はじめに​

2024年6月14日、海外のサイバーセキュリティ専門メディア「SafetyDetectives」でSyhunt創設者であるフェリペ・ダラゴン氏のインタビュー記事が公開されました。今回は、そのインタビュー内容ご紹介します。

SafetyDetectivesとのインタビューで、Syhuntの創設者、フェリペ・ダラゴン氏がサイバーセキュリティの進化する現状についての見解を述べています。フェリペ氏のサイバーセキュリティへの旅は、90年代のアンダーグラウンドシーンから始まり、最終的には2003年にSyhuntを設立するに至りました。Syhuntは、アプリケーションセキュリティの分野で先駆者として台頭し、新たな脅威に先んじるために継続的に革新を行ってきました。フェリペ氏は、Webアプリケーションの動的な性質や人工知能の統合に深い理解を持ち、サイバーセキュリティの未来に対する独自の視点を提供しています。彼は、特にAI技術が主流となる時代において、迅速なアプリケーション開発と強固なセキュリティ対策のバランスを取る重要性を強調していました。

1. Syhuntに関わるようになった経緯を教えてください。​

今日のサイバーセキュリティは、市場需要があり、専門的な人材が不足している職業分野です。そのため、多くの人がこの業界でキャリアを積もうとしています。私の場合、1990年代のアンダーグラウンドから旅が始まりましたが、その後、サイバーセキュリティへ転向しました。しかし、それ以来、状況が劇的に変化しました。新世代のハッカーは善意のある子供や若者ではなく、金銭的な動機に駆られた大人たちによってギャングが結成され、恐喝や詐欺に手を染めています。この変化を目の当たりにして、私はサイバーセキュリティコンサルティング界に乗り出しました。2003年に、自身のサイバーセキュリティ会社Syhuntを設立し、世界中の組織がアプリケーションセキュリティの脅威と戦う手助けをすることを使命としました。

2. Syhuntは他のサイバーセキュリティソリューションと何が違うのか？​

2003年、私たちは市場にアプリケーションセキュリティスキャナーソフトウェアをいち早く導入した企業の一つであり、業界のイノベーターおよびパイオニアとしての地位を確立してきました。努力も重要でしたが、タイミングも大きな役割を果たしました。その後、DAST、SAST、MASTなどのアプリケーションセキュリティのさまざまな方向に拡大しています。そして現在では、生成AIにも対応し始めています。

Syhuntの成功は、イノベーション、ビジョン、そして優れたユーザーエクスペリエンス（UX）の組み合わせにあると考えています。イノベーションを定義するのは簡単ではありません。なぜなら、それは多面的なプロセスだからです。強力な研究開発、適応性、継続的な改善、市場洞察などが必要です。UX面では、不要なステップを取り除き、複雑なタスクを簡素化することで、ユーザーワークフローの最適化を追求しました。アプリケーションセキュリティスキャナーの複雑さからユーザーを守ることを目指しています。さらにバックエンドについて、当社のスキャナーは迅速で正確かつ包括的で、他のプラットフォームやツールとシームレスに統合されるように設計されています。これらの要素が適切な割合で組み合わさって、Syhuntが誕生しています。

3. 企業が注意すべきアプリケーションセキュリティの最新トレンドとは？​

アプリケーションセキュリティはサイバーセキュリティの中でも最も動的な分野の一つです。というのも、アプリケーションセキュリティは主にWebアプリケーションに焦点を当てており、新しいWeb標準、フレームワーク、サーバー、ブラウザーと共に常に進化しているからです。そして、AIがこの複雑なエコシステムに新たな要素として加わりましたが、この新LLMs（大規模言語モデル）との統合で、セキュリティ問題が多発すると予想されています。その一部は、2023年末に公開された「OWASP Top 10 for LLMs」という文書で紹介されています。

先月、私はLLMsの出力を不適切に扱うことでさまざまな方法で悪用される可能性があることを論文で発表しました。今後、5年間でAIモデルを悪用した攻撃手法が爆発的に増加すると予想しています。開発者やサイバーセキュリティの専門家は、AIがもたらす急速な技術革新に対応するために、アプリケーションのセキュリティ面で多くの知識をキャッチアップしなければなりません。

4. 脅威検知と対応を強化するためのSyhuntのAIイノベーションについて教えてください。​

私たちはOpenAIとそのChatGPTの革新的な取り組みを非常に賞賛しています。 当社のツールはアプリケーションのソースコードの脆弱な行を特定し、OpenAI APIとの統合を通じてパッチが適用されたコード例を提供することができます。また、AIパワードログインと呼ばれる機能も開発しました。この機能では、ユーザーが最低限の入力（資格情報と基本的な説明）で自動的にWebサイトにログインする方法をAIモデルが自律的に学習する機能です。 迅速な試行錯誤のプロセスを経て、ログインが成功するまでアプローチを改良していく。 一度成功すれば、その方法はキャッシュされ、その後のログインでシームレスに再生される仕組みになっています。これらの機能は市場で初めて実現されたものです。

5. 迅速なアプリケーション開発と堅牢なセキュリティ対策のバランスはどう取るべき？​

DevSecOpsは、DevOps（開発業務）のさまざまな段階でセキュリティプロセスを組み込む概念として、現在では広く知られ、採用されています。DevSecOpsは、設計からデプロイ、さらにその先に至るまで、開発ライフサイクル全体を通してセキュリティを統合するアプローチです。これにより、開発の各段階でセキュリティの考慮が行われるため、プロセスが遅れることなくセキュリティを確保できます。静的アプリケーションセキュリティテスト（SAST）や動的アプリケーションセキュリティテスト（DAST）などの自動化されたセキュリティテストツールや技術を使用して脆弱性を特定します。開発者に「OWASP Top 10やCWE Top 25」の脆弱性について教育することも大切です。開発を加速しながら脆弱性のリスクを減らすために、セキュリティ機能や保護が組み込まれたフレームワークやライブラリを選択しまょう。

最後に、これらのツールによって生成された結果を集約・管理する脆弱性管理プラットフォームを持つことも重要です。

6. 今後数年間で、AIがサイバーセキュリティの分野でどのように進化するのか​

ほとんどの破壊的テクノロジーと同様に、AIは良い目的にも悪い目的にも使える「両刃の剣」に似ています。つまり、AIは攻撃と防御の両方の作業の一部になるということです。市場に出回っているサイバーセキュリティソリューションは、「AIネイティブソリューション（AIモデルを基盤としたもの）」、「AI拡張ソリューション（AIを使用して操作を強化または補完するもの）」、そして「従来の非AIソリューション（AIを統合していない従来の方法で運用するもの）」の大きく3つのグループに分かれると考えています。おそらく、将来、最も安全なネットワークというのは、これら3つを組み合わせて構築されるでしょう。

各CISO（最高情報セキュリティ責任者）の使命は、AIと従来ツールとの適切なバランスを見つけることです。これらのツールはシームレスに連携し、AIシステムはAPIやスクリプティングなどを通じて従来の非AIツールの機能を取り入れて運用します。

さらに将来を見据えると、人間のファイアウォール管理者がAIファイアウォールと対話することになるかもしれません。

最後に​

今回は、海外のサイバーセキュリティ専門メディア「SafetyDetectives」で掲載されていたフェリペ・ダラゴン氏のインタビュー内容を紹介しました。

現在、サイバーセキュリティはかつてないほど重要性を増しており、AI技術の進化によって新たな脅威と機会が生まれています。Syhuntは、迅速なアプリケーション開発と強固なセキュリティ対策を両立させるための最先端のソリューションを提供しています。特に、AI技術を活用した脅威検出と応答の革新により、企業はこれまで以上に迅速かつ効果的にセキュリティリスクに対応できるようになりました。フェリペ氏が強調するように、セキュリティと開発のバランスを取ることは、現代のビジネス環境において成功するために不可欠です。

弊社では、脆弱性診断ツール「Syhunt」の国内販売サポートだけでなく、皆様の社内セキュリティ対策におけるお困りごとに対して技術的なサポートも行っております。

気軽に問い合わせフォームまでお問い合わせください。