Microsoftが目指すAI活用によるWindows脆弱性発見とパッチ適用の迅速化

Microsoftは、Windows全体にわたるAI駆動型セキュリティツールの大幅な拡張を発表しました。目的は脆弱性をより早期に発見して迅速に修正し、より信頼性の高いパッチを大規模に提供することにあります。

この取り組みは、AIが脆弱性の発見と攻撃者による新たな欠陥の悪用速度の両方を同時に加速させる中で、防御側にかかる圧力が高まっていることを反映しています。

この取り組みの中核を担うのが、Microsoft Securityのマルチモデル・エージェント型スキャニングハーネス(MDASH)です。複数のAIモデル(サードパーティ製の脆弱性発見ツールを含む)を組み合わせ、Windowsのコードベースを分析します。

Microsoftは、MDASHをWindowsの規模で運用するために専用のクラウドインフラを構築しました。2段階のパイプラインを採用しており、まずスキャナーが重要なバイナリを精査し、その後、異なるモデルファミリー間でのマルチモデル・ディベートを通じて候補を検証します。

さらに、Windows専用の「検証(prove)」パイプラインが誤検知を除外するため、エンジニアの元には信頼度の高い検出結果のみが届く仕組みになっています。

この自動化により、レビューされる脆弱性の件数が増加する一方で、パッチが提供されるまでの間にゼロデイを悪用できる攻撃者の猶予期間は縮小します。

Microsoftはまた、修正作業のワークフローにもAIを組み込んでいます。エンジニアが障害を診断したり、既存のコードに沿った修正案を作成したり、コードベースの他の箇所にある関連問題を発見したり、最も関連性の高い回帰テストを選定したりする作業を支援します。ただし、コードレビューや最終的なリスク判断については引き続き人間が関与する体制を維持しています。

アップデートは、広範なリリース前に互換性や信頼性の問題を検出するため、Security Update Validation Program(SUVP)を含む厳格なテストを引き続き経ています。

Microsoftはさらに、AIを活用した攻撃手法や攻撃経路を明示的に考慮するよう、セキュア開発ライフサイクル(SDL)の更新も進めています。

AIによってより多くの問題が浮き彫りになるため、今後は1回のセキュリティリリースあたりのCVE件数が増加すると予想されますが、これはセキュリティ態勢の悪化ではなく、検出能力の向上を示すものです。

Microsoftは各組織に対し、Security Update Guideのガイダンスに従ってセキュリティアップデートを速やかに適用すること、月例パッチに先立つ互換性テストのためにオプションの非セキュリティプレビュー(「D」)リリースを活用すること、そして必要に応じて問題のある変更をアップデート全体をアンインストールせずに元に戻せるKnown Issue Rollback(KIR)を利用することを推奨しています。

Microsoftは、この加速するパッチ適用のペースに企業が対応できるよう支援する複数の管理ツールについても取り上げています。

Intuneを通じてホットパッチに対応したWindows Autopatchは、Windows 11デバイスにおける混乱を最小限に抑えながらセキュリティアップデートを迅速化できます。また、管理者にデバイス単位でのリスク露出状況を可視化するセキュリティリスク・コンプライアンスダッシュボードも備えています。

WindowsサーバーはAzure Arcを通じてホットパッチを適用でき、再起動なしで大規模なアップデートが可能です。これはAzure Update Managerを通じて管理されます。さらに、Microsoft Defender Vulnerability ManagementはIntuneのインサイトと合わせて、各チームが自社環境に残るリスク露出を把握し、修正作業の優先順位付けを行う助けとなります。

Microsoftは今回の方針転換を、カレンダーベースのパッチ適用から、継続的でリスクベースのアプローチへの移行と位置づけています。AIが脅威の様相を再形成する中で、速度と安定性はトレードオフの関係ではなく、互いに補完し合う目標として扱われることになります。

翻訳元: https://cyberpress.org/microsoft-ai-windows-vulnerability-discovery-patching/

ソース: cyberpress.org