スティーブ・テイト、Skyhigh Securityのチーフテクノロジーオフィサー – インタビューシリーズ

スティーブ・テイト、Skyhigh Securityのチーフテクノロジーオフィサーは、サイバーセキュリティ、防衛、金融サービス、ヘルスケアセクターを含む25年以上の経験を持つ経験豊富なエグゼクティブテクノロジーリーダーです。彼は、2024年8月にSkyhigh Securityのセキュリティサービスエッジ（SSE）の技術的なビジョン、建築、クラウドインフラストラクチャ戦略を牽引するためにSkyhigh Securityに参加しました。

Skyhigh Securityは、カリフォルニア州サンノゼに本拠を置くプライベート企業のクラウドネイティブサイバーセキュリティ企業です。同社は、包括的なセキュリティサービスエッジ（SSE）プラットフォームを提供しています。このプラットフォームは、CASB、セキュアウェブゲートウェイ、ゼロトラストプライベートアクセス、CNAPP、DLP、リモートブラウザーアイソレーションなどのソリューションを統合して、データを保護し、ウェブ、クラウド、電子メール、プライベートアプリケーション全体でセキュアなコラボレーションを保証します。リアルタイムのデータ保護、脅威防止、コンプライアンスに焦点を当てて、Skyhigh Securityは、フォーチュン500企業や主要金融機関を含む3,000以上の顧客に、モダンハイブリッドワーク環境用に設計されたスケーラブルでデータに基づいたアーキテクチャを通じてサービスを提供しています。

あなたはモバイルデータでキャリアを始め、さまざまなセクターでエンジニアリングとリーダーシップの役割を経て上昇しました。どのような初期の経験がサイバーセキュリティへの情熱を形作り、現在の立場に導いたのでしょうか?

BAEシステムズに参加したとき、私は、最も悪意のあるウイルスやマルウェアを分解してそれらを防御する方法を学ぶために働く不可思議なチームの仕事に目覚めました。サイバークライム業界の規模と組織的な専門性は、真正の目覚めでした。たとえば、サイバーブレーチの背後にあるコードは、時々、複数の国家行為者と犯罪組織にその起源を遡ることができます。10代の少年が寝室で行っているのではなく、これは真剣な世界的なビジネスです。このようなものから守ることは、社会にとって真正の善であり、私はその一部になりたかったのです。

あなたは「デジタル変革は終わった」と述べており、現在はAI変革の時代に入っているということですが、会社の戦略と成果の観点から、これらの2つの段階をどのように区別しますか?

デジタル変革は、ビジネスプロセスをより効率的、効果的、顧客に優れた体験を提供するために、技術を使用して再構築することについてでした。AI変革は、ビジネスの観点から同じ目標を達成しようとします。根本的な違いは、デジタル変革がプロセス自動化、データ集約、先進的なデータ視覚化を通じてこれを達成するのに対し、AI変革はオリジナルのコンテンツ作成、伴奏分析、自律的な意思決定を通じてこれを達成することです。デジタル変革は、人間の意思決定プロセスを最適化してストリームライン化することを目指しました。AI変革は、完全にそれらを排除する能力があります!

企業がクラシックな自動化からジェネレーティブAIの統合への移行をしていく際に直面する最大の組織的な課題とは何ですか?

このような利点を真正に活用するために必要な変革のレベルは巨大です。企業は、数年以内に全く異なるものになる可能性があります。ただし、今のところ、まだ初期段階です。現在の最大の組織的な問題は、実際にはトレーニングです。多くの企業が、AIについての通常の「20分間」のコーポレートトレーニングビデオを展開しましたが、それは全く役に立ちません。従業員は、この技術を活用する方法、提示するリスク、そしてそれがどのように機能するかを少しでも理解する必要があります。そうすれば、従業員はすべてのレベルでビジネスを変革するのに役立ちます。

セキュリティマガジンでは、プロンプトインジェクションやホールシネーションを含むトップリスクについて言及しました。どの脅威ベクターが最も心配しており、Skyhigh Securityはそれに対処するためにどのように対応していますか?

意図しないデータの漏洩は、ボリュームで見ると、企業にとって最大の脅威です。Skyhigh Securityで追跡するデータから見ると、LLMへのデータのアップロードは、過去1年間で80%増加しました。多くのインターフェイスは、ビジネスアシスタントのように機能し、さらに多くの情報をアップロードすることを促します。情報を別の人と共有する行為 – ファイルを圧縮して第三者分析のためにSFTPロケーションにアップロードする – は、従業員が何をしているか、潜在的なリスクについて考えることを促します。これは、AIツールを使用して分析を行っており、AIが迅速な回答を提供するためにデータブロックをプロンプトに貼り付けるという行為は、わずか数秒の労力ですが、質問は、データがどこに行き、どのように使用されたかということです。したがって、Skyhigh Securityの主な焦点は、特にコパイロットアプリケーションに対するAIアプリケーションのデータ漏洩防止です。

あなたは、94%のAIアプリがLLMリスクを 携帯し、11%のAIにアップロードされたファイルが機密であることを示す統計を引用しています。企業がこれらの問題に対処するためにどのような傾向を見ていますか?

企業はまだ「ユーザーポリシー」と「ブロッキング」を主なテクニックとして使用していますが、多くの企業は毎日使用されているAIの量に盲目です。発見、可視性、特に主要なコパイロットアプリケーションに対するデータ漏洩防止テクニックの拡張に興味を持つ企業が多く見られます。

コーポレートコパイロットは膨大な量の機密データにアクセスできます。データ漏洩や不正使用を防止するための最も効果的な戦略とは何ですか?

いつも通り、ポリシーとトレーニングから始めます。その後、データラベル付けとDLPテクニックの組み合わせが重要です。たとえば、Microsoft AIPラベル付けにより、MSFTコパイロットによって機密データがインデックスされるのを防ぐことができます。CASBとDLPツールと組み合わせて、AIPラベルをデータ分類に基づいて自動的に追加できます。文書とプロンプトデータに対するDLPにより、意図しないデータアップロードを防ぐことができます。

あなたは、独自のアプリケーションを作成する「シチズンデベロッパー」がもたらすリスクについて強調しています。企業はイノベーションを促進することとセキュアな開発を確保することのバランスをとるために何をすべきですか?

いつも通り、トレーニングに戻ります。誰でも「シチズンデベロッパー」であっても、標準のエンジニアトレーニングの一部であるセキュリティの基礎を省略することはできません。彼らは、熟練したソフトウェアエンジニアが知っているすべてを知る必要はありませんが、特権アクセスや水平特権エスカレーションの基本的な概念は、アプリケーションを構築する際に重要な概念です。私自身、適切なトレーニングが完了した後のみ、これらのツールへのアクセスを許可します。次に、セキュリティツールを実装して、不注意なミスをトラップすることになりますが、これもまたDLPテクニックに戻ります。

Skyhigh SecurityのCTOとして、コパイロット、シチズンデベロッパー、コンプライアンスインフラストラクチャのAIリスク緩和のどの分野に重点を置いていますか?

認識は非常に重要であり、Skyhigh Securityはすでに包括的なShadow AI発見ツールを提供しています。Microsoft CopilotとChatGPT Enterpriseは、2025年の主な焦点です。両方のコントロールをすでに展開しており、2025年残り期間中にこれらをさらに拡張する予定です。2026年に入ると、プロンプトコントロールに重点を置いて、悪意のあるプロンプト、脱獄、他の主要なLLMリスクから保護することに注力します。

企業のセキュリティについてAIファーストの世界で考え方を完全に変えるブレークスルーまたはシフトを見据えることはできますか?

エージェントAIです。まだ始まったばかりですが、影響は潜在的に巨大です。エージェントがより多く連鎖するにつれて、攻撃ベクトルは連鎖に沿って増加します。多くのサイバークライムは、人間によって「発見」されます。なぜなら、人間が何かが間違っていることを認識するからです。これらのエージェントの連鎖の中で、侵害の兆候を発見することは真正の課題になります。

素晴らしいインタビュー、詳細については、Skyhigh Securityを訪問してください。