インタビュー8 months ago
Tarun Thakur、Veza共同創設者兼CEO – インタビューシリーズ
Tarun Thakurは、Vezaの共同創設者兼CEOであり、Data Domain、Veritas、IBMの元エグゼクティブとして、エンタープライズインフラストラクチャ企業を構築する数十年の経験を持っています。彼は、アイデンティティのスプロール化という深刻化する課題に対処し、複雑なハイブリッドおよびクラウドネイティブアーキテクチャにおいて明確性と制御を提供することに焦点を当ててVezaを共同設立しました。Vezaは、最新のマルチクラウド環境向けに特別に構築されたアイデンティティセキュリティプラットフォームであり、組織がアプリケーション、クラウドプラットフォーム、データシステム全体でアクセス権を管理および施行し、比類のない可視性と精度を実現します。Accelが主導し、Sequoia Capital、GV、Norwest Venture Partnersが参加した1億1000万ドルのシリーズCを含む1億2500万ドル以上の資金調達に支えられ、VezaはBlackstone、Autodesk、SoFi、Wynn Resorts、S&P Globalなどの主要企業にサービスを提供し、侵害の防止、インサイダーリスクの軽減、コンプライアンスの確保を支援しています。長年にわたり複数のエンタープライズインフラストラクチャ企業を共同設立されてきました。Vezaを立ち上げるきっかけは何でしたか?また、Datos IO、Data Domain、IBM Researchでの過去の経験が、アイデンティティファーストのセキュリティに対するビジョン形成にどのように影響しましたか?私がこれまでに構築してきたすべての企業は、エンタープライズインフラストラクチャにおける根本的な盲点—データ保護、レジリエンス、スケール—に取り組んできました。しかし、アイデンティティは常に欠けていたリンクでした。Datos IOでは、クラウドネイティブアプリケーション全体で重要なデータを保護する手助けをしましたが、常により深い問題に直面しました:誰がどのデータにアクセスできるのか、その理由がわからなかったのです。これは、ストレージやコンピュートではなく、アクセスガバナンスにおけるシステム的な失敗です。私は、アイデンティティが主要な攻撃対象となる未来を見据えてVezaを設立しました。そして今、私たちはその未来を生きています。業界は20年間、IAMがチェックボックス式の問題であるかのように振る舞ってきました。そうではありません。それは継続的なコントロールプレーンです。セキュリティ、コンプライアンス、生産性がすべて衝突する場所です。私たちの使命は、アクセスを単に見えるようにするだけでなく、実行可能なものにすることです。Palo AltoによるCyberArkの買収を見てください。これは、アイデンティティがバックオフィスの機能ではなく、今やエンタープライズセキュリティ戦略の中核であることを示す、業界で最も明確なシグナルです。しかし、その取引があっても、市場は依然として現代の企業が最も必要としているもの、すなわち、すべてのアプリケーション、システム、データセットにわたってアイデンティティが何を行えるかについてのリアルタイムの可視性を欠いています。それがVezaが埋めるギャップです。AIエージェントが単なるツールではなく、システム、データ、アプリケーションに自律的にアクセスする「行為者」となる新時代に突入しています。この変化は、従来のアイデンティティ・アクセス管理(IAM)のパラダイムにどのような課題を突きつけていますか?IAMは人間のために設計されました。自律的AIはそのモデルを完全に破壊します。これらは自律的な存在であり、意思決定を行い、出力を生成し、ワークフローを連鎖させ、下流のアクセスをトリガーします—機械の速度で。それにもかかわらず、ほとんどのIAMツールは依然として「このアイデンティティはどのグループに属していますか?」と尋ねます。それは笑止千万です。パラダイムシフトはこれです:アクセスはもはや手動でプロビジョニングされるものではなく、創発的、動的、文脈依存のものになりました。静的なロールと古くなった権限では管理できません。リアルタイムのアクセスインテリジェンスが必要です。AIエージェントが理論上「許可されている」ことだけでなく、すべてのシステムにわたって「実際に何ができるか」を理解するシステムが必要です。Vezaは、AIエージェント、サービスアカウント、ボットなどの非人間アイデンティティのリスク上昇について声高に指摘してきました。DevOpsや金融などの動的環境において、正当な自動化とリスクの高い過剰な権限付与をどのように区別しますか?それが100億ドルの問題です。ほとんどの組織は、非人間アイデンティティのインベントリを把握することさえできず、ましてやそれらをガバナンスすることはできません。Vezaはモデルを逆転させます:私たちはアイデンティティからではなく、「アクション」から始めます。誰、または何がこのS3バケットを「読む」ことができるか?誰がこの本番データベースの行を「削除」できるか?DevOpsや金融では、自動化は不可欠です。しかし、制約も同様に重要です。6ヶ月前のIAMチケットが何と言っていたかではなく、それらのアイデンティティが「今すぐ」何ができるかについて、きめ細かい可視性が必要です。そして、そのアクセスが有害になったときに即座にシャットダウンできる必要があります。それがVezaの超能力です。企業が重要なワークフローにAIを統合するにつれ、最小権限アクセスのリアルタイム施行が不可欠になります。Vezaがハイブリッドおよびマルチクラウドインフラ全体でこのレベルの細かさをどのように実現するか、説明していただけますか?自動化のない細かさは無意味です。Vezaは、AWS、Salesforce、Snowflake、SAPのいずれであっても、コントロールプレーンに直接接続し、アイデンティティ(人間または機械)が利用可能なすべての権限、すべてのロール、すべてのアクションのグラフを構築します。オンプレミスでもクラウドでも。それは一つの統合されたアクセスファブリックです。次に、ビジネスコンテキストを重ねます—アプリの所有者は誰か、最後に使用されたのはいつか、重要なプロセスの一部か。これにより、「明示的に承認されログに記録されない限り、GenAIエージェントはPIIにアクセスできない」などのポリシーを作成できます。そして、何かがそのルールを破った場合、Vezaはリアルタイムで警告、取り消し、修復を行うことができます。それがスケールで最小権限を施行する方法です。Vezaは「アクセスインテリジェンス」を提供すると説明されています。これは実際にはどういう意味で、従来のアクセス制御ソリューションやアイデンティティガバナンスプラットフォームとどのように異なりますか?アクセスインテリジェンスとは、あらゆる瞬間に、すべてのアイデンティティ(人間または非人間)が「何を」、「どこで」、「なぜ」できるかを知ることを意味します。従来のツールは、ユーザーに「何が与えられたか」を伝えます。私たちは、彼らが「今実際に何ができるか」、そしてそれが安全かどうかを伝えます。IGAツールは四半期ベースでガバナンスを行います。Vezaは継続的にガバナンスを行います。PAMツールは、特権アカウントのごく一部に焦点を当てます。私たちはすべてのアイデンティティ、すべてのアプリ、すべての権限をカバーします。そして、賢明な決定を下すためのコンテキストを持ってそれを行います—単なるログノイズではありません。自律的AIの未来を見据えて、セキュリティアーキテクチャはどのように進化すべきですか?組織は、将来のコンプライアンス違反や内部侵害を避けるために、今日どのような能力への投資を始める必要がありますか?セキュリティチームは、ユーザーという観点で考えるのをやめ、「アクション」という観点で考え始めなければなりません。AIエージェントは出退勤しません。アクセス要求フォームに記入しません。それらは起動し、行動し、消滅します。アクセスを認識し、リアルタイムで、コントロールプレーンに隣接したアーキテクチャが必要です。それは以下を意味します: 継続的な権限監視 AI行動のベースライン化 自律的なアクセス取り消し すべてのAI相互作用にわたる改ざん防止可能な監査可能性 これは任意ではありません。すべてのAIエージェントは潜在的なインサイダー脅威であり、コンプライアンスフレームワークは急速に追いついています。誰が何をなぜ行ったかを説明できない場合、監査に失敗し、信頼を失い、あるいはさらに悪い事態を招くでしょう。VezaはAutodesk、Blackstone、S&P Globalなどの主要ブランドを顧客に持っています。最も成熟した組織でさえ、アイデンティティガバナンスに関してどのような共通パターンや過ちを犯しているとお見受けしますか?最も一般的な過ち?「誰か他の人が所有していると仮定すること」です。IAMは、セキュリティ、IT、コンプライアンス、エンジニアリングの間で孤立していることが多く、その断片化が責任を殺します。もう一つの問題は、ロールのスプロール化—特に成熟した組織でです。時間の経過とともに、リスクがあるため誰もアクセスを削除しません。その結果、最小権限ではなく、最大限の露出が生じます。そして最後に、ほとんどの組織はアクセスレビューがコントロールだと考えています。そうではありません。それは「応急処置」です。真のコントロールは、最初から有害なアクセスを防ぐことです。Vezaはチームが検知から予防へ移行するのを支援します。同社は1億2500万ドル以上を調達し、Accel、Sequoia、GVの支援を受けています。そのレベルの投資家の支援は、AI時代におけるアイデンティティ問題解決の緊急性について何を物語っていますか?また、この勢いを利用してVezaの影響力をどのように拡大する計画ですか?それは、私たちが世代を超えた問題を解決しており、まさに適切なタイミングでそれを行っていることを物語っています。アイデンティティは今や、正面玄関、ファイアウォール、そして最も弱いリンクのすべてを同時に兼ねています。そしてAIはそのドアを大きく開け放ちました。私たちの投資家は、Vezaが単なる別のIAMツールではないことを理解しています。私たちはAI時代のアクセスのためのコントロールプレーンを構築しています。私たちはこの勢いを利用して、プラットフォームの拡大を加速し、エコシステム統合を深化させ、特に金融サービス、医療、政府などの規制セクターで世界的に規模を拡大しています。データセキュリティ、ストレージ、管理において18の特許をお持ちです。Veza内で、今後10年間にわたって業界がアクセスガバナンスにどのようにアプローチするかについて新たな基準を設定すると信じている革新分野はありますか?はい—特に2つあります。第一に、私たちのアクセスグラフ:これは、あらゆるシステムにわたってアイデンティティから権限、アクションへとリアルタイムでマッピングする普遍的なモデルです。これは、最小権限、AIガバナンス、インサイダー脅威検出の基礎となります。第二に、自律的な修復です。私たちは、違反が検出され、文脈化され、人的介入なしに修正される自己修復型アクセス環境に多額の投資をしています。それがAIでAIをガバナンスする方法です。今後10年間で、アクセスガバナンスは反応型から自律型へと移行します。Vezaはその変化を推進するエンジンとなるでしょう。最後に、「才能には境界がない」とおっしゃっています。次世代のセキュリティやAIインフラストラクチャ企業を構築している技術系創業者やエンジニアに、どのようなアドバイスをされますか?順調なパスではなく、エッジケースのために構築してください。未来は混沌としています—マルチクラウド、マルチエージェント、多極化です。あなたのアーキテクチャは混沌を前提としなければなりません。第二に、聖域を侵すことを恐れないでください。セキュリティ業界はレガシーな前提—「ジャストインタイムアクセスで十分」、「人間が問題」、「監査はExcelを意味する」—に満ちています。それらのモデルを打ち破ってください。最後に、「第一原理」に執着する人材を採用してください。ツールは変わります。パラダイムはシフトします。しかし、思考と使命の明確さが常に勝利します。そしてそうです—才能には境界がありません。グローバルに、多様性を持って、インパクトのために構築してください。素晴らしいインタビューをありがとうございました。さらに詳しく知りたい読者は、Vezaを訪れてください。
