Picus Autonomous Exposure Validation Platform、実世界のCVE悪用可能性を検証

Picus Securityは、フロンティアAIによって脆弱性の公開から攻撃までの時間が一気に短縮された世界に対応するため、Picus Autonomous Exposure Validation Platformを発表しました。

Image

攻撃者は現在、1日あたり約132件のCVEが公開される中、数時間のうちに新しいCVEを武器化しています。CVEが公開され、深刻度9.8と評価されると、経営陣は「わが社は影響を受けているのか」と問いかけます。しかし、ほとんどのチームは、その攻撃が自社の防御策に対して実際に通用するかどうかすら答えられません。「Mythos後」の時代において、「Mythos対応」という言葉は、今や取締役会にまで届く問い、すなわち「AIを活用した攻撃に耐えられるのか、そしてそれを証明できるのか」を象徴する表現となっています。

「エクスポージャーを見つけること自体は、これまでも難しくはありませんでした」と、Picus SecurityのCTOであるVolkan Erturk氏は述べています。「難しいのは、正しい問題に対して行動することです。つまり、根拠のある意思決定、ギャップを埋める修正、そしてそれが機能した証拠です。このプラットフォームは、攻撃対象領域、エクスポージャー、セキュリティ制御を一つのループとして検証し、重要な修正を完了まで導いて再検証します。しかも、AIを活用した脅威が今求めるスピードで実行できます」

3つのツールではなく、1つのプラットフォームへ

このプラットフォームは、侵害・攻撃シミュレーション、自律型ペネトレーションテスト、エクスポージャー検証という3つの検証分野を、コンテキストを理解する単一のループへと統合します。Picus Breach and Attack Simulationは、組織のEDR、SIEM、ファイアウォール、WAFが実際に何をブロックし、何を検知できているのかを継続的にテストし、修正内容を提示した上で、そのギャップが解消されたことを再検証します。

Picus Autonomous Penetration Testingは、到達可能な資産に対して実際のエクスプロイトチェーンを実行し、CVSSやEPSSのスコアが予測する内容ではなく、攻撃者が実際に到達し実行できることを可視化します。そしてPicus Exposure Validationは、これらのツールでは答えられない問い、つまり「あるCVEが、今この環境で、この制御に対して悪用可能かどうか」を、公開された当日に答えます。

Exposure Validation:ペンテスト可能な対象だけでなく、すべてのCVEに証拠を

深刻度9.8というスコアは、その脆弱性が理論上どれほど危険かを示すものにすぎません。自社の制御がそれを阻止できるかどうか、そもそもその攻撃が自社環境で成立するかどうかまでは教えてくれません。Picus Exposure Validationはその問いに答えます。各脆弱性を、攻撃者が実行しなければならないエクスプロイトのプリミティブに分解し、そのチェーンを実際の制御スタックに対して検証することで、資産ごとに、その攻撃経路が実行可能かどうか、そしてどの制御がそれを阻止するのか、あるいは何も阻止しないのかを明らかにします。

Picusは、CVEが公開された瞬間に検証を行い、制限付きの資産や、安全なエクスプロイトが存在せず単独の自動ペネトレーションテストでは検証できないCVEにも対応します。パッチの提供まで数週間かかる場合には、チェーンの各ステップに対する代替制御を推奨します。こうしたプリミティブは複数のCVEにまたがって繰り返し出現するため、一つを強化するだけで、関連する攻撃群全体をまとめてブロックできます。

Picus Swarm:単なるツールではなく、AIエージェントによる労働力

AIは攻守双方を加速させています。攻撃者は脆弱性の武器化を速め、防御側もまた検知ロジックや設定変更をより速く展開できるようになりました。あらゆる変更は、検証によってしか答えられない問い、すなわち「自社の防御は良くなったのか、悪くなったのか、それとも何も変わっていないのか」を生みます。そして、CVEが到来するペースに、どのチームも手作業では対応しきれません。Picus Swarmはこの課題を解決します。5つの専門エージェント(Discovery、Exploitation、Validation、Mobilization、Reporting)がNumi AIによって統率され、Numi AIが変化を感知し、それがどのワークフローに関わるのかを判断し、実行の最初から最後まで指揮します。その結果得られるのは、生の警告ではなく、意思決定と判定結果です。

このスワームは、自社の資産・エクスポージャー・制御の有効性に基づいたPicusデータファブリック上で動作し、常にユーザーの管理下に置かれます。ワークフローの各ステップごとに、手動・監視付き・完全自律のいずれかの自律レベルを選択でき、すべての操作は監査証跡として記録されます。

エンタープライズ規模での実証実績

あるフォーチュン100の金融サービス企業では、たった一度のシミュレーションで、大手XDR製品における15時間の検知ログ記録の遅延が明らかになりました。これは検証されるまで誰も気づいていなかった死角でした。「自社の検知カバレッジは万全だと考えていましたし、書類上はそうでした」と、同社の最高情報セキュリティ責任者は語っています。「Picusは、どのダッシュボードも指摘していなかったギャップを示し、さらに修正後にはそれが解消されたことも証明してくれました」。導入企業全体では、90日以内にセキュリティ制御の有効性が2倍に向上し、MTTR(平均修復時間)は89%削減され、75以上の統合機能がスタック全体にわたってプラットフォームにデータを供給しています。

翻訳元: https://www.helpnetsecurity.com/2026/07/07/picus-autonomous-exposure-validation-platform-validates-real-world-cve-exploitability/

ソース: helpnetsecurity.com