AI支援による脆弱性発見の急増は、パッチ管理の実務にさらなる負荷をもたらしつつあり、「ジャストインタイム」パッチ適用をはじめとするリスクベースのリアルタイム防御戦略の必要性を高めています。
セキュリティ専門家たちは、脆弱性の悪用ペースが加速する中、企業に対して脆弱性管理戦略を見直し、「ジャストインタイム」型のパッチ適用へと移行するよう呼びかけています。
攻撃者はAIを活用することで、脆弱性の悪用やサプライチェーン侵害のペースを速めており、従来型の脆弱性管理ではもはや対応が追いつかなくなっています。
マネージドセキュリティサービスベンダーHuntressでEMEA担当のvCISO兼サイバーセキュリティアドバイザーを務めるMuhammad Yahya Patel氏は、先頃CSOに対し次のように語っています。「組織は脆弱性管理プログラムを、リアルタイムの悪用インテリジェンスに紐づいたリスクベースかつ継続的な[アプローチ]へと転換する必要があります。数日から数週間にわたって悪用可能な期間を放置してしまうような、スケジュール化されたパッチ適用サイクルではもう通用しません」
未開の領域
Claude Mythosのようなフロンティア AIツールはサイバーセキュリティに構造的な転換をもたらす兆しを見せており、大規模な脆弱性を容易に発見できるようになっています。英国のNational Cyber Security Centreのような政府系セキュリティ保証機関が指摘する通り、この動きはパッチの急増につながる可能性が高いとみられています。
ネットワークセキュリティベンダーTitaniaのCTOを務めるAndrew Woodford氏はCSOに対し、次のように語っています。「多くの組織はすでに既知の問題を迅速に修正することに苦労しています。そのためAIによる発見の急増は、チームを容易に圧倒し、問題の発見と修正の間のギャップをさらに広げかねません。ある意味これは、すでに存在していた問題を露呈させているに過ぎません」
サイバーセキュリティベンダーRunSafe SecurityのCTOであるShane Fry氏は、セキュリティ戦略としてのパッチ適用は何年も前から危機的状況にあり、AIによる脆弱性発見の加速がそれを限界点まで押しやったに過ぎないと主張しています。
一部の専門家は、脆弱なコードそのものを修正するのではなく、セキュリティレイヤーで悪用の試みをブロックする手法である仮想パッチが有効な緩和策になると主張していますが、Fry氏はこのアプローチには懐疑的です。
「仮想パッチは今後一定の役割を果たすでしょうが、その効果には限界があり、セキュリティチームは決して埋めきれないギャップを追いかけ続けることになります」とFry氏は述べています。
そうではなく、セキュリティチームは、攻撃者がソフトウェアのバグを悪用すること自体を不可能にする、緩和策を優先したアプローチへと転換する必要があります。
「攻撃可能な脆弱性クラス全体を事前に取り除くことで、パッチギャップの緊迫感を和らげ、パッチ適用を場当たり的な対応ではなく戦略的な取り組みへと変えることができます」とFry氏は主張しています。
「自律性を前提とする」
従来型のパッチ管理モデルは、脆弱性の発見が人間のペースで進むという前提の世界に合わせて設計されてきました。人間の研究者が欠陥を発見し、それを報告し、CVEが割り当てられ、ベンダーが修正版をリリースし、企業がそれをテストして導入する——このプロセスには数週間かかることもあります。
AIを活用した脆弱性発見は、このモデルを根底から覆します。
Forescoutでセキュリティインテリジェンス担当バイスプレジデントを務めるRik Ferguson氏は、次のように主張しています。「攻撃的AIが人間の許可なく脆弱性を特定し、検証し、悪用できるようになれば、VerizonのDBIRで指摘されているパッチ適用までの中央値43日という数字など、もはや問題の中でも些細な部類に入ります。AIシステムは、GitHub上で概念実証コードが出回るのを待ったり、CVSSスコアがダッシュボードに反映されるのを待ったりはしません。欠陥を発見し、悪用可能性を確認し、そのまま行動に移すのです」
Ferguson氏は、自身が「自律性を前提とする(Assume Autonomy)」と呼ぶアプローチへの転換を提唱しています。
「問題は、発見から修復までの間にどのような補完的な統制を設けるか、そしてすでに攻撃者が獲得したアクセス権で何ができるかをどう制約するかです」とFerguson氏は説明しています。
ジャストインタイム型のパッチ適用はこの考え方に合致しており、望ましい目標ではあるものの、特に資産管理に苦労している多くの企業にとっては、実現が難しい場合もあります。
「ジャストインタイム型のパッチ適用は原則としては理にかなっています。スケジュールされたタイミングを待つのではなく、悪用インテリジェンスが得られ次第、優先順位をつけて修正を展開するというものです」とFerguson氏は述べています。「しかし、これを実現するには現実的な要件があります。継続的な資産の可視化、つまり自社が何を保有し、それがどこにあり、現在の露出状況がどうなっているかを正確に把握していることが必要です」
例えばFerguson氏は、「自社ネットワーク上に存在すると認識していなかったデバイスの脆弱性に対しては、ジャストインタイムでパッチを適用することはできません」と付け加えています。
仮想パッチ
ペネトレーションテスト・アズ・ア・サービス企業CobaltのCTOであるGunter Ollmann氏は、パッチが実際に利用可能である場合には、ジャストインタイム型のパッチ適用は理にかなっていると指摘する一方、それが常に可能とは限らないとも述べています。
「大きな問題となるのは、企業が自ら修正する権利や能力を持たないコードやシステムに新たな脆弱性が発見されるケースです。この場合、企業は修正やパッチの開発をサードパーティに依存することになり、結果として外部のSLA(サービスレベル契約)に基づく対応時間に左右されてしまいます」とOllmann氏は説明しています。
このような場合、企業は脆弱なシステムの悪用経路をブロックまたは回避できる仮想パッチを導入する必要があります。
「企業は、新たな脆弱性を迅速に読み解き、多層防御のために適切なブロックルールを動的に作成することを切実に求められています」とOllmann氏は述べています。
仮想パッチは、特に運用技術(OT)やIoT環境において、稼働中の本番システムにベンダーのパッチを適用すると予期せぬダウンタイムや安全システムの中断を招くリスクがある場合に、セキュリティ上の脅威を緩和し得るものの、あくまで一時しのぎに過ぎないとFerguson氏はCSOに語っています。
「実際の修正に向けたテストと展開のサイクルを進めている間、既知の欠陥の悪用をブロックするネットワークレイヤーの統制は、あくまで補完的な統制です」とFerguson氏は指摘し、仮想パッチには複数の欠点が伴うと警告しています。
「仮想パッチには正確な検知シグネチャが必要であり、根本的な脆弱性そのものを修復するわけではありません。しかも、対応が完了したかのような誤った安心感を生み出し、本来のパッチ適用が際限なく先延ばしにされてしまうおそれがあります」とFerguson氏は主張しています。「問題は、一時的な措置のはずが恒久化してしまうことです。根本の脆弱性は放置されたままとなり、仮想パッチがあることで誰もそれに再び向き合わなくなってしまうのです」
ジャストインタイム型のリスク低減
Rapid7で脆弱性インテリジェンス担当ディレクターを務めるDouglas McKee氏は、ジャストインタイム型のパッチ適用には実務上の困難が伴うことから、これに代わるものとして「ジャストインタイム型のリスク低減」と呼ぶアプローチを提唱しています。
「現実の世界、特にOT、医療機器、事業継続に不可欠なシステムにおいては、CVEが公表された瞬間に常にパッチを適用できるわけではありません」とMcKee氏は主張しています。「テスト、メンテナンスウィンドウ、ロールバック計画、そして実際にその資産を管理する担当者が必要です。とはいえ、月次でスキャンし、報告し、修復するという従来のサイクルは、この速度についていけなくなっています」
脆弱性管理を現代化するためのポイント
企業の攻撃対象領域は近年大幅に拡大しており、パッチ管理モデルはそれに追いついていません。こうした状況を受け、セキュリティリーダーの脆弱性管理戦略は、トリアージと修復を行うプロセスではなく、継続的な監視機能としての性格を強める必要があります。
企業の脆弱性管理へのアプローチを現代化するには、「優先順位付けに組み込まれたリアルタイムの悪用インテリジェンス、パッチのリリース時ではなく発見時点で展開される補完的な統制、そして従来のパッチ管理ツールでは決してカバーしきれなかった資産全体にわたる可視性が必要です」とFerguson氏は述べています。
Rapid7のMcKee氏は、セキュリティチームが「既知の脆弱性である」ことと「自社環境において実際に到達可能で悪用可能である」ことを切り分ける必要があると強調しています。
このプロセスは、資産インベントリ、インターネット上の露出状況のマッピング、KEV(既知の悪用済み脆弱性)の追跡、脆弱性インテリジェンス、責任の所在の明確化、そして緊急時の変更対応経路を組み合わせることで実現できます。
「公開範囲、既知の悪用状況、自動化の可能性、技術的な影響といったリスク要因に基づいた優先順位付けが鍵となります」とMcKee氏は結論づけています。