インタビュー

OX Securityの共同創設者兼CEO、Neatsun Ziv – インタビュー・シリーズ

mm
Published
Updated

Neatsun Ziv、OX Securityの共同創設者兼CEOは、DevSecOps時代のソフトウェア・サプライ・チェーン・セキュリティを再定義する最前線に立っています。OXを創設する前に、チェック・ポイントのサイバーセキュリティのVPを務め、ソーラー・ウィンドやノット・ペティャなどの高プロファイルの脅威に対するグローバルなイニシアチブと迅速な対応を主導しました。彼の仕事は、インターポール、国家CERT、他の執行機関と直接協力することになりましたが、これは過去10年間で最も重要なサイバーインシデントの際に起こりました。

OX Securityは、ノイズを切り抜けて、組織が本当に重要なリスクに焦点を当てるのを助けるように設計されたアプリケーション・セキュリティ・プラットフォームです。エクスプロイト可能性、リーチ可能性、ビジネス・インパクトの分析を利用して、プラットフォームはソフトウェア開発ライフサイクル全体にわたってエビデンスに基づいた優先順位付けを提供します。フル・コード・ツー・クラウド・カバレッジ、100以上の統合、ノー・コード・ワークフローを備え、OXはガイド付きの修復を開発者ワークフローに直接組み込み、セキュリティ対策が効果的でかつ摩擦のないものになることを保証します。

OX Securityを共同創設する前に、チェック・ポイントで主要なインシデント対応を率いていました。自分で会社を創設することを決めた理由と、アプリケーション・セキュリティの空白をどのように見出したかについてお話しください。

チェック・ポイントで働いている間、企業の速度のギャップを直接体験しました。伝統的なセキュリティ企業はより遅いペースで動きます。また、セキュリティチームがリスクを正しく優先順位付けすることにおいて、さまざまな点で非効率的であることを確認しました。

同時に、生成的なAI(当時は未発達)がセキュリティ・ツールが進化する必要がある未来を表すことを認識しました。実際、急速に進化していました。いくつかの重要な変化が同時に起こっていました。

脅威行為者の加速:攻撃者は新しいテクノロジーとテクニックを急速に採用し、セキュリティ・ソリューションが追いつくことができませんでした。

「バイブ・コーディング」の現象:開発者は、コピロットのようなAI支援のコーディング・ツールにますます頼るようになり、ソフトウェアが構築される方法を根本的に変え、まったく新しいセキュリティ上の考慮を導入しました。

サプライ・チェーン・アタックの進化:ソフトウェア・サプライ・チェーン・アタックの加速により、アプリケーション・セキュリティに対する新しいアプローチが必要になりましたが、既存のツールではこれに対処することができませんでした。

既存の企業構造内での漸進的な改善は、これらの急速に進化する課題に対処するには十分ではありませんでした。

私の最終的な認識は、脅威がコードの中に急速に進んでいき、セキュリティもそれに続かなければならないということです。私たちは既知の枠組みから離れ、新しい速いレースを始めなければなりませんでした。

OXのコア・ミッションは、開発者が本当に重要な5%の脆弱性に焦点を当てるのを助けることです。この洞察がどのようにして明確になったか、そしてどのようにして製品の決定を形作るかについてお話しください。

開発チームの相当大きな運用を管理したことがあり、セキュリティ関連の問題の純粋なボリュームがどれほど圧倒的であるかを目撃しました。何が重要で何が重要でないかを理解する必要があります。リストの最後まで行っても、会社がリスクを軽減するのを進めるものではありません。代わりに、それは苛立ちを生み出し、会社がリスクを軽減するのを遠ざけてしまうのです。なぜなら、それは時間とリソースを大量に消費するからです。

これは私たちに、開発者が本当に重要なことに焦点を当てるのを助ける必要があることを教えました。次に、開発者にそれがなぜ重要かを説明する必要があります。次に、開発者にそれを簡単に解決する方法を示す必要があります。もしくは、開発者にそれを解決するのを助けるツール、たとえばAgent OXのようなツールを提供する必要があります。

この洞察は私たちが会社を構築する基盤となり、現在も製品の決定を導くものです。私たちが開発するすべての機能、すべての機能は、次の質問から始まります。「これは開発者が本当に重要なことに焦点を当てるのを助けるものですか?これはリスクを軽減するものですか?」

プラットフォームは、SDLC全体にわたってリスクをマッピングする「コード・プロジェクション」に中心を置いています。このテクノロジーがどのようにして機能するか、そして他の脆弱性管理ツールと比べて何が異なるかについてお話しください。

コード・プロジェクションは、基本的にコード内の問題を把握し、コードがクラウドに到達したときにどのように振舞うかを事前に知ることができるテクノロジーです。これにより、問題がすでにプロダクションで実行されているときではなく、事前に問題を解決することができます。

これは、コードがクラウドに到達するまでのプロセス、つまりCI/CDを理解することで機能します。コードを読み取り、コードが何を意味するかを解釈することができます。単純な例を挙げると、インターネットに公開されるものとそうでないものは、明らかに異なる意味を持ちます。

他の製品と比べての大きな違いは、ほとんどのツールが問題の長いリストで仕事を終了することです。5%、あるいはそれ以下の真正に重要なリスクに焦点を当てることができない場合、リストをフィルタリングするのに時間がかかり、結果として得られる時間枠はほとんど無意味になります。また、どの開発者に問題を割り当てるかもわかりません。

私たちのアプローチはこれを完全に変えます。私たちは問題を特定するだけでなく、コンテキスト、優先順位付け、明確な所有権を提供します。

スキャニング・ツール、シークレット・マネージメント、SBOM、SaaSの発見など、フルな統合を提供しています。開発者のエクスペリエンスを統一する上で、これらすべてを統合する上で最も難しい技術的な課題は何でしたか。

最も難しい問題は、データを洞察に変換することです。データは、先ほど述べたすべてのものです。しかし、開発者は明確性、箇条書き、理由付けが必要です。焦点を当てたコミュニケーションが必要です。データの山を、開発者が実際に実行できるアクション可能な洞察に変換する方法が、業界で最も大きな課題です。

この情報を、開発者が実行できる明確なアクションを提供し、開発者がそれを実行できるようにする方法で、まとまりのある物語を語るように合成することが、最大の課題でした。

PBOM(パイプライン・ビル・オブ・マテリアル)は、OXの革新です。SBOMと比べて何が異なるか、そしてモダンなソフトウェア・サプライ・チェーンをセキュアにする上で何が重要かについてお話しください。

PBOMは、ソフトウェアが書かれる瞬間からプロダクションに入るまでに起こるすべてのことを見る能力です。SBOMは、内部に含まれるすべてのソフトウェア・パッケージを見るコンポーネントです。

前の質問に答えるために、PBOMは実際に、データを洞察に変換することを可能にする基盤です。なぜなら、より広い絵を見ているからです。すべてのデータを捉えます。コードとプロダクションへの旅、変換全体を捉えます。

この包括的な見方は、伝統的なセキュリティ・ツールが最終結果しか見えず、ビルド・ツールの妥協、悪意のあるコミット、パイプラインの操作などの開発と展開中に起こる重要な攻撃ベクトルを見逃すため、非常に重要です。

OXは、Agent OXという新しいマルチ・エージェント・アーキテクチャを発表しました。各AIモデルは、特定の脆弱性の種類とプログラミング言語に焦点を当てています。この設計上の決定が何に基づいたものですか。また、提案された修正が説明可能で信頼できるものであることをどう保証していますか。

私たちは、人間が専門知識を開発する方法を見て、それをAIに適用することで、マルチ・エージェント・アプローチを作成しました。何かを専門家になるには、開発者は言語、特定のアーキテクチャ、特定の組織の専門家でなければなりません。単一の開発者はすべての問題を修正することができません。同様に、単一のAIエージェントもそのレベルの専門知識に達することはできません。また、品質保証を扱うエージェントも必要です。

各エージェントは、人間の専門家と同様に、特定のドメインに深い専門知識を身につけます。

信頼性と説明可能性のために、各エージェントは修正を提案するだけでなく、その理由を説明し、作業を示し、開発者が特定の解決策がなぜ選択されたかを理解できるようにします。

開発者のワークフロー内で直接の修復を1クリックで行うことに焦点を当てた理由と、開発者がコントロールを維持し、予期せぬ副作用に遭遇しないことをどう保証するかについてお話しください。

主なアイデアは、摩擦を減らし、セキュリティの修正を強化することです。開発者は、提案された修正をレビューして検証するフル・コントロールを保持します。

重要な点は、「1クリック」が「自動」の意味ではないことです。ストリームライン化されたものです。開発者は、どれが変更されるかを正確に確認でき、理由を理解でき、提案された解決策をレビューでき、そして1つのアクションでそれを適用することを選択できます。コントロールと意思決定は、完全に開発者の手の中にありますが、私たちは修正を調査して実装する手間を取り除きます。

Microsoft、IBM、SoFiを含む大手企業が顧客です。これらの企業との関係が、Agent OXのようなツールのロードマップとフィードバック・プロセスにどのように影響しますか。

私たちは数百の顧客と協力しており、そのうち数十社は、直面している課題について私たちとオープンに情報を共有しています。ロードマップとデザイン・パターンについての深い議論は、私たちが提案された解決策を微調整する能力の基盤です。私たちは、顧客との関係を最優先事項としています。顧客は私たちにとって最優先事項であり、実際のニーズを理解し、それらを解決するソリューションを作成する私たちの指針です。

AIセキュリティ・ツールがより主流になるにつれて、自動化と開発者の信頼とコントロールのバランスをどのように取るかについてお話しください。どこで支援と自律の線を引きますか。

以前の革命と同様に、馬車に乗らなかった者は生き残れないことを私たちは見てきました。私たちが協力する組織は、すべてのリソースをAIの採用にシフトしています。なぜなら、彼らは、これが革命であることを理解しているからです。

これらは実際に、私たちが最も協力的な顧客です。なぜなら、彼らは、未知の緊張を直面しているからです。彼らの開発者は、AIツールで迅速に進む必要がありますが、コントロールを失うことを心配しています。彼らは、競争上の優位性を得るために、リスクを負って一時的にコントロールを失うことにも同意していますが、私たちに信頼を再建するのを助けてくれる必要があります。私たちの仕事は、彼らが必要とするスピードを提供することです。同時に、プロセスに対する信頼を再建することです。

最近、6,000万ドルのシリーズBをクローズしました。この資金調達が、OXの次の成長段階、テクノロジー、市場戦略、または国際展開のどの側面をどのように加速させるかについてお話しください。

新しい資金調達は、基本的に拡大に役立ちます。また、Agent OXの立ち上げで始まったAI生成コード由来のリスクを特定する能力を強化するのにも役立ちます。

私たちは、すでに200以上の有料顧客のために1日100万行以上のコードを分析しています。この資金調達により、影響をグローバルに拡大することができます。また、私たちが常に導かれてきた核心的な質問に焦点を維持することができます。「これは開発者が本当に重要なことに焦点を当てるのを助けるものですか?これはリスクを軽減するものですか?」

素晴らしいインタビュー、ありがとうございました。読者がもっと学びたい場合は、OX Securityを訪問してください。

mm

アントワーヌは、Unite.AIの創設パートナーであり、ビジョナリーなリーダーです。彼は、AIとロボティクスの未来を形作り、推進するという、揺るぎない情熱に突き動かされています。シリアルエントレプレナーである彼は、AIは電気と同じように社会に大きな変革をもたらすと信じており、破壊的な技術やAGIの潜在能力について熱く語ることがよくあります。

As a futurist、彼は、これらのイノベーションが私たちの世界をどのように形作るかを探求することに尽力しています。さらに、彼は、Securities.ioの創設者であり、未来を再定義し、全セクターを再構築する最先端技術への投資に焦点を当てたプラットフォームです。