今私が話しているどの企業も同じ疑問に答えようとしている:
AIを活用してより迅速に前進しつつ、実際に管理できる範囲を超えるリスクを負わないようにするにはどうすればよいでしょうか?
それは単なるセキュリティ上の問題ではない。リーダーシップの問題だ。
私はCEOです。開発、運用、顧客サポート、競争のあらゆる場面で、理にかなう限りAIを活用してほしいと考えています。同時に、信頼性、稼働率、評判、そしてイノベーションが制御能力を上回らないようにすることへの責任を負っています。
したがって、CISOやCIOが「板挟みだ」と訴えるとき、つまりAI導入を推進するプレッシャーを受けつつ、それがもたらすリスクの責任も問われる立場にあると語る時、私は抵抗とは見なさない。現実的な認識だと捉えている。
AI企業はリスクの物理的性質を変える
先日の発表で、私は現代のネットワークが「サイバーリスクの物理的性質を変えた」と述べました。これは誇張した表現ではありません。文字通りの意味です。
今日の企業は常に稼働している。常に接続されている。常に変化している。AIシステム、エージェント、自動化技術が機械の速度で意思決定を行い、データを移動させている。非人間のIDは今や人間を上回る数となった。そしてユーザー、ワークロード、サービス、AIを含むすべてがネットワークを通じて結びついている。
その時点で、ネットワークは単なるインフラではなくなる。それはビジネスの神経系となり、アイデンティティが活動し、データが移動する場となる。
攻撃者も我々と同じくこの変化を理解しているからこそ、これは重要だ。彼らはもはや「侵入」する必要はない。ログインする。信頼を悪用する。溶け込む。そしてAIを活用すれば、従来のセキュリティプロセスの大半が追いつけないほどの速さで行動できる。
これは攻撃者が賢くなったことではなく、スピードの問題だ
攻撃者が急に賢くなったとは思わない。速くなったのだ。
AIは摩擦を取り除く。偵察を自動化する。横方向の移動を加速する。タイムラインを圧縮する。かつて数日かかっていたことが、今や数分で起こる。
一方、ほとんどのセキュリティチームは依然として、設計上遅延を生じさせるスタックで作業を続けている:
- 環境の一部分しか見ないツール
- きれいに接続されない信号
- まさに最悪のタイミングで手動による選別と調査
だからこそ、多くのチームは正しいことをしているにもかかわらず、守っているというより反応しているように感じているのだ。
なぜCISOにとってこれがこんなに難しいのか(そしてなぜ私が共感するのか)?
今日のこの仕事の最も難しい部分は技術的なことではない。説明が難しいのだ。取締役会や経営陣は明確な答えを求めている:
- 今、私たちはより安全なのでしょうか?
- 私たちはどこで危険にさらされているのか?
- 我々が投資した管理策は実際に機能しているのか?
それらは正当な疑問です。しかし可視性が断片化し、信号がノイズに埋もれる状況では、最高のセキュリティリーダーでさえ、手作業でつなぎ合わせた断片的な情報と仮定に基づいて対応せざるを得ません。これはリーダーシップの失敗ではなく、モデル自体の限界なのです。
エンドポイントセキュリティは依然として重要だが、それだけでは不十分だ
エンドポイントツールは重要な役割を果たします。私たちが使用しています。お客様も使用しています。
しかしエンドポイントはもはや企業全体を代表していない。システム横断的なアイデンティティの挙動を可視化できない。さらに、マシンやサービスアカウント、そして今やシステムをマシン速度で横断するAIエージェントといった非人間的アイデンティティの急増を考慮すると、エンドポイントはサービス間アクティビティやSaaS特権の悪用、AIエージェントの環境横断的な動作を捉えられない。 エンドポイント監視では、攻撃者がネットワーク上でシステム間を移動する様子も把握できません。現代の攻撃はまさにこの移動経路を悪用します。単一の監視ポイントに依存することは死角を生み、死角こそが信頼性を損なう原因となるのです。
CEOとして「先制的な」と「積極的な」をどう考えるか
当社のプレスリリースでは、予防的セキュリティと積極的防御について述べています。その意味を平易な言葉で説明しましょう。
予防的セキュリティとは、問題が発生する前にリスクを軽減することです。それは、アイデンティティ、信頼関係、自動化経路がどこでリスクを生むかを把握し、まだ時間があるうちに早期に修正できるようにすることです。
プロアクティブ防御とは、攻撃が拡散した後ではなく、発生した瞬間に阻止することである。防御側が迅速に答えを得て、状況を把握し、行動するまでの遅延を排除することだ。
どちらも本質的には同じことを意味します。誰のためにも速度を落とさない環境において、セキュリティチームに時間と明確さを取り戻すことです。
Vectra における当社の役割
私たちはこの物語の主人公とは考えていません。私たちは共同防衛者だと考えています。
私たちの役割は、ネットワーク、ID、クラウド、SaaS、そして今やAIエージェントを横断する企業全体で実際に何が起きているかをチームが把握できるよう支援することです。そして今、何が重要かを伝える明確な行動ベースのシグナルを可視化します。アラートを増やすことではありません。派手なダッシュボードを増やすことでもありません。
正確で信頼できる回答を、より速く。
リーダーが明確なビジョンを持つとき、意思決定は容易になる。取締役会との対話はより地に足がついたものとなる。そしてセキュリティは、ビジネスを常に遅らせる存在ではなく、ビジネスを可能にするものへと変わる。
締めくくりの言葉
AIは選択の余地がない。新たな運営モデルなのだ。
成功する企業はリスクを回避する企業ではなく、リスクを十分に理解し自信を持って前進できる企業である。それが私がCEOとして目指すバランスだ。そしてそれはCISOやCIO、取締役会が日々取り組んでいるのと同じバランスである。その緊張感を感じることは間違っていない。
あなたは一人じゃない。目指すのは完璧さじゃない。
今やAIの速度で動く世界のために築かれた、回復力こそが目標だ。