AI エージェント: エンタープライズセキュリティの新しいフロンティア

Clarke Rodgers:
私は Director of Enterprise Strategy の Clarke Rodgers です。セキュリティリーダーとの一連の対話の案内役を務めます。本日のゲストは Abnormal AI の Mike Britton 氏です。セキュリティリーダーシップ、セキュリティのキャリアパス、エージェンティック AI などのトピックをお届けします。

Britton さん、本日はご参加いただき、本当にありがとうございます。

Mike Britton 氏:
ありがとうございます。よろしくお願いします。

Clarke Rodgers:
自己紹介と、Abnormal での職務のご説明をお願いします。

Mike Britton 氏:
Mike Britton です。Abnormal の CIO を務めています。入社して 4 年になりますが、私の仕事は、社内の IT プログラム、セキュリティ、顧客の信頼、そして上司から依頼されたことは何でもすることです。

Clarke Rodgers:
つまり、CISO から CIO の職務に進化したということですね。その移行がどのように起こったのか教えていただけますか。

Mike Britton 氏:
面白い経緯です。これまでのキャリアを通じて、私は常に新しいことに挑戦してきました。前職で IT を管轄したことはありますが、Abnormal に入社したのは、従業員が約 100〜120 人で、正規の IT チームが存在していなかった頃です。個人的には非常に気に入っている職務です。私はとても実践的なので。テクノロジーが大好きなのですが、過去 4 年にわたり Abnormal で進化し、成長していく中で、私の上司でもある CEO と次に何をすべきかについて話し合うようになりました。会社が成長を続けるにつれて、多くのエキサイティングな課題に直面していましたし、これはテクノロジーのトランスフォーメーションの幅を広げ、企業として実際にどのように進化しているかを見つめる絶好の機会だと心から思いました。

Clarke Rodgers:
そして、CIO となった今、セキュリティが IT 全体で全員の最優先事項であることを保証できるようになりました。そうですよね。

Mike Britton 氏:
はい。IT とセキュリティは常に自然な相反関係にあるので、チームに対しては、私は全員の上司なのだと言えるのはいつだって嬉しいことだとよく話しています。だから仲良くしましょうと。

Clarke Rodgers:
そうですね。

Mike Britton 氏:
IT チームはセキュリティに重点を置く必要があり、セキュリティチームは社内の顧客を念頭に置く必要があります。つまり、リスクゼロではなく、生産性やビジネス目標の達成が重要であり、時には完璧な世界を実現できないこともあります。

Clarke Rodgers:
なるほど。  Britton さんは CIO の役割に加えて、Abnormal での AI フォーカスの責任者でもあります。この役割を引き受けた経緯について少しお話ししていただけますか。また、社内でのビジネスツールとしてだけでなく、攻撃者の視点から AI についてどのように考えているか、組織を AI からどのように保護しているかについて、少し話していただけますか。

Mike Britton 氏:
Abnormal は設立当初から AI 企業なので、興味深いですよね。AI がホットなトピックになる前から、我々は AI だったとよく冗談を言っています。Abnormal の創設者は Evan と Sanjay の 2 人です。彼らは Abnormal AI として会社を始めました。しかし、市場から得たフィードバックは「これは新しすぎる、早すぎる、怖すぎる」というものだったようです。そこで、「じゃあ Abnormal Security でやってみよう」という話になりました。 今はまさに、元のルーツに戻るのに適切なタイミングで、適切な場所に存在しています。だからこそ、Abnormal AI にリブランディングしたのです。

当社は AI の製品観点から非常に多くのすばらしい活動を行っていますし、機会もたくさんあります。今始まったばかりの小規模なスタートアップの一部についても同じことが言えます。開発側で AI を活用できます。それを社内で活用できます。私たちはビジネスにおいてアジャイルにならなければなりません。スケーリング可能でなければなりません。私は、組織のすべての人が最高の AI 搭載バージョンにならなければならないというコンセプトが気に入っています。その一環として、新しい機会を見極め、どのように規模を拡大できるかを検討することが挙げられます。 仕事の置き換えではありません。10 倍の人材を雇用することなく、今後 5 年間で 10 倍に成長するにはどうすればよいかということです。

Clarke Rodgers:
ビジネスユーザーが使用している AI ツールが急増する中で、それらのセキュリティ確保についてどう思いますか。また、それらのユーザーにツールを提供する前に、どのようなガードレールを設置していますか。

Mike Britton 氏:
何よりもまず、ビジネスユーザーに私のところに来て欲しいと思います。アイデアが生まれた段階で来てもらうのが理想的です。「この問題を解決したいのですが」という相談を持ち込んで欲しいと考えています。 今日、E メールアドレスの入力はとても簡単です。クレジットカード情報を入力しなくても支払いができます。ですから、セキュリティとして、また IT として、「すべてをブロックして停止する」という非現実的なアプローチを取るわけにはいきません。

Clarke Rodgers:
なるほど。

Mike Britton 氏:
従業員が物事をすばやく試し、フェイルファストになり、何がうまくいって何がうまくいかないかを確認し、投資収益率を明確に説明できるようにするために従業員をガイドして連携する必要があります。投資収益率とはコストだけでなく、導入までのスピード、そのツールの使用がどのように役立つかについての実際の効果も含まれます。正直なところ、現代は奇妙な時代で、何であっても市場に 8,000 ものバージョンが存在し、毎日新しいものが登場しています。私も同じものを 5 バージョン用意したいと考えていますが、それと同じくらい、ツールとテクノロジーを合理化し、人々を適切なソリューションに導く手助けをしたいと思っています。

Clarke Rodgers:
では、それを促進するために、どのようにして Abnormal のセキュリティ文化を構築したのでしょうか。組織を保護するだけでなく、人々が迅速に行動してイノベーションを起こせるようにしたいとお考えですよね。どうやってそのバランスを取り、「ノー」を言う部署だと見なされることなく、賢明なセキュリティルールをも導入しているのでしょうか。

Mike Britton 氏:
仰る通り、バランスの問題です。私たちは白か黒かの世界に住んでいるわけではありません。常にグレーの色調で事業を運用しています。テクノロジー企業であろうと店舗販売を行う企業であろうと、どの組織も成功するためには何らかのビジネスリスクを冒さなければなりません。これらのリスクを乗り越え、対処することがすべてです。パスワードレスへの移行であれ、初期段階でサポートして適切な手順を踏めるように導くことであれ、私はセキュリティがビジネスの成功要因にもなり得ることを示す機会を探すようにしてきました。ノーと言いたくはありません。私のチームで、初めからノーを言う姿勢が見られると、反論するようにしています。どちらかというとコンサルタントのような存在です。組織のアドバイザー、製品のアドバイザー、ビジネスのアドバイザーとして、適切な意思決定を行い、組織が許容できる限り迅速に行動し、取りうる限りのリスクを取ることができるように支援しているようなものです。

Clarke Rodgers:
では、ビジネスイネーブラーとしてセキュリティの観点から、セキュリティプログラムの健全性と有効性を報告または実証し、状況を説明して、どのようにビジネスリーダーを支援しているのかを確実に理解してもらうにはどうすればよいでしょうか。 経営幹部、取締役会などに、その健全性と有効性をどのように報告しているのですか。

Mike Britton 氏:
「大きなインシデント、重大な違反は発生していません」など明らかな事実を報告します。平均検出時間も報告します。平均修復時間もです。バニティメトリクスは好きではありません。セキュリティには、組織の健全性やリスクについては明らかにしないものの、ダッシュボードで見栄えがいいだけのバニティメトリクスがたくさんあるように感じます。

Clarke Rodgers:
フィッシングクリックですね。

Mike Britton 氏:
ええ、フィッシングクリックです。それらを微調整したり、曜日に応じて上下に操作したりすることはできますが、フィッシングクリックは組織について何も教えてはくれません。組織の本当のリスクは何か、脅威の状況はどのようなものか、組織の攻撃のフットプリントはどのようなものか、実際には教えてくれません。 正直なところ、重要なのはストーリーです。取締役会や経営幹部には、ストーリーを伝えたり、データポイントを提供したりして、その背後にある理由を説明することべきだといつも感じています。スプレッドシートや PowerPoint を見るだけで理解してもらえたらいいのですが、もっとやるべきことがあります。セキュリティとテクノロジーのリーダーとしては、優れたストーリーテラーでなければなりません。自分のプログラムの価値を社内のステークホルダーに売り込むには、ある程度、営業担当者のようになる必要があります。

Clarke Rodgers:
それは具体的にどのように行うのですか。 コストについての会話ですか。 それともリスクに関する会話ですか。 その物語を語るときに、経営陣は詳細なセキュリティメトリクスを求めていますか。

Mike Britton 氏:
全部を少しずつという感じです。もちろんリスク軽減に関する会話は必要です。チームが阻止している危険な攻撃を示すことも重要です。回避していることについて話すとともに、生産性の向上についても話す必要があります。自動化できることに貴重な人材を無駄にしていないと言えなければなりません。従業員にさらなるハードルやステップを乗り越えさせることで、彼らの生産性をさらに低下させているわけではありません。従業員の生産性、私のチームの生産性、リスク軽減のすべてがすばらしいパッケージにまとめられているのだと伝えるのです。

Clarke Rodgers:
話を IT 側に戻しましょう。いまや Britton さんは CIO であり、CISO としてセキュリティを担当しているので有利な立場にあります。開発者がセキュリティを重視するようにするには、どうすればよいでしょうか。 従来、開発者はコードをさまざまなレイヤーにプッシュして本番環境に移行する際に、「セキュリティ上の障害」にぶつかる可能性がありました。「セキュリティ上の障害がいくつか見つかったから、修正しないと」という感じです。 その「セキュリティが足かせになっている」という考え方を、「もっと安全に構築するためには改善の余地がある」という考え方に変えるにはどうすればよいでしょうか。

Mike Britton 氏:
当社はセキュリティ企業なので、すべての開発者やエンジニアがセキュリティのバックグラウンドを持っているか、セキュリティ企業で働いた経験があるのが理想的と思います。しかし現実には、そうではありません。なので、お客様がどういう立場にあり、何を懸念しているのかを開発者やエンジニアが理解できるように支援することも必要です。お客様は自社データについて心配しています。インフラストラクチャをどのように保護しているのかについて懸念しています。お客様がいて製品を購入してくださるからこそ、仕事があるのだと開発者やエンジニアに理解してもらうことが重要です。つまり、お客様の信頼を勝ち取り、維持していかなくてはいけないという関係です。お客様の信頼であろうと、一般的な信頼であろうと、信頼とは確立するのも獲得するのも難しいことが多いですが、失うのは簡単ですし、失敗する余裕はありません。

開発者やエンジニアに顧客の視点を理解してもらえばもらうほど、何が問題になっているのかを理解できるようになります。私だけが勝手に「これをしてはいけない、あれをしてはいけない」と言っているだけではなくなるのです。私はよく、「懸念がある」と仰るお客様が抱える実際の例をはっきり表現しようとしています。 私たちは未来を見据えて強気に AI を支持していますが、すべての組織がそうであるとは限りません。世の中にはもう少し保守的なリスクプロファイルを行なっている企業もありますが、AI は恐ろしいものです。私たちはそれを理解し、適応する必要があります。

Clarke Rodgers:
なるほど。開発者の目隠しを取って、全体像を理解してもらっているのですね。Britton さんは開発者コミュニティとセキュリティコミュニティの両方に所属していますが、それぞれの役割の成長をどのように支援していますか。 組織内での定着率についても聞かせてください。最近では、2〜3 年おきに人々が異動するのを見るのはごく普通のことですが、そうした人々が去ると、組織内の制度的知識や文化的成長の多くが失われます。彼らにキャリアパスを与え、実際に維持するためにどのようなことをしているのですか。

Mike Britton 氏:
実のところ、それは採用プロセスから始まると考えています。私はいつも喜んでさまざまな候補者を確認してきました。知的好奇心旺盛な人を採用したいのです。試行錯誤を繰り返す人、学び、成長したいと思ってくれる人を採用したいのです。私自身がキャリアの早い段階で学んだことと現代とを比較すると、キャリアの早い段階で学んだことはすべて今日では時代遅れです。そういうことは関係ないのです。そして、おそらく今日私が知っていることはすべて、今から 5 年後には時代遅れになるでしょう。

ですから、学びたい、成長したいと思っていて、ある程度の素質が備わった従業員が必要です。これはコインの表裏ですね。私が提示しなければならないリソースと機会はありますが、相手もその機会を喜んで利用したいと思っていなければなりません。ですから、その前提から始めて、順応してくれて、好奇心を保ち、学びたいと考えている人がいたら、簡単だと思います。よくある課題は、退屈でありふれたルーティーン化されたことを取り除かなければならないということです。ここで、AI と自動化が役立つと私は考えています。有意義な仕事をして、毎日仕事に来て、その日の業務の影響を確認し、自分が組織に与えている影響を確認できるなら、その人は長い間組織に留まってくれるでしょう。特に、その過程で上長が彼らの成長と学習を支援している場合はなおさらです。それが人を保持する最善の方法だと感じています。

私がこの会社に入社したとき、何もかもが初めてでした。IT とセキュリティに関しては、相当な規模のチームを作りました。そして今までに退職したのは 75 人中 2 人だけで、その 2 人は他にやりたいことができて会社を去ったのです。

Clarke Rodgers:
では、何かが機能しているということですね。どうでしょうか。

Mike Britton 氏:
何かが機能していますね。

Clarke Rodgers:
AI と自動化について少し詳しくお話ししたいのですが、Britton さんが言ったことが 1 つ心に残りました。好奇心です。なぜそれがそんなに重要なのか、もう少しお話していただけますか。

Mike Britton 氏:
私たちは非常に恵まれていて、情報の世界に住んでいます。YouTube チャンネル、X フィードなど、情報に事欠きません。すべてがすぐに手に入ります。だからこそ、外に出て情報を掘り起こして見つけ、時間を費やしたいという気持ちがあることが重要です。実際に取り込んで理解しなければ、何の役にも立ちません。私は今でも実際に手に取って、遊んでみることの重要性を信じています。自分で触ってみなければ、エージェンティック AI を理解することはできないと思います。

「ハッカー」という言葉にはマイナスの響きがあり、残念なことに脅威アクターがたくさんいて、この用語に悪いイメージを植え付けています。ただ、私が若かった頃などを振り返ってみると、何かがどのように機能するかを学びたいという気持ちだけがあったと思います。何かを分解して、想定されている用途以外の用途で使ってみるということです。物事がどのように機能するかを理解したいという好奇心です。セキュリティでは、ハッカーの精神がもっと必要です。多くの場合、セキュリティはコンプライアンス主導、チェックボックス主導になっているように感じます。リスク管理がすべてです。もちろん、これは重要ですが、好奇心も必要です。物事がどのように機能するかを理解し、どのように機能すべきでないかを理解し、喜んで実践してみるという気持ちが必要です。

Clarke Rodgers:
ではリーダーとして、最新情報を把握するにはどうすればよいのでしょうか。 セキュリティ環境は毎日変化しているように見えますが、テクノロジー環境はおそらく 2 倍の速さで変化しています。どうすれば最新情報を入手および把握して、組織内の同僚にリスクを効果的に伝えることができるでしょうか。

毎日カレンダーを見て時間をやり繰りしている CISO を何人か知っています。1 日の始まりの 1 時間か 1 日の終わりの 1 時間の習慣と思いますが、Britton さんも同じようなことをしていますか。それとも何かが頭に浮かんだらリサーチを始めますか。

Mike Britton 氏:
1 か月に 2 日くらいの時間は作ることができます。私のノー会議デーです。だからといって本当に会議がないわけではありませんが、15 回ではなく、3〜4 回に抑えています。私は、この時間を意識的に使っています。計画を立てて時間を作らなければなりません。時間は自然に生まれるものではありません。残念ながら、私は夜遅くに Twitter などのリソースをスクロールして、常に最新情報を得ることに多くの時間を費やしています。

Clarke Rodgers:
すばらしいです。では、自動化や AI について、組織内のセキュリティ運用の観点からどのように考えていますか。

Mike Britton 氏:
AI にはセキュリティを破壊する機能と能力があると思います。考えてみれば、攻撃者は既に AI を使用しています。彼らが使っているのは AI だけでしょうか。 メインツールとして使っているのでしょうか。 おそらくそうではないでしょうが、使っていることは確かです。先ほど話題に出た AI ツールの話に戻りましょう。効果的なメールを作成して潜在顧客の受信ボックスに届け、エンゲージメントを高めるのに役立つ AI マーケティングツールは 100 種類ほどあります。コンシューマライズされていて、使うのも簡単です。天才でなくとも使うことができます。攻撃者についても同じことです。攻撃者が AI をいじって、より効果的に攻撃できるようになっています。攻撃者が今や機械の速度で動いているとしたら、まだ人間の速度で動いている人は、その闘いに負けるでしょう。

Clarke Rodgers:
なるほど。

Mike Britton 氏:
つまり、私のプログラムは、攻撃者と同じスピードでプログラムが動作し、意思決定を行い、コンテキストを理解し、状況を分析する必要があるということです。

Clarke Rodgers:
では、エージェンティック AI についてどうお考えですか。 どの方向に進むのでしょうか。 モデルコンテキストプロトコルがあり、A to A がありますが、どこにつながると思いますか。

Mike Britton 氏:
すべてはデータだと考えています。AI にデータを与えている大規模言語モデルが要です。MCP や A2A といったタイプのプロトコルが、扉を開いてくれると思います。ChatGPT、Claude、Gemini をなどは、すばらしいエージェンティック AI ツールです。質問をしたり解決したりすることに長けています。しかし、他のツールや他のエージェントを同じデータセットに接続する場合、認証に関する懸念があります。データの流出が心配です。アクセス境界は尊重されるのかということが懸念されます。 世の中にはさまざまな悩みがあるため、さまざまなものをつなぎ合わせて、それぞれがやるべきことをやって欲しいと期待しています。ですが、それをどうやって監視するかが問題です。 先日、ある CISO と話しました。その方の懸念の 1 つは、いまや誰もがエージェンティック AI を使用しているということでした。付き合いのあるベンダーが突然、自分の環境で AI エージェントを有効にしたとして、そのことを知るにはどうすればよいのでしょうか。 可視性はどこにあるのでしょうか。 どう対応すればいいのでしょうか。

Clarke Rodgers:
私たちが長年取り組んできた、非常に古い問題にまでさかのぼりますね。つまり、誰がいつ何をしているのかということです。 違いますか。 ただし、登場人物が異なります。組織内の人間以外のアクターです。

Mike Britton 氏:
それは新たな課題をもたらします。つまり、エージェントがエージェントと話しているとき、その時点で人間はループから外れています。どうやってそれを保護できるでしょうか。 環境内に不正な AI エージェントが存在する世界から身を守るにはどうすればよいでしょうか。 しかし、それこそが、私がセキュリティを愛する理由の一部です。私がこれまで 30 年近くセキュリティに携わってきた理由の一部なのです。

Clarke Rodgers:
決して退屈しませんね。

Mike Britton 氏:
この課題が大好きです。ほとんどの人は、キャリアを積んで 30 年になると、退職を考えます。ゆっくりしたいと思うでしょう。しかし、私がこの業界に長く関わってきた理由の 1 つは、毎日新しいことがあるのが大好きだからです。新しいチャレンジ、心を研ぎ澄ましてくれるもの、挑戦させてくれるもの、自分を成長させてくれるものがあります。そういうものが大好きなのです。

Clarke Rodgers:
では、質問させてください。困らせるつもりはないのですが、今後 18〜24 か月の間に、これらすべてはどうなると思いますか。 これらすべてが結実する特定のテクノロジーセットは、セキュリティに重点を置いているでしょうか、それともセキュリティに重点を置いていないでしょうか。

Mike Britton 氏:
まず、推測と希望的思考を同時に試みるべきだと思います。明らかに、マーケティングの誇大広告は AI です。現時点では誰もが AI ベンダーであり、多くのノイズが発生しています。テクノロジーの購入者にとって難しいのは、事実とフィクションをどのように区別するかということです。 本物の AI と後付けを区別するにはどうすればよいでしょうか。 誰もが ChatGPT のようなインターフェイスをソリューションに載せることができます。それは本当に AI でしょうか。 それは本当に価値をもたらしているのでしょうか。 今後 18 か月ほどで、市場がある程度はっきりすることを願っています。このようなディスラプティブな瞬間には、当然、勝者と敗者がいるでしょう。デジタルトランスフォーメーションとクラウドが実現されるまでには、ものすごく長い時間がかかりました。

Clarke Rodgers:
しかも、それはまだ続いています。

Mike Britton 氏:
しかも、それはまだ続いています。AI の導入ペースははるかに速いです。ですから、そこから自然に勝者と敗者が出てくると思います。今はただエキサイティングな時期だと言っておきます。ただ、私は AI が仕事に置き換わることはないと固く信じています。他の方もそう仰っていますが、結局は AI が人間に置き換わるのではなく、AI の使い方を知っている人間が他の人間に置き換わることになると思います。その一環としてですが、

Clarke Rodgers:
その通りですね。

Mike Britton 氏:
採用したい人物像も変わりつつあります。その人が 5 年前に何をしていたかは気にしません。今、何をしているのかを知りたいのです。何を調べているのか。 どのエージェントを構築しているのか。 AI 開発ツールを使用しているかどうか。 そういうことに興味があります。

Clarke Rodgers:
好奇心があるのかというのもポイントですよね。

Mike Britton 氏:
そうですね。好奇心があるかどうか。

Clarke Rodgers:
自分のキャリアやこれまでの昇進について考えるとき、現在の状況において、意欲的な CIO や CISO にどのようなアドバイスをしますか。

Mike Britton 氏:
ビジネスを学んでおくといいでしょう。自社ビジネスがどのように収益を上げているかを理解すべきです。さまざまな要素がどのように組み合わされているかを理解すべきです。問題の解決策がわかっていると勝手に思い込まないでください。リスクがどこにあるのか、どのように物事を進めるべきかを伝える前に、社内で関係を構築し、積極的にその関係を育み、信頼される人物になってください。

Clarke Rodgers:
そして、ビジネスの言葉を話す必要もあるでしょうね。

Mike Britton 氏:
セキュリティリーダーはオタクマインドであることが多いように感じます。テクノロジーについて話すのが大好きで、3 文字の頭字語を使いがちです。ビジネスの言葉を話し、CFO が理解できる言葉で話し、営業リーダーのように話してください。彼らの悩みや目標を、彼らがビジネスのために何をする必要があるかを理解してください。

Clarke Rodgers:
つまり、社内の人々の動機とモチベーションに足並みを合わせるということですね。

Mike Britton 氏:
そのとおりです。説得してそういうことを考えてもらうのが彼らの仕事です。しかし、結局のところ、彼らは特定の役割を果たすために存在しています。特定の目的を達成するために存在しています。

Clarke Rodgers:
すばらしいです。最後に、他の CISO に伝えたい言葉を教えてください。

Mike Britton 氏:
簡単です。と同時に、これは課題です。産業革命時のラッダイト運動的に進化を妨げようとして「ノー」と言うのは簡単です。積極的に取り組んで、変化を受け入れてください。より若いベンダー、ディスラプティブなベンダーを観察してください。問題を混乱させ解決するために AI を実際に使用している企業を見てください。テクノロジーを恐れないでください。今は、私にとってエキサイティングな時代です。

Clarke Rodgers:
その通りですね。Britton さん、本日はご参加いただき、本当にありがとうございます。

Mike Britton 氏:
こちらこそ、お招きいただき、ありがとうございました。光栄でした。

今すぐ聴く

今すぐ聴く

今すぐ聴く