ホワイトハウス、AIサイバー脅威情報の集約拠点「Gold Eagle」の詳細を発表

トランプ政権は、政府と民間セクター間でAIサイバー脅威情報を共有するための新たな連邦情報集約拠点を発表しました。このプロジェクトはすでにサイバーセキュリティの脆弱性に関する脅威インテリジェンスを受け取っており、パッチ適用の優先順位付けに活用しているといいます。

先月、ホワイトハウスの大統領令によって創設された「Gold Eagle」は財務省が管理し、サイバーセキュリティ・インフラセキュリティ庁(CISA)、国土安全保障省、国防総省に加え、オープンソースソフトウェアのプロバイダー、重要インフラ事業者、業界からの協力も得て運営されます。

財務長官のスコット・ベッセント氏は声明で次のように述べています。「トランプ大統領のリーダーシップの下、財務省は民間セクターと緊密に連携し、金融機関の防護、脆弱性の解消、そして米国金融システムの健全性の保護に取り組んでいます。財務省はパートナー機関とともに、最先端のAI技術を活用して敵対勢力の先を行き、米国民を新たな脅威から守り続けます」

Gold Eagleは、官民双方の組織がAIツールを用いて脆弱性を発見し、悪意ある者に見つかって悪用される前に修正・パッチ適用できるよう支援することを目的としています。この取り組みでは、被害を受けたシステムやソフトウェアのサイバーセキュリティ上の脆弱性をAIで発見する作業が含まれます。国土安全保障長官のマークウェイン・マリン氏は、この技術をサイバー防衛にどう活用できるかについても、さらに検討を進めていく方針だと述べました。

ホワイトハウスによると、Gold Eagleはすでに脆弱性に関する情報の収集に使われています。

AIモデルがサイバーセキュリティに関わる中核的な作業をこなす能力を向上させるにつれ――たとえば脆弱性を探すためのコードスキャンや、概念実証(PoC)のエクスプロイトコードの開発などです――サイバーセキュリティの専門家や政策立案者の間で懸念が強まっています。現代のインターネットには、安全性の低いコードや設定ミスといった問題が数多く存在しており、AIツールを使えばこれまでにない速さで発見・悪用できてしまうのです。

オープンソースソフトウェアの脆弱性は広範囲に及びながらも見えにくいという特徴があります。市場に出回っている多くの商用ソフトウェア製品がオープンソースコードに依存している一方で、それを文書化しているケースはほとんどないためです。2021年にLog4JというオープンソースのApacheソフトウェアライブラリに含まれるロギングツールがハッカーに侵害された際には、影響を受けたソフトウェアを特定し修正するために、CISAや民間セクターなど関係者による数カ月にわたる大規模な連携対応が必要になりました。

ホワイトハウスの当局者は火曜日の記者ブリーフィングで、Gold Eagleの取り組みは米国のオープンソースソフトウェアのプロバイダーやメンテナーに対する政権の「全面的な支援」を反映したものだと記者団に語りました。

ある政権高官は匿名を条件に記者団に対し、オープンソースツールは「わが国全体、そして日常生活の隅々にまで及ぶシステムにとって不可欠な存在だ」と述べました。「それは有能な人々や組織の集団によって維持されており、我々はそのコミュニティの力を支えるためにできる限りのことをしていく」

バラク・オバマ大統領政権下でホワイトハウスのサイバー調整官を務めたマイケル・ダニエル氏はCyberScoopの取材に対し、AIはまだ非常に新しい技術であるため、政策立案者は今もその影響を注視しながら対応を調整し続けていると語りました。サイバーセキュリティの脅威情報を共有する既存のいくつかのチャネルは、おそらくAI脅威の追跡にもそのまま応用できるだろうとしつつも、この技術やそれが生み出す脅威の種類、そして関係者からなるエコシステムについては、政策立案者がまだ学ぶべきことが多く残っていると指摘しました。

「結局のところ、フィッシングは今もフィッシングのままかもしれません。AIツールがそれを行うようになったとしても、フィッシングであることに変わりはないのです。あるいは、根本的に何かが異なっていて、それにどう対抗し、どう情報を共有していくべきかを見極める必要が出てくるかもしれません」と同氏は述べました。

翻訳元: https://cyberscoop.com/trump-gold-eagle-ai-cyber-clearinghouse/

ソース: cyberscoop.com