AI搭載脆弱性スキャンツールの登場により、欧州連合サイバーセキュリティ機関(ENISA)の最高サイバーセキュリティ責任者によると、テクノロジー企業が自社製品のバグについて認識していない理由はほぼ存在しないと言えます。
「今、企業が『自社のグリッチや脆弱性について知りませんでした』と言う理由はもうありません。実際に今、それを見つけて修正することができるからです」と、5月19日のESET World会議で述べたENISAの最高サイバーセキュリティおよび運用責任者ハンス・デ・フリース氏は語った。
AI搭載脆弱性スキャンテクノロジーは2026年に急速に進化しており、Claude Mythos および OpenAIのCPT5.4-Cyberといった新しいフロンティアモデルの登場によってハイライトされており、前例のない速度と規模でソフトウェアバグを特定および修正することができます。
デ・フリース氏は、EUのサイバーレジリエンス法(CRA)がすでにデフォルトによるサイバーセキュリティとデザインによるサイバーセキュリティを要求していると指摘しました。CRAは2024年12月に発効し、法律によって導入された主要な義務は2027年12月11日から適用され、報告義務は2026年9月11日から適用される予定です。
「私にとって、デザインとデフォルトによるセキュリティを実施することは、実は現在ビジネスを行うためのライセンスです」とデ・フリース氏は述べました。「そうしていない場合、対手方は間違いなく脆弱なソフトウェアを悪用し、あなたは最初から問題を見つけるべきだったため、おそらく訴訟を起こされるでしょう。」
「一貫性のある方法でAIを使用していない場合、1年または2年で成功することはおそらくありません。」
同じイベントで発言した英国国家サイバーセキュリティセンター(NCSC)の運用部長ポール・チチェスター氏は、不適切にコーディングされたシステムに脆弱性が見つかる段階に入ろうとしていると述べました。
しかし、単なる1つの脆弱性が自動的に侵害されたことを意味しないとコメントしました。
「より多くの脆弱性を見つけることは、一部にとって害になる可能性があると思います。たとえば、シャドウITを実行しているか、非常に高度な防衛層がない場合、先を見据えると、ベンダーが自分たちでAIを使用してそれらの脆弱性を製品から排除することに非常に関心を持つ時代が来ると思います。」
彼は、AIはソフトウェア製品をはるかに均一な方法で保証することを可能にすると述べました。
ベルリンのESET Worldでは、スロバキアを拠点とするサイバーセキュリティ企業が、研究開発チームを拡大し、サイバーセキュリティファーストの基礎的なAIモデル、階層化されたAIスタック、および新世代のAI SOCの開発を加速するために4000万ユーロの投資を発表しました。
翻訳元: https://www.infosecurity-magazine.com/news/ai-raises-vulnerability-awareness/
