「パッチのビッグウェーブがやってくる」 AI悪用で崩壊する脆弱性管理の常識:英NCSCが警告
高性能AIの登場により、脆弱性発見のスピードが劇的に加速している。英NCSCは、蓄積された「技術的負債」がAIによって一気に暴かれ、かつてないパッチ適用サイクルが到来すると警告。情シス部門が考えるべきことは?
Anthropicの先端AIモデル「Claude Mythos」が、ソフトウェア脆弱性の発見でゲームチェンジャーになるか、あるいは単なる誇張に終わるかは未知数だ。しかし、英国立サイバーセキュリティセンター(NCSC)は、この分野への懸念を強めている。同機関は、膨大なコストと時間を要する技術的課題の「津波」が、あらゆる組織に押し寄せていると警告した。
NCSCのWebサイトに寄稿したオリー・ホワイトハウス最高技術責任者(CTO)は、IT業界が長期的なレジリエンス(回復力)よりも短期的な利益を優先してきたと指摘した上で、AIを活用した脆弱(ぜいじゃく)性発見技術の登場により、そのツケが表面化しようとしていると述べた。
「十分なスキルと知識を持つ個人がAIを活用すれば、テクノロジーエコシステム全体の技術的負債を、大規模かつ迅速に悪用できるようになっている」(ホワイトハウス氏)
その結果、NCSCはオープンソースや商用ソフトウェア、プロプライエタリ、SaaSなどあらゆる形態のソフトウェアで、技術的負債を解消するための「強制的な修正」が起こると予測している。
「これこそが、全ての組織に今すぐ『パッチの波』への備えを促している理由だ。新たに公開される脆弱性に対処するため、テクノロジースタック全体に大量のアップデートを適用しなければならない事態が迫っている」とホワイトハウス氏は強調した。
最高情報セキュリティ責任者(CISO)やセキュリティリーダーはこの大きな変化にどう対処すべきか、NCSCは3つの柱を中心とした指針を公開している。
アタックサーフェスの優先順位付け
「AIとサイバーセキュリティ」に関する編集部お薦め記事
第一の柱は、攻撃対象領域(アタックサーフェス)の優先だ。セキュリティチームは、インターネットに公開されている攻撃対象を早急に特定しなければならない。ネットワーク境界にある技術から着手し、クラウドインスタンスを経てオンプレミス環境へと、内側に向かって確認を進めるのがよいだろう。
環境全体にアップデートを適用できない場合、外部攻撃対象への対処を優先させる。さらに、外部境界を超えて対応可能なリソースがある場合は、重要なセキュリティシステムのパッチ適用を優先すべきだ。
ただし、パッチ適用だけで十分とは限らない点に注意が必要だ。サポートが終了したレガシーシステムには、パッチを適用できない技術的負債が残っている可能性が極めて高い。これらをサポート対象内に戻せない場合は、リプレースを検討すべきである。
迅速かつ定期的なパッチ適用の準備
第二の柱はパッチ管理である。組織は、サプライチェーンを含めた重要ソフトウェアのアップデートを、より迅速、頻繁、かつ大規模に配布する計画を立てるべきだ。NCSCは、深刻度の異なる修正が次々と押し寄せ、その多くがクリティカルなものになると予測している。
同機関は、ベンダーが提供する自動の「ホットパッチ」機能の有効化を推奨している。サービスを停止せずに安全に適用できる機能を利用すれば、セキュリティチームの負荷軽減にもつながる。
自動パッチが利用できない場合、セキュリティリーダーは頻繁かつ大規模な更新を支えるプロセスを構築しなければならない。その際、業務停止による影響とのトレードオフを許容するリスク判断も求められる。優先順位の決定には、SSVC(ステークホルダー固有の脆弱性分類)のようなリスクベースの手法が有効だ。
当然ながら、これは脆弱性がまだ悪用されていないことが前提となる。既にゼロデイ攻撃が行われている場合、特に外部公開システムに影響するものは、予定を前倒して更新する必要がある。
基本の徹底
第三の柱は、単なるソフトウェア更新を超えた取り組みとなる。パッチ適用だけでは、大多数の組織が直面している構造的なサイバーセキュリティの問題は解決できない。
NCSCはテクノロジー企業に、メモリ安全性の確保やコンテインメント(封じ込め)技術の活用により、構造的な技術的負債を最小限に抑えるようあらためて求めている。
ユーザー組織のCISOは、サイバーセキュリティの基本を重視し続けるべきだ。脆弱な製品やその他の要因にかかわらず、レジリエンスを高めて侵害時の影響を抑える必要がある。具体的な手法としては、Cyber Essentials認証の取得や、重要サービス事業者向けの「サイバー評価フレームワーク(CAF)」の活用が挙げられる。
「組織の規模を問わず、パッチの波に備えた計画を立てるべきだ。まずはNCSCが更新した脆弱性管理ガイドを確認することから始めてほしい」とホワイトハウス氏は述べた。
Menlo Security(メンローセキュリティ)のチーフセキュリティアーキテクトであるライオネル・リッティ氏は、今回のNCSCの更新は時宜にかなったものだと評価する。外部攻撃表面の優先と、侵害の影響を抑えるコンテインメント技術の重要性を説いているからだ。
「多くのユーザーにとって、外部攻撃表面の大部分はブラウザにある。実際、Mozillaは先週、Firefoxブラウザの脆弱性271件を修正したと発表した。これらはAnthropicの最新モデル『Claude Mythos』によって発見されたものだ。旧モデルのClaudeが発見した22件から大幅に増加している」とリッティ氏は指摘した。
同氏は、ブラウザの迅速なアップデートとともに、根本的なリスク低減が必要だと説く。「リモートブラウザ隔離(RBI)のような技術を使えば、攻撃表面をユーザー端末から引き離せる。パッチ適用前に脆弱性にさらされたとしても、被害を最小限に抑えることが可能だ」と付け加えた。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
27年前のバグをAIが暴いた日 「Claude Mythos」が起こすサイバー防衛の地殻変動
AIはサイバー攻撃を劇的に加速させる一方で、防御側にとっても革命的な武器となる。Anthropicの「Claude Mythos」が27年前のバグを瞬時に発見したように、人間をしのぐ速度の脅威が現実となった今、従来の「禁止」や「点の対策」は通用しない。
Claude Mythosで激変するセキュリティの新ルール 勝敗を決めるのは「修復のスピード」
Anthropicが発表したAI「Claude Mythos」は、数千のゼロデイ脆弱性を自動で特定し攻撃手順まで生成する。一般公開が制限されるほどの破壊力を前に、情シスは「発見」より「修復」の速度を問われる時代に突入した。低リスクの欠陥を連鎖させ致命的な攻撃に変えるAIの脅威に、組織が取るべき生存戦略を解説する。
AIで巧妙化するサイバー攻撃 情シスが向き合うべきAI時代の国家級リスク
英国はAIによる自動攻撃に対抗すべく「国家サイバーシールド」構築に乗り出す。人間が20年以上見逃した脆弱性をAIが即座に看破する現状に、既製品を導入するだけの対策はもはや通用しない。政府は企業に、セキュリティを経営の義務と位置付ける誓約を求めている。情シスが直面する、AI時代の新たな防衛線とは。
情シスを追い詰める「ガバナンスなきAI導入」の代償とは?
「AIなんて発明されなければよかった」――最新調査でCIOの半数が本音を漏らすほど、AI導入に伴うセキュリティリスクが深刻化している。Copilotが悪用され既存の脆弱性が自動攻撃の道具と化すなど、情シスは利便性の代償として肥大化する攻撃面とガバナンス不足という、かつてない難題に直面している。
Claude Mythos Previewは誰が使える? "攻撃もできるAI"を巡る静かな争奪戦
Anthropicが公開した新型AI「Claude Mythos Preview」は、主要ソフトから数千件の高深刻度脆弱性を検出し、攻撃コードの生成も可能だという。誰が使えるのか。