、PBOMはより広い視野、つまりすべてのデータを対象とするためです。最終的なコンポーネントだけでなく、コードの全体的な流れと変換を捉えます。

この包括的なビューが重要なのは、従来のセキュリティ ツールでは最終結果しか把握できず、開発および展開中に発生する侵害されたビルド ツール、悪意のあるコミット、パイプライン操作などの重大な攻撃ベクトルを見逃してしまうためです。

OXはAgent OXを発表しました。これは、各AIモデルが特定の脆弱性タイプとプログラミング言語に特化している新しいマルチエージェントアーキテクチャです。この設計決定の根拠は何ですか？また、提案される修正が説明可能で信頼できるものであることをどのように保証しているのですか？

私たちは、人間がどのように専門知識を身につけていくかに着目し、その原理をAIに適用することで、このマルチエージェントアプローチを開発しました。何かの専門家になるには、開発者は言語、特定のアーキテクチャ、そして特定の組織に精通している必要があります。一人の開発者がすべての問題を解決できるわけではないように、同じ論理で、一人のAIエージェントがそのレベルの専門知識に到達することもできません。さらに、品質保証を担えるエージェントも必要です。

したがって、各エージェントは、人間の専門家と同じように、特定の領域で深い専門知識を身につけます。

信頼性と説明可能性を確保するために、各エージェントは修正を提案するだけでなく、その理由を説明し、その動作を示し、開発者が特定のソリューションが選択された理由を正確に理解できるようにします。

開発者ワークフロー内で直接ワンクリックで修復を行うことに着目したきっかけは何ですか？開発者が制御を維持し、予期しない副作用が発生しないようにするにはどうすればよいでしょうか？

主な目的は、摩擦を軽減し、セキュリティ修正を強化することです。開発者には、提案された修正を承認する前に、レビューと検証を行う完全な権限を与えています。

重要なのは、「ワンクリック」は「自動」ではなく、合理化されているということです。開発者は変更内容を正確に把握し、変更理由を理解し、提案された解決策を検討した上で、ワンアクションで適用を選択できます。制御と意思決定は完全に開発者に委ねられますが、修正内容の調査と実装という煩雑な手作業は不要になります。

御社の顧客にはMicrosoft、IBM、SoFiなどが挙げられますが、これらの企業との関係は、Agent OXのようなツールのロードマップやフィードバックプロセスにどのような影響を与えているのでしょうか？

私たちは数百のお客様と協業しており、そのうち数十のお客様は、直面している課題を率直に共有してくださっています。ロードマップや設計パターンに関するこうした深い議論こそが、提案するソリューションを微調整する能力の基盤となっています。私たちはお客様との良好な関係を非常に大切にしており、企業としてお客様を最優先事項と考えています。そして、それが現実のニーズを理解し、それを解決するソリューションを生み出すための指針となっています。

AIセキュリティツールが普及する中で、自動化と開発者の信頼とコントロールのバランスをどのように取れば良いのでしょうか？支援型と自律型の境界線はどこに引くべきでしょうか？

過去の革命で見てきたように、行動を起こさない者は生き残れません。私たちが共に活動している組織の中には、今まさに革命が起こっていることを理解し、あらゆるリソースをAI導入にシフトし始めているところも見られます。

実は、彼らは私たちにとって最も協力的なお客様です。なぜなら、彼らは未知の緊張に直面しているからです。開発者はAIツールを迅速に活用する必要に迫られていますが、同時に制御を失うことを懸念しています。競争優位性を獲得するためには、リスクや一時的な制御の喪失さえも受け入れる覚悟があります。しかし、彼らは私たちの支援を必要としています。私たちの仕事は、必要なスピードを提供しながら、そのプロセスへの信頼を再構築することです。

最近、60万ドルのシリーズB資金調達を完了しました。この資金調達は、技術面、市場開拓、国際展開のいずれの面でも、OXの次の成長段階をどのように加速させるのでしょうか。

この新たな資金調達は、基本的には事業拡大を目的としたものであり、Agent OX のリリースで確認され始めている AI 生成コードから生じるリスクを特定する能力の強化にも役立ちます。

私たちは既に、100社以上の有料顧客のために、毎日200億行以上のコードを分析しています。今回の資金調達により、私たちはこれまで常に私たちを導いてきた核心的な問い、「これは開発者が重要なことに集中するのに役立つのか？リスクを軽減するのか？」という問いに焦点を合わせながら、その影響をグローバルに拡大していくことができます。

素晴らしいインタビューをありがとうございました。さらに詳しく知りたい読者は、こちらをご覧ください。 OX セキュリティ.