Hush Securityはステルスモードから登場し、1,100万ドルのシード資金調達と、シークレット(秘密情報)を排除するマシンアクセスプラットフォームを発表しました。
このシード資金調達はBattery VenturesとYL Venturesが主導しています。
新しいマシンアクセスプラットフォームは、シークレットの代わりにジャストインタイムポリシーを使用します。目的は、現在過負荷となっているボールトやシークレットマネージャーに依存してシークレットを管理する必要性を排除することです。受信側のマシンが接続時にアクセスを許可するかどうかを判断し、受信側はマシンIDキーを必要としません。
過去10年間で、マシンIDの必要性と利用は急速に拡大してきました。ソフトウェアは今や異なるクラウドやオンプレミスのデータセンター間に存在しています。SaaSソリューションの急速な普及によりこの傾向は加速し、エージェント型AIの登場が問題をさらに深刻化させています。
「ソフトウェアのやり取りが発生するたびに、キーが必要になります」と、Hush SecurityのCEO兼共同創業者であるMicha Rave氏はコメントしています。「そのキーをどうやって生成するのか?誰に渡すのか?手動プロセスの責任者は誰なのか?セキュリティチーム、運用チーム、開発・エンジニアリングチームなど、さまざまなチーム間でこのプロセスが行き来します。各チームがそのプロセスに関与する必要があります。」
現在の多くは、シークレットを安全なボールトに保管することを中心に構築されていますが、ボールト自体が単一障害点となっています。Hushはボールトシステムをレガシーソリューションと呼んでおり、Gartnerが2027年までに40%の組織がシークレットに依存しないアプローチを採用すると予測していることからも、ある程度正当化されるかもしれません。
Hushのソリューションは、シークレットキーの役割をアクセスされるソフトウェアのコード内のポリシーとして定義することです。盗まれる可能性があり、実際には何も証明しない疑似的なIDであるキーを要求する代わりに、どのマシンまたはどのマシングループがサービスへのアクセスを許可されるかをポリシーで定義します。
このポリシーは、アクセスされるサービスのリスク許容度に応じて厳格にも緩やかにも設定できます。アクセスを特定のコンピュータ(例えばシリアル番号に基づく)や、特定のコンピュータまたは承認済みのコンピュータグループのみに限定することも可能です。
広告。スクロールして続きをお読みください。
条件付きにすることも可能です。「このマシンは午前8時から午後4時の間だけこのサービスにアクセスできる」とRave氏は説明します。「あのマシンは、Wiz(現在はGoogle Cloudの一部、ただしDoJの独禁法審査中)やPalo Altoのような他のサービスが、そのマシンが完全に安全であると既に伝えてくれている場合にのみ、そのサービスにアクセスできる。完全に安全でない場合は、サービスへのアクセスを許可しません。」
Hushは、既存のすべてのやり取りをマッピングし、それらをポリシーのベースラインに変換することで、このノーシークレットアプローチへの移行を支援できます。その後は、主に既存ポリシーの微調整や新しいやり取りのための新規ポリシー追加といった保守作業が中心となります。
新しいシステムではポリシーの策定と実装に手作業が必要ですが、Hushプラットフォームは、個別のキーの導入・管理に必要な労力よりも少なく、かつはるかに安全であるという信念に基づいています。例えば、認証情報ベースの脅威は認証情報自体が存在しないため過去のものとなります。「私たちは認証情報の必要性を完全に排除しました」とRave氏は述べています。
「シークレットを追いかけたりダッシュボードを監視したりしても、攻撃は止められません」と彼は続けます。「ボールトは、環境の変化が遅くAIがまだ関与していなかった時代のために作られたものです。その時代は終わりました。AIエージェント、短命なワークロード、自動化によって状況は一変し、ボールトモデルはもはや追いつけません。」
Hush Security(イスラエル・テルアビブ拠点)は、2024年にMicha Rave(CEO)、Chen Nisnkorn(CCO)、Shmulik Ladkani(CTO)、Alon Horowitz(VP R&D)によって設立されました。調達した資金はエンジニアリングの拡大とグローバルなGTM(市場展開)活動の加速に使用されます。