OriはTeramindのCRO(最高収益責任者)として、AI、データ駆動型GTM戦略、オペレーショナル・エクセレンスを通じて企業の安全な事業拡大を支援している。
最近、私のセキュリティチームはデータ侵害を未然に防いだ。誰かがデータを盗んでいるのを捕まえたのではない。実際に試みる数日前に、その人物が試みるだろうと予測したのだ。これは幸運ではなかった。我々にはより強力なものがあった。リスクを予測する行動AI(人工知能)だ。
これが次世代のセキュリティであり、すでに実現している。
行動予測は実際にどう機能するのか
明確にしておこう。我々は心を読んでいるわけではない。パターンを読んでいるのだ。
組織は毎日、何百万もの行動データポイントを生成している。すべてのファイルアクセス、電子メール、使用されるアプリケーションが、人々の働き方のデジタル指紋を作り出す。AIはこれらのパターンを、人間には到底真似できない方法で分析できる。そして過去の内部脅威インシデントで訓練されると、悪意ある行動に先行する要因の組み合わせを認識することを学習する。
我々のチームは長年の研究とデータを通じて独自のAIモデルを訓練してきた。予測型セキュリティにとって最も重要なのは以下の点だと学んだ。
• アクセスパターンと感情の変化:通常はマーケティングファイルを扱っている人物が突然、エンジニアリングのリポジトリを探索し始める。人事システムに触れたことのない経理担当者が人事記録にアクセスし始める。自然言語処理が、ネガティブな感情の増加、関与の低下、フラストレーションの表現を検出する。単独では、これらは無害な行動だ。しかし組み合わさると、パターンを形成する。
• ライフイベント指標:解雇通知、経済的ストレス、転職活動は、内部脅威リスクを劇的に高める。その人々が悪いからではなく、追い詰められるからだ。AIはシグナルを検出する。LinkedIn(リンクトイン)の活動が急増し、外部との会議が増え、履歴書の更新がファイルシステムに現れる。
• ネットワーク異常:外部の連絡先や競合他社とのコミュニケーションの増加に気づく。コラボレーションパターンがチーム重視から孤立型へとシフトする。「心ここにあらず」の状態の人物は、退職時に自分が受け取るべきだと信じているものを持ち出す可能性が高い。
実際の事例
我々が防いだ侵害について共有しよう。エンジニアのアレックス(仮名)は、8年間在籍していた。優秀な実績者だ。警告サインはなかった。その後、我々のAIシステムが彼をエスカレートするリスクスコアでフラグ付けした。
我々のAIはパターンを検出した。アレックスは、これまで携わったことのないコードリポジトリを探索し始めた。感情分析は、関与の低下、短い電子メール、会議の減少、応答性の低下を示した。外部との予定や「多忙」のカレンダー招待が現れた。彼のリスクスコアは12(ベースラインの低)から78(上昇)へと上がった。AIは警告していた。「この人物は退職の準備をしており、何かを持ち出す態勢を整えている」と。
従来型のソリューションであれば、彼が実際にコードをダウンロードしたり、ファイルを外部に電子メールで送信したりするのを待っていただろう。その時点では、損害は発生している。行動予測は我々に別の選択肢を与えた。
我々はアレックスと対決したり、犯罪者のように扱ったりしなかった。代わりに、人事部が彼のキャリア満足度と成長機会について会話するために連絡を取った。判明したのは、アレックスが停滞感を感じていたことだ。彼は3年間同じ役職にあり、より技術的なリーダーシップの機会を望んでおり、退職が唯一の選択肢だと考えていた。彼は積極的に面接を受けており、「ポートフォリオ」用にコードサンプルを持ち出す計画だった。カウンターオファーが提示された。シニアアーキテクトへの昇進、責任の拡大、プリンシパルエンジニアへの道筋だ。彼は受け入れた。
さらに重要なのは、過ちを犯そうとしていた有能な従業員を維持できたことだ。
事後対応型から事前対応型セキュリティへのシフト
これが、今まさにセキュリティで起きている根本的な変革だ。従来のセキュリティは事後対応型である。何か悪いことが起こるのを待ち、検知し、対応し、損害を処理する。予測型セキュリティは事前対応型である。リスクが顕在化する前に特定し、早期に介入し、根本原因に対処し、インシデントを完全に防ぐ。これは症状を治療することと病気を予防することの違いだ。
事後対応型セキュリティの会話はこうだ。「従業員がデータを持ち出そうとした。我々はそれをブロックした。今、彼らが誰に売却する予定だったかを調査している」。予測型セキュリティの会話はこうだ。「我々は内部脅威リスクスコアが上昇している3人の従業員を特定した。2人は良性の可能性が高い。3人目は懸念されるパターンを示している。我々は人事部による働きかけを推奨し、彼らの状況を理解し、根本的な問題に対処する」。
事後対応型の状況では、会話は脅威の後に起こる。事前対応型の例では、会話は脅威の前に行われる機会がある。
不快な倫理的問題
ここでの複雑さを認めなければ、不誠実だろう。人間の行動を予測し、その予測に基づいて行動することは、深遠な問題を提起する。
我々は人々がまだ行っていないことに対して罰を与えているのだろうか。正しく扱えば、そうではないと思う。予測は起訴ではない。介入の機会だ。目標は予測された意図を罰することではなく、根本原因に対処することで望ましくない結果を防ぐことだ。
我々がアレックスをフラグ付けしたとき、彼は解雇されたり、アクセスを制限されたりしなかった。我々は会話を始めた。それが予測の倫理的使用だ。人々が過ちを犯す前に助ける機会を創出することだ。
従業員は行動監視が存在することを知るべきだ。すべてのリスク予測には明確な理由が伴うべきだ。AIは特定し、人間が決定すべきだ。そして介入はサポート優先であるべきだ。予測を罰する機会ではなく、助ける機会として扱うのだ。
どのAIモデルもバイアスをコード化する可能性がある。これには絶え間ない警戒が必要だ。バイアスの定期的な監査、多様な訓練データ、誰かがフラグ付けされた理由を示す説明可能なAI、すべての高リスク予測に対する人間の監視だ。予測型セキュリティを予測型差別にしてはならない。
厳しい真実
行動予測は機能する。技術は成熟している。ROI(投資収益率)は証明されている。しかし勇気が必要だ。信頼している従業員の一部が脅威になる可能性があることを認める勇気。単なる対応ではなく予防に投資する勇気。完璧な答えのない複雑な倫理的問題を乗り越える勇気だ。
ほとんどの組織は躊躇するだろう。彼らは検知ベースのセキュリティに固執する。なぜなら馴染みがあり、組織的変革をそれほど必要としないからだ。それは彼らに代償を払わせることになる。
セキュリティの未来は予測だ。トレンディだからではなく、機能するからであり、脅威の状況がそれを要求しているからだ。内部脅威は増加している。データはかつてないほど価値があり、持ち運び可能だ。従来の境界は存在しない。そして最も信頼している従業員が、時に最も危険になり得る。
検知ベースのセキュリティは常に答えの一部であり続けるだろう。しかしもはや完全な答えにはなり得ない。脅威を検知する頃には、損害はしばしば発生している。予測はこれまで持っていなかったものを与える。時間だ。介入する時間。根本原因に対処する時間。インシデントを完全に防ぐ時間だ。我々のケースでは、潜在的に壊滅的なデータ侵害から14日間を節約した。事前警告はあなたをどう救うだろうか。
セキュリティの未来は来るだけではない。ここにある。そして次に何が起こるかを予測している。
