年次ペネトレーションテストがもはや十分でない理由

クラウド、ハイブリッド、AIドリブン環境が急速に拡大する中、従来の年次ペネトレーションテストは、年次評価サイクルが追いつけないほど速く変化するこれらの環境において、その有効性を失いつつあります。 

Ridge Securityの社長兼共同創業者であるLydia Zhang氏によると、現代のインフラ、アプリケーション、API、依存関係チェーンは継続的に進化しており、静的なテストモデルでは正確に評価しきれない、常に変化する攻撃面を生み出しているとのことです。

「脆弱性の発見から悪用までの時間は劇的に縮まっています」と、Zhang氏はeSecurityPlanetとのメールインタビューで説明しました。 

また、「年次テストでは、脅威アクターがゼロデイ脆弱性を発見して悪用するための扉を大きく開けたままにしてしまいます」と付け加えました。

ペネトレーションテストに関する主要なポイント

• 年次ペネトレーションテストは、急速に変化するクラウド、ハイブリッド、AIドリブン環境において有効性が低下しています。
• 組織はリアルタイムで悪用可能な露出を特定するため、継続的なセキュリティ検証へとシフトしています。
• AIは自律的なテスト、エクスプロイト分析、修復ワークフローを通じて攻撃的セキュリティを変革しています。
• セキュリティチームは、脆弱性の件数よりも実際の悪用可能性とビジネスへの影響を優先するよう求められています。
• AIドリブンの攻撃的セキュリティツールが進化し続ける中、人間による監視は依然として不可欠です。

継続的な検証が定期的テストに取って代わる理由

Zhang氏は、従来の脆弱性管理がセキュリティチームを大量の検出結果で圧倒することが多く、優先順位付けが困難なため、組織が継続的なセキュリティ検証へと移行していると述べました。 

その代わりに、エクスポージャー検証は特定の環境内で実際に悪用可能な脆弱性を特定し、ビジネス上のリスクと結びつけることに焦点を当てています。

急速なインフラの変化もこのシフトを加速させています。 

新しいアプリケーションのデプロイ、設定の更新、クラウドリソースの追加は、ペネトレーションテストが完了した後に新たな露出経路を素早くもたらす可能性があります。 

さらに、組織は修復のリグレッションによる継続的なリスクにも直面しており、以前に修正された脆弱性が設定のドリフトやコード変更によって再出現することがあります。

経営幹部のリーダーシップおよび規制上の圧力も、継続的な評価モデルへの移行に影響を与えています。 

Zhang氏は、NIS2やPCI DSS 4.0などのフレームワークが、時点評価よりも継続的な検証とセキュリティ体制の継続的な証拠をますます重視していると指摘しました。

AIが攻撃的セキュリティを再形成している

人工知能もまた、レッドチームやペネトレーションテスターの活動方法を変革しています。 

Zhang氏によると、AIは攻撃的セキュリティを手動のペネトレーションテストから、継続的かつ大規模に稼働できる自律的な検証ワークフローへとシフトさせているとのことです。

「AIは単にペンテストを自動化しているのではなく、ワークフローを自律的なセキュリティテストと修復へと変えています」とZhang氏は述べました。

AIシステムは、環境について学習し、露出した資産を特定し、インフラの関係性を分析し、攻撃戦略を動的に適応させる能力をますます高めています。 

Zhang氏は、AIが露出した認証トークンなどの指標を認識し、関連するインフラやアプリケーション全体にわたってテストを自律的に拡大できると指摘しました。

この技術はまた、技術的な検出結果を実行可能な開発タスクに変換し、コンプライアンスの証拠を整理し、経営幹部向けにセキュリティデータを要約することで、レポートと修復のワークフローも改善しています。

人間による監視は依然として重要

AIはスピードと規模を大幅に向上させることができる一方で、Zhang氏は、判断、倫理、認可の決定、高リスクな攻撃シミュレーションを伴う分野では人間の専門知識が依然として不可欠であると強調しました。

Zhang氏は、AIは資産の発見、Webクローリング、レポート作成、偵察などのタスクでは優れたパフォーマンスを発揮するが、エクスプロイトの連鎖やソーシャルエンジニアリングといった、より機密性の高い活動には、より強固なガードレールと人間による監視が依然として必要だと説明しました。

Zhang氏はまた、「AIセキュリティ」として売り込まれている多くのセキュリティ製品は、真の自律的な推論能力を提供するのではなく、単に既存のプロセスを自動化しているに過ぎないと警告しました。 

Zhang氏によると、自動化は効率性を向上させる一方、自律性は攻撃的セキュリティ運用における意思決定の方法を根本的に変えるものだということです。

脆弱性の件数よりも悪用可能性に焦点を当てる

Zhang氏は、組織が実際の悪用可能性とビジネスへの影響を優先する代わりに、生の脆弱性の件数に重きを置きすぎることが多いと述べました。 

中程度の深刻度の脆弱性が、機密システムやビジネスクリティカルな資産への到達可能な経路を提供する場合、重大な脆弱性よりも大きな業務リスクをもたらす可能性があります。

「組織は常に、脆弱性の件数ではなく、実際の悪用可能性とビジネスへの影響に焦点を当てるべきです」とZhang氏は述べました。

AIシステムは、複雑な環境全体で悪用可能性を分析し、ビジネスロジックの欠陥を特定し、脆弱性が価値ある資産にどのようにつながるかをマッピングするためにますます活用されています。 

これにより、セキュリティチームは深刻度スコアのみに依存するのではなく、攻撃可能性と業務への影響に基づいて露出を優先順位付けできるようになります。

攻撃的セキュリティの未来

今後の展望として、Zhang氏はペネトレーションテストがDevOpsやリリース管理ワークフローに直接統合された継続的な分野へと進化し続けると予測しています。 

組織がAIドリブンの脅威環境に適応するにつれて、エクスプロイトの証明検証、自動修復、キルチェーン分析がより重要になると見込まれています。

同時に、脅威アクターも同じAI能力の恩恵を受け、偵察、エクスプロイト開発、攻撃の連鎖が加速すると予想されます。 

Zhang氏は、組織にとっての長期的な課題は、セキュリティチームがますます自動化される脅威に対応するために、自律的なセキュリティ技術をどれだけ迅速に採用できるかにあると述べました。

「今後の見通しは良い面と悪い面が混在しています」とZhang氏は述べました。「脅威アクターも同じ技術にアクセスできるようになります。つまり、これはセキュリティチームが新興のセキュリティ技術をどれだけ迅速に採用できるかという戦いです。」