概要キャンティーナのGTMリードであるシャロン・イデグチは、攻撃者の焦点がコードから人々へと移行していることについて議論し、急速に進化する業界で企業を保護するための新しいセキュリティフレームワークの必要性を強調しています。ハッカーはもはやコードだけをターゲットにしているのではなく、人々を狙っています。このインタビューでは、Cantina (Spearbit)のGTMリーダーであるシャロン・イデグチが、従来のサイバーセキュリティからWeb3への道のりを振り返り、攻撃者がどのように焦点を移しているのかを解説し、彼女のチームが業界の進化がこれまで以上に速い中で企業を保護するために新しいセキュリティフレームワークを構築している理由を説明します。**あなたのWeb3への旅を共有していただけますか?**私の名前はシャロン・イデグチです。私はカンティーナで販売戦略の側面に携わっています。私は、エンタープライズレベルの顧客、先進技術、そして機関および従来の金融セクターにおけるクライアントのためにカスタム製品提供を作成することに重点を置いています。私の仕事は完全にセキュリティに集中しています。これまでのキャリアはサイバーセキュリティにあり、主にWeb2でのものです。私は従来のサイバーセキュリティの役割に多くの年を費やし、CrowdStrikeや他の日常的なセキュリティオペレーションに似た分野で働いてきました。時が経つにつれて、市場が急速にWeb3にシフトしているのを目にし、それを技術の未来として認識しました。伝統的なWeb2のバックグラウンドを超えてサイバーセキュリティがどのようなものであるかを探求したいと思いました。その決断が私をCantinaに導き、それ以来Web3セキュリティの分野で働いています。**Cantinaと専属で仕事をすることの主な利点は何ですか?**私たちが約4年前にCantinaを設立したとき、私たちは世界最高のセキュリティタレントにセキュリティプロジェクトに取り組むよう奨励することに焦点を当てました。私たちは、この分野の多くの高度なスキルを持つ研究者がセキュリティに取り組んでいないことに気づきました。それはしばしば、彼らが自律性を欠き、有意義なプロジェクトを選ぶ能力やプロトコルに深く貢献する能力を持っていなかったためです。私たちは研究者にその自律性を与えるモデルを構築し、それは成功しました。現在、私たちのネットワークには、すべてのコーディング言語、チェーン、エコシステム、およびニッチな専門知識にわたる才能が含まれています。クライアントがセキュリティのリクエストを持って私たちに来ると、単に資格のある人を見つけるだけではなく、その仕事に最適な人を世界中から見つけます。それがスマートコントラクト監査であれ、バグバウンティであれ、運用セキュリティであれ、インシデントレスポンスであれ、Web2テストであれ。**あなたはWeb2のセキュリティでも働いていました。Web3に特有な重要なトレンドや物語は何ですか?**Web3の大きな違いの一つは、その永久的な性質と仲介者の不在です。Web2では、リスクを軽減したり損失を回収したりするために、しばしば第三者が存在します。しかしWeb3では、資金が盗まれた場合、それは通常失われます。マルチシグ保護や取引の一時停止などの適切なセキュリティ対策がなければ、回収はほぼ不可能です。別の重要な要因は、Web3の構造が物理的なセキュリティ脅威に対するインセンティブを生み出すことです。攻撃者は直接的に人員を標的にする可能性があり、これはWeb2ではあまり一般的ではありません。これにより、チームを保護するなどの運用セキュリティ慣行がWeb3では不可欠となります。**あなたのセキュリティ戦略の成功を時間の経過に伴って測るために使用する指標は何ですか?**最も明白な指標は、私たちのサービスを受けた後に顧客が攻撃を受けるかどうかです。それに加えて、改善されたセキュリティの姿勢が資金調達の機会、パートナーシップ、全体的な成長にどのように影響するかを測定します。強力なセキュリティが企業の財務パフォーマンス、ユーザーの信頼、長期的な成功にどのように貢献するかを全体的に見ています。**非技術系のリーダーシップチームに高度なセキュリティリスクについてどのように教育しますか?**私はストーリーテリングと実際の例を使います。例えば、私はリーダーシップチームに有名なハッキング事件を通じて説明するかもしれません:その会社がどのようなセキュリティ対策を講じていたか、何が不足していたか、そしてその後の影響。リーダーシップチームは技術的な詳細にはあまり興味がなく、データや顧客の資金を失う可能性や、評判の損傷についてより関心を持っています。セキュリティリスクを具体的な結果の観点から提示することで、彼らはなぜセキュリティへの投資が重要であるかを理解するのに役立ちます。**スマートコントラクトにおいて、チームがまだ過小評価している新たな攻撃ベクトルは何ですか?**Web3が始まって以来、ほとんどのセキュリティ予算はスマートコントラクトに費やされています。チームは監査、コンペティション、バグバウンティ、ピアレビューに何百万ドルも使っています。攻撃者はこれを知っており、Web2コンポーネントや運用上の脆弱性など、保護が不十分な領域に焦点を移しています。最近の多くの攻撃はスマートコントラクトの外部から発生しました。私たちは、運用セキュリティ、24時間365日のインシデント対応、管理されたSOCチームなどのサービスを通じて、この不均衡に対処するチームを支援しています。これにより、組織全体の攻撃面をカバーします。**AIや自動化は、カンティーナのレビューの一部を置き換えることができるのでしょうか、それとも人間の専門知識は置き換えられないのでしょうか?**それは確かにハイブリッドアプローチです。私たちはすでに、競争プラットフォームのスパム除去やピアレビューにコンテキストを追加するなどのタスクにAIを広く使用しています。AIは既知の脆弱性やパターンを特定するのに優れており、初期レビュープロセスを加速します。しかし、攻撃者も創造的であり、ますます自らAIを使用しています。AIが人間よりも賢く、独創的になるまでは、新しい脅威に対抗するために常に人間の専門知識が必要です。未来はAIの支援と熟練した研究者の組み合わせです。**伝統的な監査を超えた専門的な評価を作成するインスピレーションは何でしたか?**私たちは、クライアントのニーズに応えるためにWeb3 SOCフレームワークを開発しました。資産運用会社やVCファームから、Web3企業に対するデューデリジェンスを実施し、セキュリティリスクと財務リスクの両方を評価するよう求められました。私たちは、Web3特有のリスクを定量化する標準化された方法がないことに気付きました。SOC 2やISOのような従来のコンプライアンスフレームワークは、Web3ネイティブな脅威をカバーしていません。そのため、Web3企業が資金を確保し、パートナーシップを構築するのを助ける新しい標準を作成しました。同時に、従来の金融機関がWeb3と安全に関わる方法を理解するのを支援しています。このフレームワークは、業界の大手企業のいくつかとのコラボレーションとなっています。世界中の伝統的な金融および資産管理者から注目を集めています。**現在、どのような革新的なセキュリティ手法を試していますか?**AIは大きな焦点です。私たちは、数年にわたるバグデータを使用して、コード分析を改善し、セキュリティレビューをより迅速かつコスト効率よくするAIツールを構築しています。また、バグバウンティのトリアージを強化し、それが効率的で実行可能であることを確保しています。私たちのサービスの多くは、バグ報奨金やWeb3 SOCフレームワークのように、顧客のニーズから直接生まれています。今日、私たちはAI駆動のコード分析を、セキュリティプロセスをより効率的で効果的にするための次のステップと見ています。**Cantinaのロードマップを共有していただけますか?今後の機能はありますか?**私たちの最新プログラムは、24時間年中無休のインシデント対応を伴う運用セキュリティです。従来の金融では長い間SOCチームとモニタリングツールに依存してきましたが、Web3は遅れをとっています。私たちは、元Coinbaseの脅威インテリジェンスの専門家と共に、Web2、Web3、物理的およびデジタル資産全体で攻撃面を包括的に評価するプログラムを構築しました。それが整ったら、私たちは訓練を受けたアナリストがHypernative、Blockaid、Guardrails、HexaGateなどのツールを24時間体制で監視し、リアルタイムで脅威に対処できるようにするマネージドSOCサービスを提供します。このプログラムはすでに大きな注目を集めており、次はチームが最初から安全に構築できるようにするためのAI駆動のコード分析ツールを立ち上げることに注力しています。**最後に、Web3スタートアップに対して、初日からロードマップにセキュリティを組み込むためのアドバイスは何ですか?**早期にセキュリティについて考え始めましょう。監査フェーズまで待つチームは、しばしば遅延や追加の監査に直面し、時には製品全体を再設計する必要が生じます。最初からセキュリティに投資することで、時間とお金を節約できます。AIを活用したコード分析、第三者によるピアレビュー、そして当社のセキュリティレビュー準備チェックリストのようなリソースを活用することをお勧めします。定期的に外部の視点を招くことで、脆弱性を早期に特定するのに役立ちます。コードの外側では、スタートアップはWeb2とWeb3の両方の攻撃面全体を評価する必要があります。私たちは、リスクに積極的に対処するために、すべての段階の企業向けにサービスを提供しています。初期にセキュリティファーストの文化を築くことが、長期的な成功への道を開きます。
カンティーナによるデジタル資産エコシステムのセキュリティ確保
概要
キャンティーナのGTMリードであるシャロン・イデグチは、攻撃者の焦点がコードから人々へと移行していることについて議論し、急速に進化する業界で企業を保護するための新しいセキュリティフレームワークの必要性を強調しています。
ハッカーはもはやコードだけをターゲットにしているのではなく、人々を狙っています。このインタビューでは、Cantina (Spearbit)のGTMリーダーであるシャロン・イデグチが、従来のサイバーセキュリティからWeb3への道のりを振り返り、攻撃者がどのように焦点を移しているのかを解説し、彼女のチームが業界の進化がこれまで以上に速い中で企業を保護するために新しいセキュリティフレームワークを構築している理由を説明します。
あなたのWeb3への旅を共有していただけますか?
私の名前はシャロン・イデグチです。私はカンティーナで販売戦略の側面に携わっています。私は、エンタープライズレベルの顧客、先進技術、そして機関および従来の金融セクターにおけるクライアントのためにカスタム製品提供を作成することに重点を置いています。私の仕事は完全にセキュリティに集中しています。これまでのキャリアはサイバーセキュリティにあり、主にWeb2でのものです。私は従来のサイバーセキュリティの役割に多くの年を費やし、CrowdStrikeや他の日常的なセキュリティオペレーションに似た分野で働いてきました。
時が経つにつれて、市場が急速にWeb3にシフトしているのを目にし、それを技術の未来として認識しました。伝統的なWeb2のバックグラウンドを超えてサイバーセキュリティがどのようなものであるかを探求したいと思いました。その決断が私をCantinaに導き、それ以来Web3セキュリティの分野で働いています。
Cantinaと専属で仕事をすることの主な利点は何ですか?
私たちが約4年前にCantinaを設立したとき、私たちは世界最高のセキュリティタレントにセキュリティプロジェクトに取り組むよう奨励することに焦点を当てました。私たちは、この分野の多くの高度なスキルを持つ研究者がセキュリティに取り組んでいないことに気づきました。それはしばしば、彼らが自律性を欠き、有意義なプロジェクトを選ぶ能力やプロトコルに深く貢献する能力を持っていなかったためです。
私たちは研究者にその自律性を与えるモデルを構築し、それは成功しました。現在、私たちのネットワークには、すべてのコーディング言語、チェーン、エコシステム、およびニッチな専門知識にわたる才能が含まれています。クライアントがセキュリティのリクエストを持って私たちに来ると、単に資格のある人を見つけるだけではなく、その仕事に最適な人を世界中から見つけます。それがスマートコントラクト監査であれ、バグバウンティであれ、運用セキュリティであれ、インシデントレスポンスであれ、Web2テストであれ。
あなたはWeb2のセキュリティでも働いていました。Web3に特有な重要なトレンドや物語は何ですか?
Web3の大きな違いの一つは、その永久的な性質と仲介者の不在です。Web2では、リスクを軽減したり損失を回収したりするために、しばしば第三者が存在します。しかしWeb3では、資金が盗まれた場合、それは通常失われます。マルチシグ保護や取引の一時停止などの適切なセキュリティ対策がなければ、回収はほぼ不可能です。
別の重要な要因は、Web3の構造が物理的なセキュリティ脅威に対するインセンティブを生み出すことです。攻撃者は直接的に人員を標的にする可能性があり、これはWeb2ではあまり一般的ではありません。これにより、チームを保護するなどの運用セキュリティ慣行がWeb3では不可欠となります。
あなたのセキュリティ戦略の成功を時間の経過に伴って測るために使用する指標は何ですか?
最も明白な指標は、私たちのサービスを受けた後に顧客が攻撃を受けるかどうかです。それに加えて、改善されたセキュリティの姿勢が資金調達の機会、パートナーシップ、全体的な成長にどのように影響するかを測定します。強力なセキュリティが企業の財務パフォーマンス、ユーザーの信頼、長期的な成功にどのように貢献するかを全体的に見ています。
非技術系のリーダーシップチームに高度なセキュリティリスクについてどのように教育しますか?
私はストーリーテリングと実際の例を使います。例えば、私はリーダーシップチームに有名なハッキング事件を通じて説明するかもしれません:その会社がどのようなセキュリティ対策を講じていたか、何が不足していたか、そしてその後の影響。リーダーシップチームは技術的な詳細にはあまり興味がなく、データや顧客の資金を失う可能性や、評判の損傷についてより関心を持っています。セキュリティリスクを具体的な結果の観点から提示することで、彼らはなぜセキュリティへの投資が重要であるかを理解するのに役立ちます。
スマートコントラクトにおいて、チームがまだ過小評価している新たな攻撃ベクトルは何ですか?
Web3が始まって以来、ほとんどのセキュリティ予算はスマートコントラクトに費やされています。チームは監査、コンペティション、バグバウンティ、ピアレビューに何百万ドルも使っています。攻撃者はこれを知っており、Web2コンポーネントや運用上の脆弱性など、保護が不十分な領域に焦点を移しています。最近の多くの攻撃はスマートコントラクトの外部から発生しました。
私たちは、運用セキュリティ、24時間365日のインシデント対応、管理されたSOCチームなどのサービスを通じて、この不均衡に対処するチームを支援しています。これにより、組織全体の攻撃面をカバーします。
AIや自動化は、カンティーナのレビューの一部を置き換えることができるのでしょうか、それとも人間の専門知識は置き換えられないのでしょうか?
それは確かにハイブリッドアプローチです。私たちはすでに、競争プラットフォームのスパム除去やピアレビューにコンテキストを追加するなどのタスクにAIを広く使用しています。AIは既知の脆弱性やパターンを特定するのに優れており、初期レビュープロセスを加速します。
しかし、攻撃者も創造的であり、ますます自らAIを使用しています。AIが人間よりも賢く、独創的になるまでは、新しい脅威に対抗するために常に人間の専門知識が必要です。未来はAIの支援と熟練した研究者の組み合わせです。
伝統的な監査を超えた専門的な評価を作成するインスピレーションは何でしたか?
私たちは、クライアントのニーズに応えるためにWeb3 SOCフレームワークを開発しました。資産運用会社やVCファームから、Web3企業に対するデューデリジェンスを実施し、セキュリティリスクと財務リスクの両方を評価するよう求められました。
私たちは、Web3特有のリスクを定量化する標準化された方法がないことに気付きました。SOC 2やISOのような従来のコンプライアンスフレームワークは、Web3ネイティブな脅威をカバーしていません。そのため、Web3企業が資金を確保し、パートナーシップを構築するのを助ける新しい標準を作成しました。同時に、従来の金融機関がWeb3と安全に関わる方法を理解するのを支援しています。
このフレームワークは、業界の大手企業のいくつかとのコラボレーションとなっています。世界中の伝統的な金融および資産管理者から注目を集めています。
**現在、どのような革新的なセキュリティ手法を試していますか?**AIは大きな焦点です。私たちは、数年にわたるバグデータを使用して、コード分析を改善し、セキュリティレビューをより迅速かつコスト効率よくするAIツールを構築しています。また、バグバウンティのトリアージを強化し、それが効率的で実行可能であることを確保しています。
私たちのサービスの多くは、バグ報奨金やWeb3 SOCフレームワークのように、顧客のニーズから直接生まれています。今日、私たちはAI駆動のコード分析を、セキュリティプロセスをより効率的で効果的にするための次のステップと見ています。
Cantinaのロードマップを共有していただけますか?今後の機能はありますか?
私たちの最新プログラムは、24時間年中無休のインシデント対応を伴う運用セキュリティです。従来の金融では長い間SOCチームとモニタリングツールに依存してきましたが、Web3は遅れをとっています。
私たちは、元Coinbaseの脅威インテリジェンスの専門家と共に、Web2、Web3、物理的およびデジタル資産全体で攻撃面を包括的に評価するプログラムを構築しました。それが整ったら、私たちは訓練を受けたアナリストがHypernative、Blockaid、Guardrails、HexaGateなどのツールを24時間体制で監視し、リアルタイムで脅威に対処できるようにするマネージドSOCサービスを提供します。
このプログラムはすでに大きな注目を集めており、次はチームが最初から安全に構築できるようにするためのAI駆動のコード分析ツールを立ち上げることに注力しています。
最後に、Web3スタートアップに対して、初日からロードマップにセキュリティを組み込むためのアドバイスは何ですか?
早期にセキュリティについて考え始めましょう。監査フェーズまで待つチームは、しばしば遅延や追加の監査に直面し、時には製品全体を再設計する必要が生じます。最初からセキュリティに投資することで、時間とお金を節約できます。
AIを活用したコード分析、第三者によるピアレビュー、そして当社のセキュリティレビュー準備チェックリストのようなリソースを活用することをお勧めします。定期的に外部の視点を招くことで、脆弱性を早期に特定するのに役立ちます。
コードの外側では、スタートアップはWeb2とWeb3の両方の攻撃面全体を評価する必要があります。私たちは、リスクに積極的に対処するために、すべての段階の企業向けにサービスを提供しています。初期にセキュリティファーストの文化を築くことが、長期的な成功への道を開きます。