攻撃者はもはやドアをノックしません。企業がもはや管理しきれなくなった「鍵」を悪用するのです。Offroadはその制御を取り戻すことを目指しています。
ニューヨークとテルアビブに拠点を置くOffroadは、Ibex InvestorsとSkywell Capitalが主導する700万ドルのシード資金を調達し、ステルスモードから表舞台に登場しました。Offroadは、組織がアイデンティティの「可視化」から「解決」へと移行するのを支援します。アイデンティティリスクの調査、ガバナンス、修正、検証を実現するとしています。
同社はエージェント型AIを活用して問題を発見・調査します。断片化された複数のシステムからコンテキストを収集し、ループ内の人間に詳細を報告するか、安全な範囲で自律的に修正を行います。
同社は2025年5月、CEO Dan BendlerとCTO Philip Shteyn(元イスラエル軍諜報機関・8200部隊のキャプテン)によって共同設立されました。
「企業は現在、人間のユーザー、マシンアイデンティティ、AIエージェントが絶え間なく変化する組み合わせの中で運営されています」とBendlerは説明します。「アイデンティティリスクを理解し解決するために必要なコンテキストは数十ものシステムとワークフローに分散している一方、セキュリティチームは依然として手動で問題を調査・修正することを求められています。そのモデルはますます維持が困難になっています。」
Shteynはこう付け加えます。「ほとんどのアイデンティティシステムは、もはや成立しない前提のもとに設計されていました。AIエージェントはあらゆる時間帯に、人間には不可能なスケールでシステム全体にわたって動作するため、従来の行動ベースラインは信頼性が大幅に低下しています。セキュリティチームには、単に新たな検出結果を生成するだけでなく、アイデンティティの活動を継続的に調査・推論できるシステムが必要です。」
アイデンティティの問題は今後さらに深刻化するでしょう。組織内のアイデンティティ、システム、ワークフロー、自律エージェントの数は増え続けます。現状の問題を示す取り組みとして、Offroadはサイトから入手可能な詳細な監査レポートを作成・公開しました。Google Workspace MarketplaceとGitHub Marketplace上に存在する2,890件のパブリックOAuthアプリケーションを対象にしたものです。
この監査では、918件のアプリ(32%)が少なくとも1つの構造的な露出シグナルを持つことが判明しました。アプリの機能を超えた過剰なスコープ、書き込みアクセス権を持つAI、脅威インテリジェンスフラグ、廃止されたパブリッシャーサイト、購入可能または保留中のパブリッシャードメイン、第三者が公開したブランド名を模したアプリ名などが挙げられています。
このレポートと合わせて、Offroadはohauth.aiもローンチしました。「過剰な権限スコープ、廃止されたパブリッシャードメイン、サイレントなパーミッションドリフトを持つOAuthアプリのコミュニティカタログ」と位置づけられています。
同社は、アイデンティティリスクの一部はリアルタイムで顕在化すると警告しています。アイデンティティが不正な動作を示す場合です。一方で、目的を超えて残り続ける権限、役割変更後も維持されるアクセス権、誰も正当化できない権限を持つサードパーティアプリ、過剰な権力を持つマシン、システム横断で動作するAIエージェントといった形で、時間をかけて静かに蓄積されていくリスクもあります。
Offroadのソリューションは、独自の自律エージェントを活用して問題を発見し、問題の理解に必要なコンテキストを収集したうえで修正を実施するというものです。
