SysdigのCISOにインタビュー。シフトレフトや生成AIについて率直な意見を訊いた
クラウドとコンテナへのセキュリティをリアルタイムに提供するSysdigのCISO(Chief Information Security Officer、最高情報セキュリティ責任者)であるSergej Epp氏が、都内で開催されたSysdigのイベントに合わせて来日した。日本法人であるSysdig Japan合同会社の代表執行役員戸田麻弥氏とインタビューに応じた。
インタビューに答える戸田氏(左)とEpp氏(右)
自己紹介をお願いします。
Epp:私はCISOとして2024年12月にSysdigへ参加しました。その前はPalo Alto NetworksでそこでもCISOとして仕事をしていました。キャリアとして長かったのはPalo Alto Networksの前のドイツ銀行(Deutsche Bank)で、そこでもセキュリティに関連する仕事をやっていました。ドイツ銀行ではサイバー犯罪の対策チームを率いていましたが、Sysdigにおいても顧客向けのセキュリティと社内のシステムについてもサイバー犯罪から守る仕事をしています。
戸田:セルゲイはセキュリティの経験も長いんですが、なによりもベンダーとユーザーの両方を経験しているというのが強みだと思っています。日本のお客様と会って話をする時も、ドイツ銀行にいたという話をすると興味を持ってもらえますね。
セキュリティについてはさまざまなベンダーが市場に溢れていて、ユーザーにとって見れば選択肢が多過ぎるという状態だと思います。セキュリティはハッカーの攻撃の危機を感じているユーザーにとっては保険的な意味合いもあるからだとは思いますが、このレッドオーシャン的な市場におけるSysdigの差別化のポイントはなんですか?
Epp:クラウドセキュリティにはさまざまなアプローチがあります。クラウド全体を守るという発想からコンテナを守ること、そしてソフトウェアのサプライチェインを守るというやり方までさまざまです。しかし本番システムにおいてバックドアを作らず、いかにアプリケーションを安全に実行するか? という部分が重要だと感じています。何よりもモダンなコンテナベースのアプリケーションは平均で数分間しか実行されずに、必要がなくなれば終了してしまうという性格を持っています。このように短時間しか存在しないソフトウェアを、外部のシステムを通じて守るというのは至難の業です。その観点からすれば、Sysdigの発想は正しい道を進んでいると思います。
多くのセキュリティの専門家は、セキュリティは本番システムだけを守るのではなく開発のプロセスからセキュリティを意識しろ、つまりシフトレフトしろと言いますが、それについては?
Epp:良い質問です。あなたは本当にデベロッパーがセキュリティを意識してシフトレフトする方法が有効だと思っていますか? かなり疑問を持っているからこの質問をしたんだと思いますが、私もシフトレフトには懐疑的です。つまりアプリケーションデベロッパーがコードを書いてから本番にデプロイされるまで、かつては数ヶ月という時間がありました。例えば、MicrosoftはソフトウェアをCDに焼いて提供していましたので、次のバージョンをリリースするまでには時間があったわけです。そのためにその時間の中でコードをセキュアにするという発想、つまりシフトレフトすることも可能だったとは思います。
しかし今や、コードを書いてから本番にデプロイされるまで数分ということが当たり前です。なので新しい機能をすぐに顧客に提供することの価値が高まっているという状況において、シフトレフトするための余裕はないというのが実態だと思います。よって、デベロッパーがセキュリティを勉強して組み込むために時間を掛けるということよりも、素早く開発して問題があればリバートする、もしくはその修正版を素早くリリースする方法がより現実的だと思います。
さらに言えば、シフトレフトするために脆弱性を検索してその修正分を開発しているソフトウェアに適用しようとしても、今や多くの脆弱性が毎日のように報告されているわけです。それをすべて適用するという発想ではなく、その脆弱性は今開発しているソフトウェアに含まれているのか? を確認したうえでそれを組み込むという発想が本質的だと思います。ミドルウェアやライブラリで発見される脆弱性やウォーニングは多数発見されますが、それがそのアプリケーションに含まれていないならそれはノイズでしかありません。つまりそのノイズの除去を、Sysdigを使って行うというアプローチが求められていると思います。
生成AIについては?
Epp:生成AIがエラーの説明を行うなどの用途で使われているのは現実的なアプローチだと思いますが、Vibeコーディングのようにすべてを生成AIに頼って行うというのはまだ現実的ではないと思います。Sysdigでも試験的な実装を行っていますが、改善の余地は大いにあると感じています。
現在のシステムが多方面で守られている一方で、一番脆弱なのは人間で、うっかり詐欺のメールを信じてユーザーネームとパスワードを入れてしまったり、脆弱性の更新を忘れてしまったりという愚かな生き物であるわけですよね、人間は。そういう意味でその脆弱な人間というパーツをなんとかしようというアプローチはありませんか?
Epp:人間という生き物は間違いをするものなので、それを根本から変えることはできないとは思います。それが私たち人間なのですから。でも生成AIを使うことでその間違いを素早く減らすことは可能だと思いますが、半面、我々は生成AIを使って攻撃をするという人たちにも遭遇しているわけです。つまり生成AIをハックして間違ったことを教えるという状況がもう訪れようとしていると思います。
常に悪い人間は最先端の技術を使うほどには賢いということですよね。
Epp:そうですね(笑)。
Sysdigにとってのチャレンジは?
Epp:ランタイムセキュリティをもっと広めることですね。次に生成AIについて可能性を拡げていくことです。先にも言いましたが、ハッカーが生成AIを使って洗練された攻撃をするという状況が発生していますので、それを防ぐための手段を組み込むために、生成AIを活用するというのがチャレンジだと思います。
最後に今回がEppさんにとっての初来日だったということですが、日本の印象は?
Epp:今回初めて訪れましたが、とても気に入っています。特に日本で気に入っていることは文化ですね。人と人の接し方も含めて文化が成熟していると感じます。今回はSysdigのイベントでインド、シンガポールそれから東京と出張してきましたが、できれば東京だけではなく地方の風景などにも接してみたいと思います。もっと日本を知りたくなりました。登山も好きなのでやってみたいと思います。富士山は有名ですよね。
戸田:でも東京からだと高尾山が近くてお勧めですよね。それほど混んでいないですし。富士山は海外からの旅行者でとても混雑しているし、登るのに行列ができるほどですから。
登山するなら富士山?それとも高尾山? を話し合う戸田氏とEpp氏
最後は戸田氏も交えて日本の雑多な情報を教えるレクチャータイムとなってしまったインタビューだったが、真摯に質問に答えてくれるところには、過去にインタビューを行ったドイツ人エンジニアやエグゼクティブと同様の真面目さを感じた。多くのITベンダーのエグゼクティブによくあるベンダー数社を渡り歩いてきたという経歴よりも、ドイツ銀行で9年、Palo Alto Networkで6年という長い時間を過ごしてきた人としての筋の良さを感じる人間性も好印象だったと言える。
連載バックナンバー
Think ITメルマガ会員登録受付中
他にもこの記事が読まれています
全文検索エンジンによるおすすめ記事
- 進化するシフトレフト:ソフトウェア開発におけるセキュリティ確保のためのより強力なアプローチ
- コンテナセキュリティのSysdigのCEOに、オープンコアベンダーとは異なる戦略について訊いた
- 新興セキュリティベンダーSnykのVPにインタビュー。デベロッパーファーストセキュリティとは?
- Palo Alto Networks、「Kubernetesクラスタ」を標的とした新しいマルウェアについて注意喚起
- プロダクトライフサイクルでのシフトレフトを推進―開発者ファーストの思想で一貫したDevSecOps環境を実現するSnyk
- 様々な本番環境を支えるOpenStack
- CNSC 2022からアクセンチュアのセキュリティエンジニアがDevSecOpsの要点を解説
- GitHub Universe 2024、GitHub自体の開発に使われているセキュリティプラクティスを解説
- DevOpsはここから始めよう
- IoTセキュリティ市場を盛り上げるのは「公益事業」である