Varun Badhwar, Endor Labsの創設者＆CEO – インタビュー・シリーズ

Varun Badhwar, Endor Labsの創設者＆CEOは、クラウドとアプリケーションのセキュリティの最前線で企業を築き、リードすることで知られるサイバーセキュリティのエントレプレナーです。2021年以来、Endor Labsのトップを務めており、AI駆動のソフトウェア開発のセキュリティに焦点を当てています。以前は、Palo Alto NetworksのPrisma CloudのSVP＆GMであり、Palo Alto Networksに買収されたクラウドセキュリティのスタートアップ、RedLockの創設者でした。

Endor Labsは、AI時代のために構築されたアプリケーションセキュリティプラットフォームです。エンジニアリングとセキュリティチームがソフトウェア開発においてスピードと安全性のバランスをとるのを支援するように設計されています。プラットフォームは、リーチャビリティベースのソフトウェア構成分析、SAST、コンテナスキャン、シークレット検出、およびCI/CDパイプライン保護などの機能を統一されたビューに統合し、チームがどの脆弱性が本当に重要であるかを特定し、修正を優先するのを支援します。また、プルリクエストを分析してアーキテクチャの変更を検出し、開発ライフサイクルの初期段階でAI生成コードのリスクを検出するAIエージェントも含まれています。

以前、大規模なセキュリティベンチャーを構築して拡大しました — それらの経験は、Endor Labsの創設にどのようにつながりましたか？そして、最初に解決しようとした問題は何でしたか？

2021年に、Palo Alto Networksにいましたが、SolarWindsの脆弱性が発生しました。それは巨大なものでした。ソフトウェアを使用しているすべての顧客が影響を受けました。私たちも例外ではありませんでした。私が私たちのソフトウェアをどのように管理しているかを調べると、450人のエンジニアと68,000のセキュリティ脆弱性があることがわかりました。しかし、エンジニアはほとんどそれらを無視していました。理由は、80〜90%のアラートが誤検知だったからです。従来のツールは、実際に開発者がどのように作業しているかを理解していませんでした。

そこで気づきました: 現代のソフトウェア開発は、創造よりも組み立てに近いものです。保証のない品質やセキュリティの第三者ライブラリのコードを出荷しています。セキュリティチームとエンジニアの間の断絶、対立的なダイナミクス、政治的摩擦を見ました。アプリケーションセキュリティを根本から再考する必要があることを知り、Endor Labsを創設することになりました。

Endor Labsは現在、FinTechからSaaSプラットフォームまで、さまざまな組織の数百万のアプリケーションを保護しています。どのようなユースケースが最も頻繁に見られ、顧客はあなたに何故来るのですか？

私たちの顧客は、ソフトウェアのサプライチェーンと開発者パイプラインをセキュアにするために私たちに来ます。彼らは、プロダクション前にオープンソースの依存関係を検証し、AI生成コードの高リスクを自動的にフラグ付けし、最終的にセキュリティを開発者ワークフローに直接統合したいと考えています。

ほとんどのスキャナーは、開発者に脆弱性を投げつけて去っていきますが、それはエンジニアが最終的に無視するノイズを作り出します。Vibeコーディングが主流になった今、このアプローチは機能しません。Endorでは、コンテキストを認識した分析と実行可能な洞察を提供するため、セキュリティとエンジニアリングのチームが再び互いに信頼できるようになります。

開発者は、スピードとセキュリティのバランスを取るという課題に直面しています。プラットフォームはこの課題をどのように解決していますか？

スピードと安全性のトレードオフは、ソフトウェア開発で最も古いジレンマです。Vibeコーディングによって、このトレードオフはより顕著になりました。 45% の開発者は毎日AIアシスタントを使用していますが、それは速度を加速させますが、セキュリティのないコードも導入します。

Endor Labsでは、セキュリティを開発者が使用しているワークフローに直接埋め込みます。IDE、プルリクエスト、Gitパイプラインを考えてみましょう。私たちの哲学はシンプルです: セキュリティは、他のバグと同じクラスのバグです。それを他のソフトウェアのバグと同じように扱うと、開発プロセスの自然な部分となり、後回しになるのではなくなるからです。ノイズを減らし、明確なガイダンスを提供することで、開発者は迅速に移動しながらも、出荷するソフトウェアが安全であることを保証できます。

誤検知はセキュリティの最大の痛みの1つです。どのようにしてこの問題に異なるアプローチで取り組んでいますか？

誤検知は巨大です。重要な警告を無視するエンジニアを見たことがあります。なぜなら、それらは無意味だからです。那は、第三者攻撃が二桁の成長率で増加し、攻撃者が開発者パイプラインの側面ドアを利用している世界では危険です。

私たちのアプローチは、コンテキストを優先することです。CVEを依存関係にマッチングするのではなく、コードパス、ビジネスロジック、AI生成の設計変更を分析します。また、AIエージェントがバックエンドツールに精密な修正を依頼できるEndor Labs Model Context Protocol (MCP)サーバーを開発しました。他のツールは、このレベルの精度を提供できないのは、アプリケーションのコンテキストが欠けているからです。彼らはあなたのコードが何をしているか、サービスがどのように相互作用するか、安全な修正がどのようなものかを知りません。結果は、意味のないアラートが少なく、開発者が実際に行動できるより実用的ガイダンスが得られます。

ソフトウェアサプライチェーンは、現在、企業にとって最も緊急なリスクの1つと見なされています。この問題はなぜ今このほど重要なのでしょうか？

オープンソースは現在、企業ソフトウェアを支配しており、ソフトウェア開発はソフトウェアの組み立てに変わりました。現代のアプリケーションの約 90% のコンポーネントは外部のものであり、AIコーディングアシスタントは自動的にさらに多くの依存関係を導入しています。つまり、1つの脆弱性が数百万のアプリケーションに波及する可能性があります。

賭けは高く、規制当局はオープンソースを国家安全保障問題として位置付けています。また、最近の Shai-Hulud npmの脆弱性 は、攻撃者がこれらの弱点を積極的に標的にしていることを示しています。適切なガードレールがなければ、企業は大量にさらされます。

AIはソフトウェアの構築方法を変えているので、新しいリスクはどのようなものが生まれるのでしょうか？

AIアシスタントは、同時に数千人のインターンを雇うようなものです。生産性を高めることができますが、管理されなければ混乱を招きます。研究によると、62% のAI生成コードには、セキュリティ、品質、またはアーキテクチャの問題があります。これらは既知のCVEを超えて、ロジックの欠陥、新しいAPIエンドポイント、または暗号化のミスなど、レガシーツールが設計時に検出できなかったものです。

新しい課題は、セキュアコードレビューをスケーリングすることです。過負荷のシニアエンジニアに毎回プルリクエストを手動で確認することは機能しません。AIがコードを生成するのと同じ速度で開発者をレビューし、優先順位付けし、ガイダンスする自動化システムが必要です。

一部の人々は、AIが防ぐよりも多くの脆弱性を導入すると主張しています。現在の段階では、AIをリスクとしてみるか、メリットとしてみるかです?

両方にできます。AIはプロトタイピングと実験には素晴らしいですが、経験のない開発者がAIに頼ると、盲導者のようなシナリオになる可能性があります。方程式を反転する方法は、AIにセキュリティガードレールを組み込むことです。適切なレビューシステムとMCP駆動の修正が配置されている場合、AIをリスクからメリットに変えることができます。そうでない場合は、リスクが利益を上回ります。

AI生成コードがより一般的になるにつれて、組織は信頼できるものを展開するためにどのような安全対策を講じるべきですか?

AI生成コードを他の第三者依存関係と同じように扱います。つまり、継続的な監視、自動検証、パイプラインの各段階でのガードレールです。また、AIレビューツールが、高品質のセキュアコードでトレーニングされていることを確認する必要があります。GitHubのランダムなリポジトリではなく、です。

そして検出を超えて進みます。リスクのある依存関係がフラグ付けされたとき、ツールはアプリを壊すことを避けるアップグレードパスを推奨する必要があります。それが混沌とコントロールの違いです。ボウリングのガードレールのように考えるのが好きです。ボールはまだ速く動きますが、トラック上に留まります。

あなたのリーダーシップスタイルの中心は透明性です。勝利とセットバックの両方を共有することは、文化とパフォーマンスにどのような影響を与えますか?

Endor Labsでは、徹底的な透明性を目指しています。つまり、会社のパフォーマンスだけでなく、ストックプランや戦略的リスクなどのものを共有するということです。従業員は大人です。私たちのチームは現実に耐えられます。オープンな姿勢は信頼、関与、所有権を築き、より良い決定を下すのを助けます。

あなたは早期のキャリアで新興リーダーをしばしば権限を与えます。初めての大きな責任を負うマネージャーに何のアドバイスを与えますか?

私は有望なチームメンバーに早くから大きな役割を与え、成長することを信じています。メンターとサポートがあると、すぐに学びます。私のアドバイスは、責任を引き受け、失敗から学び、行動を通じて信頼を築くことです。人々は、スペースを与えられたときに何ができるかで私たちを驚かせることがあります。

5年先を見て、ソフトウェアサプライチェーンのセキュリティを確保する上で、最大の機会と課題は何でしょうか?

AIコーディングアシスタントやシチズンデベロッパーがワークフローを再定義するにつれて、リアルタイムでプルリクエストをレビューし、セキュアコードレビューをスケーリングし、開発者に信頼できるコンテキストを提供する「セキュリティペアプログラマー」として機能するシステムが必要になります。Endor Labsでは、すでにMCPサーバーとマルチエージェントアーキテクチャを構築しました。これらは、AIネイティブ開発を可能にするために顧客を支援しています。

課題は、サプライチェーン自体がさらに複雑になることです。今日、コードは主に外部コンポーネントから構成されており、AIツールごとにさらに依存関係が導入されます。モデルを再考しない企業は、弱点をさらすことになります。

実際に、この緊急性が現実の時間に実現しています。Endor Labsは現在、700万を超えるアプリケーションを保護し、毎月160万のプルリクエストをスキャンし、エンジニアリングチームのノイズを90%以上削減しています。5年後、トップになるのは、セキュアコーディングを開発者の生産性の核心的な部分として扱う企業です。

素晴らしいインタビュー、詳しく知りたい読者は Endor Labs を訪問してください。