米国、AI主導の脆弱性管理を統括する「Gold Eagle」を始動

米国政府は、脆弱性管理をめぐって拡大し続ける課題に対応するため、より迅速なエクスプロイト検出と修復を目指す新プログラム「Gold Eagle」を立ち上げました。

Gold Eagleは6月に発令された大統領令14409号で予告されていたもので、サイバーセキュリティ・インフラセキュリティ庁(CISA)、財務省、国防総省が民間セクターのパートナーとともに協力する形で推進されます。

ホワイトハウスはこの取り組みを、「連邦政府が既存の権限とリソースを活用し、これまでにない速度と規模でサイバー脆弱性を受理・修正するための統合システム」と説明しています。

その狙いは、重複するスキャン作業を減らし、政府機関および民間企業のネットワーク防御担当者に対して実用的な修復情報を届けることにあります。

財務長官のスコット・ベッセント氏は、「財務省は民間セクターと緊密に連携し、金融機関を守り、脆弱性を解消し、米国の金融システムの健全性を維持するために取り組んでいます」と述べています。

関連記事: ファイブアイズ、フロンティアAIの脅威への対応を緊急要請

このプログラムに関する情報はまだ限られていますが、政府とカーネギーメロン大学ソフトウェアエンジニアリング研究所による共同プロジェクトである脆弱性情報・調整環境(VINCE)を基盤にすると見られています。

これにより、個人や企業が脆弱性をトリアージのために報告できる中央拠点が提供されることになります。AIが発見するバグの急増に多くのプロジェクトが対応しきれずにいる現状を踏まえると、オープンソースのメンテナーたちがGold Eagleの活用に深く関わることが見込まれています。

サイバー専門家は懐疑的な見方

サイバーセキュリティの専門家や実務者らは、この取り組みが多くの組織を悩ませている修復のボトルネック解消にはほとんど寄与しないように見えると指摘しています。

Suzu Labsのセキュアな AIソリューション・サイバーセキュリティ担当シニアディレクター、ジェイコブ・クレル氏は「Gold Eagleは方向性としては正しいものの、誤ったボトルネックを最適化してしまうリスクがある」と主張しました。

「私がこれまで関わってきたセキュリティチームはどこも、AIが登場する以前から、対応しきれないほどの修復・堅牢化作業を抱えていました。AIによって検出が加速すれば、すでに滞留しているパイプラインにさらに多くの検出結果が流れ込むことになりかねません」

同氏はさらに、CISAの既知悪用脆弱性(KEV)カタログにはすでに1600件を超える項目が登録されており、それぞれに義務的な対応期限が設けられているにもかかわらず、連邦政府機関はその期限を守れていないと付け加えました。

「Gold Eagleは検証、重複排除、優先順位付けを改善するかもしれませんが、連携すること自体が、修正を展開するために必要なエンジニア、メンテナンス時間、ベンダーのリソースを生み出すわけではありません」とクレル氏は主張しています。

Cobalt社のCTOであるガンター・オルマン氏は、各省庁と業界間で脆弱性データを連携させるこの取り組みを慎重ながらも歓迎する一方、この計画の限界についても指摘しました。

「重複したスキャンは、本来なら実際の修正作業に充てられるはずのアナリストの時間を無駄にしています。メンテナーと重要インフラ運用者の間で共有パイプラインを構築することは、確かに実在するギャップに対応するものです」と同氏は述べています。「ですが、脆弱性を見つけること自体はもうしばらく前から、さほど難しい部分ではなくなっています。実際の悪用可能性に照らして優先順位を付け、然るべき担当者の手に修復作業を届けることこそが、多くのプログラムがつまずくポイントであり、それは連携とワークフローの問題であって、AIだけで解決できるものではありません」

同氏は、モデルがどのように深刻度をランク付けし、どの関係者がパイプラインに参加しているのかを可視化することが、Gold Eagleが自分たちのリスク評価を変えるものかどうかを防御側が判断する上での鍵になると述べています。

「AIは確かに、大規模なトリアージを加速させることができます。しかし、ビジネス上の文脈や依存関係の連鎖、あるシステムが実際に何をしているのかを理解しているのは人間であり、最終的に何を優先して修正すべきかを判断するのは依然として人間の役割です」とオルマン氏は付け加えました。「このワークフローの自動化が進むほど、恩恵を受けるのはすでに強固な資産の可視性と検証体制を備えている組織になるでしょう。AIはどのようなプロセスを与えても、それを加速させます。しかし、優れたプロセスそのものを持つ必要性に取って代わることはありません」

コンプライアンス管理企業Strike Graphの創業者、ジャスティン・ビールズ氏も同様の見解を示しました。

「重要インフラの分野では、制約となってきたのは脆弱性の発見そのものであることはほとんどありませんでした。むしろ、修復に充てられるリソースと、誰がいつまでに何を修正するのかという責任の所在の明確さが課題なのです。すでに滞留した業務量に対応しきれていない防御担当者に、より優先順位付けされたガイダンスを届けたとしても、それだけではスループットは変わりません」と同氏は述べています。

「実際に成果を上げるプログラムは、検出と、その後の測定・説明責任の仕組みを組み合わせています。もしGold Eagleがその後半部分を備えているなら、意味のある取り組みになるでしょう。しかし今回の発表では、前半部分しか説明されていません」

翻訳元: https://www.infosecurity-magazine.com/news/us-gold-eagle-ai-vulnerability/

ソース: infosecurity-magazine.com