セキュリティチームは既に膨大な脆弱性リストと限られた修復時間に苦労しています。シスコは、AIが脆弱性発見を加速し、セキュリティチームが確認する必要がある発見の数を増やすことで、この圧力を増す可能性があると考えています。
同社は、リスク基準の開示アプローチをさらに推し進めており、積極的に悪用されている問題、または攻撃で使用される可能性が高いと考えられる問題に、より注意を払うと述べました。
「シスコは高度なAIモデルを積極的に活用して、脆弱性の発見を加速し、修復を推進しています。これらのモデルをセキュリティプロセスに導入することで、以前は達成できなかったペースで脆弱性を発見し修復できます」とシスコのVP情報セキュリティのRuss Smoak氏は述べました。
Smoak氏はまた、防御側だけがこれらのツールを使用するわけではないと警告しました。「同時に、敵対者もこれらの進化するAI機能を活用することになり、サイバーセキュリティ防御の緊急性と複雑性が増すことを認識しています」とSmoak氏は付け加えました。
このアプローチはまた、低リスク発見がどのように開示されるかも変更します。シスコは、以前は個別の勧告を受けていたであろう内部で発見された問題の一部は、もはや個別に発行されないかもしれないと述べました。
代わりに、同社はセキュリティパッチを含むソフトウェアリリースに関する高レベルの情報を提供し、顧客をセキュリティ強化版に誘導する計画です。発見に対応するために行われたソフトウェア変更を説明する追加の詳細は、初期リリース後に発行される可能性があります。
詳細な開示は、重大と判断された問題、積極的に悪用されている発見、および悪用される可能性が高いと見なされる脆弱性については継続されます。シスコは、サードパーティおよびオープンソース脆弱性の取り扱いは変わらないままであると付け加えました。
「シスコは脆弱性開示の分野で声を上げ、業界が予想されるボリュームの増加に適応しスケールするのに役立つ実用的な変化を推進することを意図しています」とSmoak氏は述べました。
翻訳元: https://www.helpnetsecurity.com/2026/05/25/cisco-risk-based-vulnerability-disclosure-ai/
