トランプ政権は火曜日、業界や重要インフラ事業者、政府機関が人工知能を活用してサイバーセキュリティの脆弱性を迅速に検出・優先順位付け・修正できる、新たな連邦クリアリングハウスがすでに稼働開始したことを発表しました。
この取り組みは「Gold Eagle」と名付けられ、財務省が主体となり、国防総省、国土安全保障省、サイバーセキュリティ・インフラセキュリティ庁(CISA)が支援する形で運用されています。
オープンソースソフトウェアのプロバイダーもこの取り組みに参加しています。
「このクリアリングハウスは、そのコンセプトと設計により、これまでに例を見ない速度と規模で、AIによるサイバーセキュリティ脆弱性の発見とパッチ適用の連携を可能にします」と、国家サイバー長官のショーン・カーンクロス氏は記者会見で述べました。
Gold Eagleは、先月発表されたホワイトハウスの大統領令の成果であり、AIを用いてソフトウェアやネットワークのサイバー脆弱性を検出・修正します。
「これらの新しい機能により、これまでに例を見ない規模での脆弱性発見が現実のものとなります」と、ホワイトハウスの高官は述べました。
このクリアリングハウスは「リソースの重複を避け、同じ脆弱性の修正やスキャンに無駄が生じないようにするとともに、脆弱性が検証されたうえで、業界と政府のエンジニアからなるチームが、業界側の負担を軽減する形でリスクを緩和しながら、それらの脆弱性のトリアージ、優先順位付け、修正に取り組めるようにします」と、この高官は述べています。
このクリアリングハウスは現在、脆弱性情報の取り込みと検証を行っており、Gold Eagleの管理者は、情報漏えいのリスクを冒すことなく、関係者に脆弱性情報を配布する仕組みを構築している最中だと、この高官は説明しました。
脆弱性の発見には、Anthropic社の「Mythos」のようなクローズドソースのモデルも活用される予定だと、この高官は述べました。政権は先月、セキュリティ上の懸念を理由に、Anthropicに対しClaude Fable 5およびMythosモデルの提供停止を強制しましたが、数週間後には方針を転換し、この命令を緩和しています。
政府は、カーネギーメロン大学のソフトウェアエンジニアリング研究所の支援を受け、クリアリングハウスの「取り込み部分」として機能するプラットフォームを構築したと、カーンクロス氏は述べました。
このクリアリングハウスはまた、カーンクロス氏が「脆弱性情報・調整環境(VINTS)」と呼ぶ仕組みも提供しており、これがクリアリングハウス内部での連携・情報発信のハブとなります。
VINTSは「重要なサービスを支えるソフトウェアの欠陥を最終的に修正・改善するために、脆弱性の処理と安全な共有、検証・優先順位付け・開示の維持を可能にします」と、カーンクロス氏は説明しました。
Gold Eagleは「CISA 2015法」によって実現しているとこの高官は述べ、9月に失効するこの法律の再承認を議会に求めました。
「この再承認がなければ、この取り組みは根本的に困難に直面します」と、この高官は記者団に語りました。
翻訳元: https://therecord.media/gold-eagle-cybersecurity-vulnerabilities-clearinghouse