同サイバー機関は、積極的な修復期間、継続的なエクスポージャー管理、およびAIガバナンス管理を推進しており、アナリストらは将来の世界標準を先取りする可能性があると指摘している。
インドのサイバーセキュリティ機関であるCERT-Inは、インターネットに公開された「重要資産」システムに影響を与える既知の悪用済み脆弱性について、実現可能な場合は12時間以内にパッチ適用、緩和、または隔離を行うよう組織に求めた。また、AI支援型攻撃により脆弱性の開示から悪用までの時間が劇的に短縮されていると警告した。
この勧告は、AI支援型サイバー攻撃への対策に関するCERT-Inの包括的な新しい青写真の一部であり、エンタープライズの脆弱性管理、エクスポージャー削減、および運用レジリエンスに関する期待値の大幅な引き上げを示すものである。
38ページにわたるこのフレームワークでは、外部に公開された重大な脆弱性については1日以内、高価値システムに影響する重大な内部脆弱性については3日以内、リスク優先度に基づく高深刻度の脆弱性については5日以内の修復も推奨している。
CERT-Inは、脅威アクターがAIを活用してリコナッサンス、脆弱性発見、フィッシング、マルウェア生成、および自動化された悪用ワークフローを加速させていると述べた。
「悪用のタイムラインは著しく短縮されている」と同機関は勧告の中で警告し、攻撃は「ますます自律的」になることが予想されると付け加えた。
運用上の混乱をもたらすターゲット
セキュリティアナリストらは、12時間という期待値は企業に従来の週次または月次のパッチ適用サイクルの見直しを迫る可能性が高いと指摘しつつも、このガイダンスは一律のパッチ適用義務より複雑な内容であると注意を促した。
「12時間という期間は例外的なものであり、公開資産の限られたセットに対する封じ込め目標としてのみ現実的であり、断片化されたインフラ、多層的な承認、外部委託された運用、およびレガシーへの依存という重荷を負った広大な資産全体にわたるパッチ完了目標としては決して現実的ではない」と、Greyhound ResearchのチーフアナリストであるSanchit Vir Gogiaは述べた。
Gogiaは、この青写真の段階的アプローチは、全システムに一律のパッチ適用義務を課すのではなく、応答タイムラインをエクスポージャーと運用上の重要性に結びつけているため、ヘッドラインとなる修復タイマーそのものより重要であると述べた。
「5日間の高深刻度ウィンドウはほとんどの企業にとって余裕がある。3日間の重大な内部ウィンドウは、実際にプレッシャーがかかるところだ」と彼は述べ、特に金融、通信、医療、および運用テクノロジー環境などの分野では、稼働時間への懸念が迅速な変更管理を複雑にしていると指摘した。
GartnerのシニアプリンシパルアナリストであるApeksha Kaushikは、多くの組織にとって最大の課題はパッチを展開することではなく、迅速なエクスポージャー管理に必要な運用成熟度を達成することだと述べた。
「主な障壁は技術的なものだけでなく、運用上のものでもある。ほとんどの組織は、リアルタイムの資産可視性、自動化された脆弱性優先順位付け、および部門横断的なインシデント対応プレイブックを欠いている」とKaushikは述べた。
「最も深刻な課題は、資産の発見、リスクベースの優先順位付け、およびサイロをまたいだ迅速な対応の調整にあるだろう」と彼女は付け加えた。
脆弱性管理からエクスポージャー管理へ
この青写真は、新たに開示された脆弱性を迅速に武器化できるAI対応型攻撃に対して、従来の定期的なセキュリティ評価が不十分になりつつあることを繰り返し強調している。
その代わりに、CERT-Inは組織に対して、継続的なエクスポージャー管理、脅威情報に基づく防御、継続的な監視、および敵対的テストへの移行を推進している。
注目すべきは、このフレームワークが、即時のパッチ適用が不可能な場合の一時的な緩和策(隔離、アクセス制限、WAF/API保護、強化された監視、および補完的なコントロールを含む)に大きく依存していることだ。
アナリストらは、そのアプローチによりタイムラインが運用上より達成しやすくなる一方、資産の可視性とエクスポージャーインテリジェンスへの負担が移行すると述べた。
「補完的なコントロールはタイムラインをより実現しやすくする。また、あらゆる言い訳を排除する」とGogiaは述べた。「迅速に隔離、制限、または監視できない場合、問題はパッチの頻度ではない。問題は、自分自身のエクスポージャーを把握していないことだ。」
Kaushikも同様に、このガイダンスは組織をより成熟したエクスポージャー管理能力へと効果的に押し進めるものだと述べた。
「組織は、影響を受ける資産を迅速に特定し、リスクを評価し、効果的な暫定的なコントロールを展開できなければならない」と彼女は述べ、成熟した資産インベントリ、セグメンテーション、および監視能力を欠く企業は大規模なガイダンスの運用化に苦労するだろうと付け加えた。
この青写真はさらに、継続的な脆弱性評価、AI支援型セキュリティテスト、敵対的シミュレーション、侵入テスト、およびレッドチーム演習を求めている。
将来の世界標準を先取りするか?
アナリストらは、CERT-Inの修復期待値は現在国家サイバー機関が発行している中で最も積極的なものの一つであり、AIが世界的に攻撃者のタイムラインを圧縮する中で、より広範な国際的な脆弱性管理の慣行に影響を与える可能性があると述べた。
「CERT-Inは西側諸国がおおむね回避してきたことを行った。それは、個別の脆弱性ごとの期限ではなく、資産カテゴリごとに常時稼働するタイマーを設定したことだ」とGogiaは述べた。
彼は、このフレームワークをCISAの既知の悪用済み脆弱性(KEV)プログラムと対比させた。CISAのプログラムは通常、企業全体に常時適用される修復タイマーではなく、脆弱性固有の修復期限を使用している。
「固定タイマーモデルは、脅威を誤って読んでいるからではなく、世界の他の地域が追いついていないために、今日は積極的に見える」とGogiaは述べた。
Kaushikは、このフレームワークがグローバルなサービスレベル契約がインドの期待値より緩い多国籍企業にとって運用上の課題を生み出す可能性があると述べた。「プロバイダーにとっては、内部SLAがインドの要件より緩いというコンプライアンスのギャップが生じ、グローバルなパッチ適用と緩和プロセスの再評価が必要になるかもしれない」と彼女は述べた。
