Machine Speed, Human Decisions
AIによる脆弱性発見がサイバーセキュリティをどう変えているか
AIによる脆弱性発見が可能となったことに伴い、高速で脆弱性対応を実施する必要があります。企業は、自社が高速で脆弱性対応できる人材・業務プロセス・技術基盤を備えているか改めて評価する必要があります。
AIは脆弱性を検出する - その速度での修正対応は可能か?
AIは脆弱性発見を根本的に変えつつあります。従来、脆弱性発見は専門知識を必要とし 長時間を要する作業でしたが、今では高度なAIモデルによって機械的に高速で実行されています。
前例のない検出速度
最先端AIモデルは、ほとんどの企業が優先順位付けするよりも速くゼロデイ脆弱性を特定できるようになりました。企業は機械的に高速で特定される脆弱性に対応する必要があります。しかしながら、本当の課題は、脆弱性が高速で特定されることではありません。AIが見つけた脆弱性に対して組織が実際に対応を進めることができるかどうかにあります。
広まりつつある影響
組織は高速で脆弱性対応が可能な体制を整える必要があります。攻撃者側もAIの活用を進めているため、この課題は今後もさらに大きくなると考えられます。
大規模組織ほど不利に
大規模な組織ではシステムが非常に複雑であり、更新が困難な旧版のソフトウェア、独自開発コード、独自の技術などの多くの問題を抱えています。修正プログラムの準備ができても、グローバル展開をする組織全体で検証やインストールを行う作業には長期にわたる時間が必要となります。
3つの変化
AIによる脆弱性発見の高速化は、以下の変化をもたらします。
- 発見の高速化: AIは重大な欠陥を短時間で発見するため、検出件数も対応スピードの要求も急激に高まっています。
- 組織の即応性: 既存の脆弱性管理プログラムは、発見件数が限られていた前提で、月次のパッチ適用や数週間を要する承認プロセスを中心に構築しているため、新しい要求に対応できません。
- 規制当局の期待: 規制当局や取締役会は、組織が何をいつ把握し、どれだけ迅速に対応したかについて、組織の対応をこれまで以上に厳しく評価するようになっています。
セキュリティチームに求められる新たな対応
AIによって脆弱性の発見が加速する時代に対応するには、人材、業務プロセス、テクノロジーを含むセキュリティ運用全体の見直しが必要です。
人材
:検出から判断へ
最高情報セキュリティ責任者 (CISO) は、検出範囲だけでなく、意思決定の速度の観点で体制を評価する必要があります。セキュリティチームには、リスクを迅速に把握、重要なリスクの選別、ビジネスへの影響の評価を行って、対応の優先順位をリーダーに効果的に伝えることができるアナリストが必要です。そのためには、人材モデル、スキルアップ、組織設計を再考する必要があります。
業務プロセス
:四半期単位の運用から継続的な対応へ
組織は、迅速な対応能力を実現するためにプロセスの圧力テストを実施する必要があります。理想的には、発見された重要事項 に対して48時間以内に許容/対処すべきリスクか判断する必要があります。そのためには、明確なエスカレーションパス、具体的なリスク許容基準、SBOM(ソフトウェア部品表)の整備、さらに調達や業務の迅速な対応だけでなく、速やかな情報開示と連携が可能な委託先との調整が必要です。
テクノロジー
:スキャン中心から統合管理へ
一番の課題は、大量に発見された脆弱性の優先順位付けを行い、実行可能な修正作業と結びつける仕組みを構築することです。そのためには、ほぼリアルタイムでの資産把握、悪用可能かどうかの検証、脅威インテリジェンスとの自動突合、運用上の制約を踏まえた修正の振り分けなどが求められます。
即応性を高める6つの備え
- 可視性とインベントリ管理: 自社が保有するソフトウェア資産について、構成要素や管理責任の所在まで含めて、全体像を正確に把握できる状態を整える。
- 修正の速度: 重大な脆弱性が見つかってから修正完了までに要する時間をできるだけ短縮し、大量かつ高速な対応に耐えられるSLAや変更管理の仕組みを構築する。
- 意思決定の速度: 重大な発見結果に対して48時間以内に判断できるよう、責任者の権限やエスカレーションパスを明確にする。
- セグメンテーションとハードニング: すぐにパッチを適用できないシステムについては、被害の広がりを抑えるために、ネットワーク分離や追加防御策などの代替的な保護措置を講じる。
- 取締役会と規制対応の準備: 組織の脆弱性に対する姿勢、改善戦略、リスクに関する意思決定を利害関係者に明確に示す
- パイプラインへの統合: AIを活用したセキュリティ評価を、継続的インテグレーション/継続的デプロイメント(CI/CD)パイプラインに組み込む。
結論
AIによる脆弱性発見の加速は、もはや将来のシナリオではありません。複数のAI開発企業やセキュリティ研究組織で実際に進行している変化です。今後こうした能力はさらに高まり、防御側だけでなく攻撃側にも広がっていきます。
人材、業務プロセス、テクノロジーの3つの観点から組織の備えを点検・強化できる組織は、この変化に対して優位な立場で対応できます。対応を先送りする組織は、増え続ける脆弱性情報や修正バックログに対して、十分な対応基盤を持たないまま規制当局による調査の増加に直面することになります。
自信を持って対応するために
AIによる脆弱性発見への移行を迅速に進めるには、サイバー運用モデルそのものを変革する必要があります。本件について、ぜひご相談ください。
