ホワイトハウスがAI活用の脆弱性クリアリングハウス「Gold Eagle」を始動、サイバー修復対応の迅速化を狙う

新たに始動した「Gold Eagle」プログラムは、AIを活用して連邦政府機関、重要インフラ事業者、オープンソースコミュニティ全体にわたるソフトウェア脆弱性の特定・優先順位付け・修復対応の調整を行います。

ホワイトハウスは、AIの活用範囲をサイバー脅威の検知にとどまらず脆弱性管理にまで広げ、政府機関や重要インフラ事業者がソフトウェアの脆弱性をより迅速に特定・優先順位付け・修復できるよう支援する新プログラムを立ち上げました。

「Gold Eagle」と名付けられたこの取り組みは、サイバーセキュリティ脆弱性の一元的なクリアリングハウスとして機能し、連邦政府機関、オープンソースソフトウェアコミュニティ、重要インフラ事業者にまたがる脆弱性の報告・検証・修復対応を調整するものだと、ホワイトハウスは声明で述べています。

声明はさらに、「この新たなモデルはフロンティアAIの能力を活用し、敵対勢力を上回るスピードでの対応を継続し、重複したスキャン作業を削減するとともに、連邦政府機関および民間セクター全体の防御担当者に対して優先順位付けされた実行可能な脅威・修復情報を提供します」と付け加えています。

この取り組みは、ドナルド・トランプ大統領が発した先進的なAIのイノベーションとセキュリティに関する2026年6月2日の大統領令に端を発するもので、この大統領令は連邦政府機関に対し、民間セクターとの連携を強化しつつ、フロンティアAIの活用を拡大してサイバーセキュリティを強化するよう指示していました。

政府当局によれば、同プログラムはすでに複数の業界から脆弱性報告を受け付け始めており、検証と修復対応の調整作業も進めているといいます。

企業のセキュリティ責任者にとって、今回の発表は、従来型の脆弱性開示の枠を超えて、政府が調整された脆弱性対応へと踏み出そうとしていることを示すシグナルとなります。

調整された脆弱性対応への移行

Everest Groupのシニアアナリスト、プラブジョット・カウル氏は、Gold Eagleは既存の脆弱性開示や政府・産業界の連携メカニズムに代わるものではなく、それらの「大きな進化形」と捉えるべきだと述べています。

「この取り組みの意義は、脆弱性の検出結果を集約し、重複するスキャン作業を減らし、業界横断的なエクスポージャーを検証し、重要インフラ事業者やオープンソースソフトウェアコミュニティとの修復対応を調整できる、より実務的なクリアリングハウスを構築する点にあります」とカウル氏は語りました。

同氏によれば、より本質的な変化は、これまで分散していた脆弱性開示プロセスから、一元化された優先順位付けと連携対応への移行にあるといいます。もっとも、この取り組みが企業の脆弱性管理を実際に変えるかどうかは、業界の参加状況や情報共有プロトコル、そして脆弱性の発見・検証・修復にかかる時間を短縮できるかどうかなど、実行面にかかっていると同氏は指摘しています。

ホワイトハウスによると、Gold Eagleはすでに複数の業界から脆弱性報告を受け付けて優先順位付けを行うとともに、スキャン検証の調整や、既存の連邦政府の権限とリソースを活用した修復対応の支援を開始しているといいます。

AIは優先順位付けを加速できるが、判断そのものには代われない

政府当局は、この取り組みがAIを活用して検出結果に優先順位を付けることで、政府と産業界双方における重複した脆弱性スキャン作業を減らし、修復対応を加速することを目的として設計されていると説明しています。

スコット・ベッセント財務長官は、同プログラムが金融機関をはじめとする重要インフラを守るため、政府と民間セクターがより緊密に連携していることの表れだと述べました。

ベッセント長官は声明の中で、「財務省は連携する各機関とともに、引き続きフロンティアAIの能力を活用し、敵対勢力の先手を取り、新たに台頭する脅威から米国民を守っていきます」と述べています。

カウル氏は、AIが最も価値を発揮しやすいのは脆弱性のトリアージと優先順位付けの分野だと指摘します。

「複数のスキャナーから得られた検出結果を相関付け、重複するアラートを取り除き、脆弱性を既知の悪用活動と関連付け、インターネット上でのエクスポージャーを評価したうえで、技術的な深刻度に資産の重要性やビジネスへの潜在的な影響を組み合わせて評価することができます」と同氏は述べました。

ただし同氏は、AIによる優先順位付けの信頼性は、その基盤となる資産インベントリや脆弱性データ、脅威インテリジェンスの精度次第だと注意を促しています。

「したがってAIは、人間による検証や代替統制の分析、企業固有のリスク判断に取って代わるのではなく、それらを支援するものであるべきです」と同氏は語りました。

Gartnerのシニアプリンシパルアナリスト、アペクシャ・カウシク氏は、この取り組みが、パッチ適用件数を単純に増やすことではなく、実際のリスクエクスポージャーを削減することでサイバーセキュリティの成果を測るという、より広範な流れを反映していると述べています。

同氏によれば、この取り組みが政府と産業界の間の脆弱性連携を統一・加速する一助となれば、報告の分断や開示慣行の不統一といった長年の課題に対処でき、企業がより迅速かつ効率的に脆弱性へ対応できるようになる可能性があるといいます。

実行力が企業への影響を左右する

今回の発表ではGold Eagleの目標が示されているものの、組織がどのように参加するのか、AIがどのように脆弱性を検証・優先順位付けするのか、また既存の連携型脆弱性開示や脆弱性管理プログラムとどのように連動するのかといった運用面の詳細はほとんど示されていません。

カウル氏は、CISO(最高情報セキュリティ責任者)はこの取り組みを、企業のリスク管理に代わるものではなく、脆弱性インテリジェンスの追加的な情報源として捉えるべきだと述べています。

「最も重要な点は、脆弱性対応が、政府と産業界全体にわたってより迅速でインテリジェンス主導型の、より連携した優先順位付けへと移行しつつあるということです」と同氏は述べました。

政府による連携が脆弱性インテリジェンスの質や適時性を向上させたとしても、修復に関する意思決定は引き続き企業自身が担うことになると、カウル氏は付け加えました。「政府の連携によってインテリジェンスの質や適時性は向上するかもしれませんが、最終的な修復の優先順位を決めるのはあくまで企業側の状況判断でなければなりません」。

翻訳元: https://www.csoonline.com/article/4197348/white-house-launches-ai-driven-vulnerability-clearinghouse-to-speed-cyber-remediation.html

ソース: csoonline.com