フロンティアAIの最前線に立つOpenAIとAnthropicが、最先端の大規模言語モデル(LLM)であるClaude MythosとGPT5.5へのアクセスを拡大し、脆弱性を自律的に大規模発見・修正する能力の実証が進む中、組織におけるパッチ適用のあり方が大きく変化しつつあります。
まず、多くの企業でパッチ適用のライフサイクルが加速する見通しです。Infosecurity Europeで講演したBayerのグループCISOであるKevin Jones氏は、クラウドハイパースケーラーを含む複数のITベンダーから、脆弱性を悪用されるまでの平均時間が「数日から数時間」へと短縮したという評価を聞いたと述べました。
「以前は、既知の公開エクスプロイトが存在しない状態でパッチがリリースされてから、孤立したシステムにテスト展開し、インターネット向けシステムへ本格展開するまでに7〜10日の猶予がありました。攻撃者がパッチをリバースエンジニアリングし、脆弱性を発見してエクスプロイトを書き、それを実際に展開・拡散させるまでにかかる時間がちょうどそれくらいだったのです」と同氏は説明しました。
ところが現在、ベンダーからの報告によると、エクスプロイトが知られていない状態でパッチがリリースされてから、誰かが実際にその脆弱性を悪用し始めるまでの時間は、わずか6時間40分にまで短縮されているといいます。
インドが導入した12時間以内パッチ適用義務
こうした状況を受け、インドのコンピュータ緊急対応チーム(CERT-In)は最近、新たな対応基準を設けました。積極的に悪用されているインターネット向け脆弱性については12時間以内のパッチ適用、重大な脆弱性については1日以内、高深刻度のバグについては5日以内での対応を求めています。
Vulners社のレベニュー責任者であるAndrey Lukashekov氏はInfosecurityの取材に対し、こうした義務付けは「断固とした姿勢を示すもの」と評価しました。
ただし同氏は、大規模なグローバル組織においては、タイムゾーンの違いや承認フロー、変更管理プロセスが厳しい期限と衝突し、善意のルールが「物流上の悪夢」と化して、かえって安全な修正作業を妨げるリスクがあると指摘しました。
Lukashenkov氏の見解では、このような義務付けはソフトウェアの生産者側と迅速なパッチ提供への重点移行を促す一方で、協調が困難な場面では修正の拙速化や変更管理プロセスの形骸化を招く恐れがあります。
EUと米国のパッチ適用ポリシー:ベンダー中心 vs ユーザー中心
これに対しLukashenkov氏は、EUがサイバーレジリエンス法(CRA)のもとで採用するアプローチを、より明確にプロデューサー中心のものとして位置づけました。
CRAは「製品セキュリティの責任をベンダーに負わせる」もので、セキュアな開発、情報開示、ユーザーへの通知義務を課していると同氏は述べました。
このアプローチはコードを実際に作る当事者に法的責任を集中させるという点で政策的には合理的だと評価しつつも、コンプライアンスの達成が自動的にエクスプロイト発生までの窓を縮小するわけではないと警告しました。
「規制はアカウンタビリティの水準を引き上げることはできますが、堅牢なアーキテクチャとレジリエントな運用の代わりにはなりません」と同氏は語りました。
VulnCheck社のプロダクトエンジニアリング担当VPであるMichael Price氏もまたInfosecurityの取材に応じ、CRAのような規制のもとでベンダーに責任を集中させるEUのアプローチと、米国で見られる市場主導・ユーザー重視のアプローチとを対比させました。
欧州は「責任を上流に強制的に移転しようとしている」と同氏は指摘し、ソフトウェアプロデューサーに対してより安全な製品を設計・出荷する法的・技術的義務を課すことで、コストとアカウンタビリティをベンダー側に寄せ、システム全体の改善を促す効果があるとしました。ただし、その代償としてイノベーションが減速する可能性もあると述べました。
一方、米国のモデルはユーザーやオペレーター側が自衛のために多くの負担を担う構造になっていると同氏は説明しました。
「米国では、規制は経済成長を妨げるとして回避しようとする傾向があります」と同氏は述べました。その結果、多くの企業がセキュリティよりも市場投入速度を優先しています。
この姿勢は、パッチ適用の優先順位付けや安全でないデフォルト設定への対応という難題を、下流の顧客に押しつける形になりかねないと同氏は警告しました。
Lukashenkov氏もこれに同意し、米国では市場圧力・賠償責任・任意の標準規格を組み合わせるアプローチが主流であり、単一の規定的なサイクルは存在しないと述べました。
「米国では期待値がパッチワーク状態です。買い手が修正を要求し、保険会社がリスクを価格付けし、ベンダーがそれに応じる。しかし万能の解決策はありません」と同氏は語りました。
Price氏は、単純な正解はないと主張します。規制はセキュリティの底上げには有効ですが、コストも発生させます。
「米国でも規制を強化すべきだと思います。セキュリティ上の問題があまりにも多すぎます。ただし、イノベーションを損なわないバランスを取ることが不可欠です」と同氏は述べました。
Lukashenkov氏はこれらの異なるアプローチを総合的に見て、機会とともに摩擦も生じると論じました。インドのスピード優先の姿勢は緊迫感を強制し、EUのプロデューサー義務は法的アカウンタビリティを明確化し、米国のエコシステムモデルは市場ベースのインセンティブを推進しています。
ただし同氏は、どのアプローチを採るにしても、政策立案者はシステムのどの部分(脆弱性の発見、開示、脆弱性データの生産、パッチの運用)に影響を与えようとしているのかを明確にし、プロデューサーの義務と防御者の能力を整合させることなしに、単に不可能なタイムラインを課しても実質的なリスク低減にはつながらないことを認識すべきだと強調しました。
「問いかけるべきは『誰がコストを負担するか』だけではありません」と同氏は締めくくりました。「プロデューサー、顧客、規制当局のすべてが『エクスプロイト可能な窓を減らす』方向に向かえるよう、インセンティブ構造そのものを再設計することが求められています。」
エクスプロイト・インテリジェンス主導のパッチプログラム
Price氏は、組織が取り組むべき明確な転換を示しました。「スキャンして脆弱性を見つけ、チケットを切って誰かが解決するという従来のモデルは、もはや十分ではありません」と同氏は述べました。
同氏は実際のリスクに重点を置くよう促し、セキュリティチームは「どの脆弱性が存在するか」ではなく「どの脆弱性が実際に悪用されているか」を問うべきだとアドバイスしました。
「エクスプロイト・インテリジェンス主導かつオペレーション重視のモデルへの移行が必要です」と同氏は語りました。
「通常、公開から24時間以内に悪用される脆弱性はごく一部です。セキュアな状態を維持したい組織は、どの脆弱性が実際に悪用されるかを把握し、24時間以内に対応できる体制を整える必要があります。」
Price氏はさらに、情報開示とベンダー対応のスケーリング問題についても警鐘を鳴らしました。手動トリアージは処理量に追いつかなくなっているというのが同氏の主張です。
「すべての報告を手動でトリアージする方法は明らかに限界に達しています」と同氏は述べ、AIが生成する報告の増加に対応するための自動化と新たなベンダー側ツールの必要性を訴えました。
また、NISTのフィードのような単一のカタログに依存するだけでは不十分になりつつあり、タイムリーな意思決定のためには複数のインテリジェンス豊富なソースが必要だと警告しました。
パッチ適用を超えたセキュリティ強化
Lukashekov氏は、プロデューサー側のアカウンタビリティが高まっていることを認めつつも、防御側はパッチ適用の高速化を万能薬と考えるべきではないと強調しました。
組織は未開示の脆弱性が存在することを前提とし、それに応じた防御姿勢を取る必要があると同氏は主張しました。
「境界はすでに侵害されているものとして扱ってください」と同氏はアドバイスしました。「壁を作るだけでなく、ドローン対策ネットも展開してください。」
具体的には、パッチ適用と並行して、より強固なハードニング、セグメンテーション、ランタイム保護、そして検知・封じ込め能力の強化が求められます。
Lukashekov氏はパッチ戦略における細やかな使い分けも促しました。コモディティのエンドポイントやベンダー管理のソフトウェアには安全な範囲で自動化・自動更新を活用し、CI/CDシステムや独自開発のアプリケーションには慎重なケースバイケースの対応が必要です。
「サイバーセキュリティの各部分は異なるスピードで動いています。CI/CDをノートPCのアップデートと同じように扱うことはできません」と同氏は断言しました。
脆弱性発見ブームに直面する組織に向けて、Lukashekov氏が提示した実践的な対策は以下のとおりです。
- 未報告のCVEが存在することを前提とし、補完的なコントロール(セグメンテーション、ランタイム防御、検知)を設計すること
- エンドポイントのベンダーアップデートは自動化しつつ、CI/CDや独自開発ソフトウェアには厳格なリリース規律を適用すること
- CVEの古さだけでなく、悪用可能性とビジネスへの影響を重視した優先順位付けのパッチ基準を構築すること
- プロデューサーに明確なSLAとコミュニケーションを求めつつ、内部での緩和策にも投資すること
- 脆弱性の発見が単なる管理されない露出増加に終わらないよう、協調的な情報開示ワークフローを強化すること
サプライチェーンリスクについてPrice氏は、今すぐ取り組める具体的な緩和策を強調しました。開発者環境のロックダウン、シークレットのローカル保存の回避、審査済みのパッケージレジストリを経由した依存関係の管理、クールダウン期間の設定、バージョン固定とパッケージ署名の活用です。
これらの対策を広く実施すれば、悪意ある、あるいは侵害されたオープンソースパッケージからのリスクを実質的に低減できると同氏は述べました。
Lukashekov氏はまた、市場の反応として現れた新たな動向にも言及しました。AnthropicがGlasswingプロジェクトの一環としてMythosをリリースした4月以降、業界のセンチメントが変化し、企業の取締役会がサイバーセキュリティ予算を解放し、投資家もサイバーセキュリティ企業を優遇する傾向が見られると報告しました。
ただし同氏は、資金だけでは責任の所在をめぐる議論は解決しないと警告しました。「規制、市場圧力、顧客の要求はいずれも重要ですが、優れたアーキテクチャとレジリエントな運用の代替にはなりません」と述べました。
Lukashekov氏は、業界が今まさに転換点にあると結論づけました。アカウンタビリティと運用慣行の両面で再交渉が求められる局面です。「パッチ適用が時代遅れになったわけではありません」と同氏は語りました。「しかし、それだけが答えであり続けることはできません。誰が修正コストを負担するのかは、依然として宙に浮いたままです。」
翻訳元: https://www.infosecurity-magazine.com/news/patch-responsibility-ai-infosec/
