高性能AIの登場により、脆弱性発見のスピードが劇的に加速している。英NCSCは、蓄積された「技術的負債」がAIによって一気に暴かれ、かつてないパッチ適用サイクルが到来すると警告。情シス部門が考えるべきことは?
Anthropicの先端AIモデル「Claude Mythos」が、ソフトウェア脆弱性の発見でゲームチェンジャーになるか、あるいは単なる誇張に終わるかは未知数だ。しかし、英国立サイバーセキュリティセンター(NCSC)は、この分野への懸念を強めている。同機関は、膨大なコストと時間を要する技術的課題の「津波」が、あらゆる組織に押し寄せていると警告した。
NCSCのWebサイトに寄稿したオリー・ホワイトハウス最高技術責任者(CTO)は、IT業界が長期的なレジリエンス(回復力)よりも短期的な利益を優先してきたと指摘した上で、AIを活用した脆弱(ぜいじゃく)性発見技術の登場により、そのツケが表面化しようとしていると述べた。
「十分なスキルと知識を持つ個人がAIを活用すれば、テクノロジーエコシステム全体の技術的負債を、大規模かつ迅速に悪用できるようになっている」(ホワイトハウス氏)
その結果、NCSCはオープンソースや商用ソフトウェア、プロプライエタリ、SaaSなどあらゆる形態のソフトウェアで、技術的負債を解消するための「強制的な修正」が起こると予測している。
「これこそが、全ての組織に今すぐ『パッチの波』への備えを促している理由だ。新たに公開される脆弱性に対処するため、テクノロジースタック全体に大量のアップデートを適用しなければならない事態が迫っている」とホワイトハウス氏は強調した。
最高情報セキュリティ責任者(CISO)やセキュリティリーダーはこの大きな変化にどう対処すべきか、NCSCは3つの柱を中心とした指針を公開している。
第一の柱は、攻撃対象領域(アタックサーフェス)の優先だ。セキュリティチームは、インターネットに公開されている攻撃対象を早急に特定しなければならない。ネットワーク境界にある技術から着手し、クラウドインスタンスを経てオンプレミス環境へと、内側に向かって確認を進めるのがよいだろう。
環境全体にアップデートを適用できない場合、外部攻撃対象への対処を優先させる。さらに、外部境界を超えて対応可能なリソースがある場合は、重要なセキュリティシステムのパッチ適用を優先すべきだ。
ただし、パッチ適用だけで十分とは限らない点に注意が必要だ。サポートが終了したレガシーシステムには、パッチを適用できない技術的負債が残っている可能性が極めて高い。これらをサポート対象内に戻せない場合は、リプレースを検討すべきである。
第二の柱はパッチ管理である。組織は、サプライチェーンを含めた重要ソフトウェアのアップデートを、より迅速、頻繁、かつ大規模に配布する計画を立てるべきだ。NCSCは、深刻度の異なる修正が次々と押し寄せ、その多くがクリティカルなものになると予測している。
同機関は、ベンダーが提供する自動の「ホットパッチ」機能の有効化を推奨している。サービスを停止せずに安全に適用できる機能を利用すれば、セキュリティチームの負荷軽減にもつながる。
自動パッチが利用できない場合、セキュリティリーダーは頻繁かつ大規模な更新を支えるプロセスを構築しなければならない。その際、業務停止による影響とのトレードオフを許容するリスク判断も求められる。優先順位の決定には、SSVC(ステークホルダー固有の脆弱性分類)のようなリスクベースの手法が有効だ。
当然ながら、これは脆弱性がまだ悪用されていないことが前提となる。既にゼロデイ攻撃が行われている場合、特に外部公開システムに影響するものは、予定を前倒して更新する必要がある。
第三の柱は、単なるソフトウェア更新を超えた取り組みとなる。パッチ適用だけでは、大多数の組織が直面している構造的なサイバーセキュリティの問題は解決できない。
NCSCはテクノロジー企業に、メモリ安全性の確保やコンテインメント(封じ込め)技術の活用により、構造的な技術的負債を最小限に抑えるようあらためて求めている。
ユーザー組織のCISOは、サイバーセキュリティの基本を重視し続けるべきだ。脆弱な製品やその他の要因にかかわらず、レジリエンスを高めて侵害時の影響を抑える必要がある。具体的な手法としては、Cyber Essentials認証の取得や、重要サービス事業者向けの「サイバー評価フレームワーク(CAF)」の活用が挙げられる。
「組織の規模を問わず、パッチの波に備えた計画を立てるべきだ。まずはNCSCが更新した脆弱性管理ガイドを確認することから始めてほしい」とホワイトハウス氏は述べた。
Menlo Security(メンローセキュリティ)のチーフセキュリティアーキテクトであるライオネル・リッティ氏は、今回のNCSCの更新は時宜にかなったものだと評価する。外部攻撃表面の優先と、侵害の影響を抑えるコンテインメント技術の重要性を説いているからだ。
「多くのユーザーにとって、外部攻撃表面の大部分はブラウザにある。実際、Mozillaは先週、Firefoxブラウザの脆弱性271件を修正したと発表した。これらはAnthropicの最新モデル『Claude Mythos』によって発見されたものだ。旧モデルのClaudeが発見した22件から大幅に増加している」とリッティ氏は指摘した。
同氏は、ブラウザの迅速なアップデートとともに、根本的なリスク低減が必要だと説く。「リモートブラウザ隔離(RBI)のような技術を使えば、攻撃表面をユーザー端末から引き離せる。パッチ適用前に脆弱性にさらされたとしても、被害を最小限に抑えることが可能だ」と付け加えた。
Copyright © ITmedia, Inc. All Rights Reserved.
27年前のバグをAIが暴いた日 「Claude Mythos」が起こすサイバー防衛の地殻変動
Claude Mythosで激変するセキュリティの新ルール 勝敗を決めるのは「修復のスピード」
AIで巧妙化するサイバー攻撃 情シスが向き合うべきAI時代の国家級リスク
情シスを追い詰める「ガバナンスなきAI導入」の代償とは?
Claude Mythos Previewは誰が使える? "攻撃もできるAI"を巡る静かな争奪戦
瞬時にM365が乗っ取られる――全社員に周知すべき“新フィッシング”の教訓
MFA(多要素認証)を入れたから安心という常識が崩れ去っている。フィッシング集団「Tycoon2FA」が摘発されたが、脅威が完全になくなったというわけではない。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
