決定論的AIという言葉をご存知でしょうか。私はまったく聞いたことがありませんでした (笑)。今回はそんな決定論的AIを用いたクラウドインフラのセキュリティベンダー『Gomboc AI』とBlackhat カンファレンスについてご紹介いたします。
まずは、8/9~8/11にラスベガスで開催されたBlack Hat カンファレンスについてです!
Black Hat セキュリティカンファレンスとは
Black Hat カンファレンスは別名”ハッカーたちのサマーキャンプ”としても知られていまして、セキュリティに関係する様々な人が参加します。セキュリティのエキスパートはもちろんのこと、セキュリティベンダーの中の人や学生さんも参加されますし、技術者以外のビジネスリーダーも多くいました。
なぜBlack Hatという名称なのかと言いますと、Black Hatとはもともと犯罪に関与するハッカー、もしくはクラッカーのことを指した言葉で、こちらがカンファレンス名の由来となっているようです。反対に倫理的に正しい行動をするハッカーのことをWhite Hat もしくはホワイトハッカー、あるいはエシカルハッカーと呼びます。
ちなみにGray Hat、Green Hat、Blue Hat、Red Hat も存在するようでして、まるで戦隊モノのヒーローのようです1。
少し話が逸れてしまいましたが、じゃあBlack Hat カンファレンスは犯罪集団の集まりなのかというと、もちろんそのようなことはありませんでした。じつは私も参加するのは初めてだったのですが、雰囲気としては同じセキュリティカンファレンスのRSAカンファレンスとよく似ていると感じました。もしかしたら、私が参加していたのがビジネス寄りのものが多かったから余計にそう感じただけかもしれませんが、技術的に詳しいハッカーだけが参加しているという雰囲気ではなかったです。
Black Hat Startup Spotlight Competition
さて、Black Hat の見どころはたくさんあるのですが、ここではスタートアップのコンペティションをご紹介いたします。
Black Hat は例年たくさんのセキュリティベンダーが参加します。2023年は426社もスポンサーがつき、そのうち401社がセキュリティベンダーというものすごい数でした。今年新たに参加したスタートップをDavid Vanceさんがカテゴリーごとにまとめていたのでご紹介します。
この図によりますと、Application SecurityとCloud Securityに分類されるスタートアップが多いようです。また、Application Securityに分類されるスタートアップも1/3ほどはCloud Securityにも分類されるので、この2つの分野が密接に関係しあって、かつ、過熱している分野だということが分かります。
このような状況の中、創業2年未満、かつ、従業員 50人未満のスタートアップが、このStartup Spotlight Competitionに参加する資格を持ちます。参加スタートアップは5分間のビデオを送付します。その中からファイナリストとして4社が選出され、ファイナリストはカンファレンス中にStartup Cityシアターにおいて、審査員の前で10分間のプレゼンテーションを行い、優勝者が決定されます。
今年は以下の4社が選出されました。やはりApplication SecurityとCloud Securityが多いことが分かりますね。
Binarly - Application Security
Endor Labs - Application Security
Mobb - Application Security
Gomboc AI - Cloud Security
それぞれを簡単にご紹介しつつ、Gomboc AIについては深掘りさせていただきます!
Binarly
ファームウェアデバイスを脅威から保護するためのプラットフォームを提供しています。このプラットフォームは、ファームウェアの詳細なイントロスペクションを実行し、既知および未知の脅威と脆弱性を見つけるために、Binarly独自の機械学習とコード解析技術を使用。主にクラウドプロバイダーやデータセンター、大規模なエンタープライズ、ハードウェアメーカー向けに設計されているとのことです。また、デルなどのデバイスメーカー、コンポーネントを製造するベンダー、および環境の透明性を求める企業と連携して開発を進めています。同社は2021年に設立され、カリフォルニア州パサデナを拠点としています。
Endor Labs
コード開発におけるセキュリティ確保において、開発者がどのライブラリやコンポーネントを使用するかについて、より適切な判断を下せるようにするためのレコメンデーションエンジンを提供。CEO兼共同設立者のVarun Badhwar氏によると、「現代のソフトウェア開発の80%から90%はオープンソースコンポーネントで構成されているかもしれないが、アプリケーション自体で実際に使用されるコードはわずか12%。そのため、アプリケーションで使用されていないオープンソースライブラリの関数の脆弱性は、修正する優先順位がそれほど高くない」。同社のソリューションには、オープンソースソフトウェア(OSS)ガバナンス、脆弱性の優先順位付け、ソフトウェア部品表(SBOM)管理、サプライチェーン検出などが含まれています。同社は2021年に設立され、カリフォルニア州パロアルトを拠点としています。
Mobb
2023年のWinner。アプリケーション・セキュリティに特化したサイバーセキュリティ・プラットフォームとして、自動化されたセキュリティテストと自動化された修正サービスを提供しています。既存の検出ツールによって報告された発見に対して、自動化されたコード修正を開発者に提供することで、脆弱性を修正する手間をなくすことを目指しています。Mobbは、さまざまな静的アプリケーションセキュリティテスト(SAST)ツールからの脆弱性スキャンやレポートを受け入れ、コードのさまざまな部分に信頼度スコアを割り当てる。これらの問題を修正する方法について、ベスト・プラクティスに基づいた推奨を提供し、開発者が推奨を受け入れると、Mobbが修正を適用するといった仕組みになっています。同社は2021年に設立され、マサチューセッツ州ボストンを拠点としています。
Gomboc AIについては詳しくご紹介
惜しくも優勝することはできませんでしたが、個人的にはとても推したかったGomboc AIについて、少し深掘りしてご紹介させていただきます。
Gomboc AIは、元AWSのエンジニアだったイアン アミットさんが2022年に創立。創業者のイアンさんは、「セキュリティエンジニアがマルチクラウドの環境ですべての設定を学ぶことは不可能」だと指摘し、AIによる効率化が不可欠だと主張しています。
Gomboc AIを利用すると、『人間が実施したいこと = セキュリティ・ポリシー』を定義すると、AIがそのポリシーを適用するといった運用が実現できるようになります。例えば、セキュリテチームが、『公開しているIT資産はデータの書き込みできないができないようにしたい』といった要望(ポリシー)を自然言語で定義すると、AIエンジンがそのポリシーを適切なクラウド構成に変えるために必要なコードを特定する、といった具合になります。
Gomboc AIが興味深いのは、彼らのAIが生成的AIではなく、決定論的AI (Determistic AI) を採用しているという点です。決定論的AIは、同じ入力セットに対して常に同じ答えを出します。
クラウドの設定ミスは、特にハイブリッドクラウドやマルチクラウド環境への移行が進む中で、情報漏えいの主な原因となっています。しかし、クラウドに接続しているエンドポイントやコネクションをすべて調査・監視することは、人間だけではもはや不可能です。Gomboc AIは、この独自の決定論的AIでクラウドインフラにおける設定ミスの問題を解決できるとしています。
決定論的AIとは?
OpenAIのChatGPTやGoogleのBardのような有名なモデルを含むジェネレーティブAI (生成型AI)は、大規模なデータの集合を分析し、その構造を十分に学習して、そこからもっともらしい新しいコンテンツを組み立てる、つまり出力を生成します。一方、決定論的AIは、特定の問題が変化しないよう、特定の正しい解決策を持つように、データの特性を定義します。つまり、決定論的AIでは同じ入力が与えられれば、常に同じ出力を提供します。この特性は脆弱性に対して、ポリシーを適用する場合に非常に重要な要素だそうです。
「生成的(確率的)なAIシステムは、統計的分析に基づいてコードを生成するが、その結果、不正確だったり的外れだったり、脈絡がなかったりするコードが生成される可能性がある」とイアンさんは語っています。
「その代わりに、Gomboc AIはクラウドサービスプロバイダーのアップデートがリリースされると、それを処理する独自のインジェストエンジンを構築。そして、新しいデータをクライアントの既存のネットワークポリシーに適用し、人間が対応するためのチケットを発行するのではなく、自ら修正をプッシュする。このツールは既存のDevSecOps環境内で動作するため、承認はシンプルで追跡しやすい」とイアンさんはコメントしています2。
なお、決定論的AIを採用している他のセキュリティ企業としては、本人確認サービスのVouchedや生命科学コンプライアンス企業のLighthouse AIなどがあります。今後は決定論的AIを採用するスタートアップも増えてくるのかもしれませんね。
投資状況
Gombocの投資家は、Glilot CapitalとHetz Venturesで、どちらもサイバーに特化したイスラエルの著名なVC (ベンチャーキャピタル)です。シード・ラウンドで530万ドルを調達しています。
狙っている市場とビジネスモデル
Gomboc AIはクラウドインフラ(AWS、GCP、Azureなど)を利用するすべての組織がターゲットになるといいます。特に今後はハイブリッドクラウド、マルチクラウド導入に向けての機能拡大が見込まれているそうです。
ビジネスモデルとしては、シンプルに企業内の開発組織の規模に基づいてスケールするライセンス体系を持っています。アカウントごとの課金や、クラウド・デプロイの規模による課金はせず、これはコストを予測可能かつ公平に保つためだと説明しています3。
Gombocの由来
Gombocはゴムボックと読みます。この社名の由来となっているゴムボックとは幾何学的な立体のことで、1つは安定、もう1つは不安定な、たった2つの平衡点を持っていて、押したり転がしたりしても、常に安定した平衡点に戻りる球体のようなかたちのものを指します。
とても詳しい解説がナゾロジーさんのページ4にあったのでもしご興味があれば参照してみてください。
まとめ
今回はBlackhatカンファレンスと、カンファレンスのイベントでファイナリストに選出されたスタートアップ『Gomboc AI』についてご紹介いたしました。個人的にはITインフラの管理はIaC (Infrastrucure as Code) のようにコードによって自動的に管理されるようになるだろうと期待しているので、Gomboc AIのソリューションは大変興味深いものでした。惜しくも優勝は果てせませんでしたが、今後の発展に大いに期待したいと思っています!
最後までお読みになっていただきましてありがとうございます!励みになりますので、ぜひLikeボタン (♡) をお願いします!
参照リンク
https://www.techtarget.com/searchsecurity/definition/black-hat
https://www.darkreading.com/dr-tech/startup-spotlight-gomboc-ai-balances-cloud-infrastructure-security
https://www.darkreading.com/dr-tech/startup-spotlight-gomboc-ai-balances-cloud-infrastructure-security
https://nazology.net/archives/62745