ゴールドイーグル・クリアリングハウス、セキュリティの隙間を狙うも運用実態は不透明

ホワイトハウスの「ゴールドイーグル」がついに始動しました。

ホワイトハウスは脆弱性対応の調整機関「ゴールドイーグル」を6月2日に発表した後、7月14日にこの取り組みを正式に開始しました。この協調基盤は、Anthropic社のClaude Mythosのような大規模言語モデル(LLM)が脆弱性を取り巻く状況を根本的に変えることを見据え、国家サイバーセキュリティの近代化を目指すホワイトハウスの広範な計画の一環として発表されたものです。

このクリアリングハウスは、財務長官のスコット・ベッセント氏が、国家サイバー長官のショーン・ケアンクロス氏、国防長官ピート・ヘグセス氏(国家安全保障局(NSA)長官ジョシュア・ラッド氏を通じて)、国土安全保障長官マークウェイン・ムリン氏(サイバーセキュリティ・インフラセキュリティ庁(CISA)長官代行のニック・アンダーセン氏を通じて)と協議のうえ計画したものです。

このAIクリアリングハウスは、AI業界と重要インフラを対象とした任意参加の協調の枠組みで、原文の大統領令によれば、「ソフトウェアの脆弱性スキャンの調整・重複排除、脆弱性の発見・検証、そして修正パッチの改善優先順位付けと配布の調整」を行うとされています。

開始にあたっての発表では、このクリアリングハウスの目的についてさらに詳しい説明がなされています。

発表文には、「オープンソースソフトウェアのパートナーおよび米国の重要インフラ企業は、連邦政府が既存の権限とリソースを活用し、これまでにない速度と規模でサイバー脆弱性を受理・修正するための協調システムを構築した」と記されています。ホワイトハウス、財務省、その他の連邦パートナーは、「業界パートナーと緊密に連携し、より迅速な脆弱性検知を可能にするとともに、重要インフラの各セクターにわたるサイバー脆弱性への迅速かつ優先度に基づいた対応を策定した」としています。

ホワイトハウスはゴールドイーグルを、フロンティアAIの能力を活用し、重複するスキャン作業を排除しながら攻撃者よりも速く前進し、各セクターに優先度付けされた実用的な脅威・改善情報を提供する「フォースマルチプライヤー」だと位置づけています。この取り組みはすでに、各業界・セクターにわたる脆弱性の受理と優先順位付け、スキャン検証の調整を開始しています。

しかし、この業界全体を巻き込んだ取り組みが開始されたにもかかわらず、最終的な実装の詳細はいまだいくぶん不明瞭なままです。

結局のところ、ゴールドイーグルとは何なのか

ゴールドイーグルは、セキュリティ業界が差し迫った「脆弱性の黙示録(バルンポカリプス)」を憂慮する中で始動しました。Mythosのようなモデルの登場により、防御側は間もなく前例のない数のバグへの対応を迫られることになります。

ゴールドイーグルは、米カーネギーメロン大学ソフトウェア工学研究所が米国政府と共同で設計した脆弱性情報・調整環境(Vulnerability Information and Coordination Environment)である「VINCE」を基盤に構築されています。VINCEは、コンピュータ緊急対応チーム調整センター(CERT/CC)が脆弱性の開示・調整に長年利用してきたプラットフォームです。

Bugcrowd社およびdisclose.ioの創設者であるケイシー・エリス氏は、ゴールドイーグルは「現時点では技術システムの体裁をまとった調整プロセスに過ぎない」と説明しています。

「これはクリアリングハウス、つまり脆弱性を受理し、AIでトリアージし、引き渡すという仕組みです。それはプロセスであり組織図であって、新たなインフラそのものではありません。発表文もその点を慎重に言い切らないようにしています」と同氏は説明します。

Luta Security社の創業者兼CEOで脆弱性対応の先駆者でもあるケイティ・ムソーリス氏はDark Readingの取材に対し、ゴールドイーグルが狙うセクター横断の脆弱性調整における隙間は「現実に存在する」と語ります。既知の悪用脆弱性(KEV)カタログ、国家脆弱性データベース(NVD)、情報共有分析センター(ISAC)のいずれも、セクターを横断した優先順位付けには対応していないためです。そして同氏がかねてから指摘してきたとおり、脆弱性管理を巡る政策上の課題は放置していても自然に解決するものではありません。

「ボトルネックは、より多くのバグを把握することではなかったのです。優先順位を付けて修正し、再発を防ぐための人材とプロセスを備えることこそが課題でした」と同氏は述べます。「新しいBOD 26-04に基づく改善の優先順位付けは、当然ながら影響を受ける各組織のスキルとプロセス次第になります。というのも、4つの優先順位付け基準のうち2つ、場合によっては3つまでが主観的で、組織ごとに異なるものだからです」

BOD 26-04は、CISAが新たに定めた、組織ごとに異なる改善の優先順位を決定するための基準です。6月10日に発表されたこの基準には、KEVの登録状況(悪用が確認されているかどうか)、資産が公開されているかどうか、脆弱性が自動的に悪用され得るかどうか、そして技術的な影響の度合いが含まれています。

ムソーリス氏は、CISAのAWSキーが公開のGitHubリポジトリに6か月間露出していた件に関するCISAの最近の事後検証を、連邦政府レベルに既に存在するプロセス上の弱点を浮き彫りにする一例として挙げています。

エリス氏も、ゴールドイーグルの前提となる考え方は正しく、指摘されている隙間も現実のものであるという点には同意しています。ただし同氏は、ゴールドイーグルが「現時点では動詞で語られているだけで、名詞で語られていない」ことを懸念しています。

「調整する、優先順位を付ける、重複を排除する、そして絶え間なくパッチを当てる。結構なことです。しかし、それを誰が、どのような権限のもとで、データをどう保護しながら、どんな資金で行うのか。この計画が成功するか失敗するかは、まさにそこにかかっています」と同氏は語ります。

ゴールドイーグル:政策とステークホルダーの観点から

Omdia社(Informa TechTargetの傘下でもある)のチーフサイバーセキュリティアナリスト、リック・ターナー氏は、重要インフラ企業やソフトウェアベンダーはゴールドイーグルを好意的に受け止め、来たるべき「脆弱性の黙示録」への対応を効率化しようとする試みを歓迎するだろうとの見方を示しています。

また同氏は、現在のホワイトハウスがAIと築いている複雑な関係、そして米国の政治プロセスについても見過ごしてはいません。

「Glasswingは、Mythosによってもたらされた脆弱性の黙示録への国際的な対応を調整するには、中心となる組織が必要であることを確かに示していました。したがって、そうした組織が今や米国政府の後ろ盾を得たという事実は、表面的には、より重みを持たせ、中立性と公正さをある程度保証することにもつながるはずです」とターナー氏は語ります。「とはいえ、これはトランプ政権の話です。ゴールドイーグルは、極めて緊迫し、高度に分極化した米国という環境の中で誕生しました。そこでは、ホワイトハウス発のあらゆる物事が疑いの目で、もっと言えば懐疑的な目で見られかねません」

Knostic社のチーフAI責任者スーニル・ユー氏は、政府が「フロンティアAIの能力」を通じて関係者を支援したいのであれば、最も有用な適用先は脆弱性修正の実装を加速させるようなものだろうと述べています。

「積極的に脆弱性を発見すること自体は、これまでも制約にはなっていませんでした。修正やパッチを見つけることも、大きな制約にはなっていませんでした。従来から制約となってきたのは、ソフトウェアが導入されているあらゆる場所に修正を実装することです」と同氏は語ります。「さらに掘り下げれば、修正を展開したうえで、すべてが期待どおりに動作していることを再認証する作業こそが課題なのです」

同様に、Cyware社のチーフプロダクトオフィサーであるサチン・ジェイド氏はDark Readingの取材に対し、AIツールは現状誰も対応しきれないほどの速さで脆弱性を洗い出せる一方で、どの発見が本物かを見極め、深刻度に優先順位を付け、修正を開発・展開するまでには遅れが生じていると指摘します。

「この取り組みは良い出発点です。私たち業界全体が協力し、アプローチを磨き上げ、防御の速度を高め、情報共有と集団的な防御を後押しし、受け身ではなく能動的な姿勢を身につけていく必要があります」とジェイド氏は述べています。

翻訳元: https://www.darkreading.com/vulnerabilities-threats/gold-eagle-clearinghouse-targets-security-gap

ソース: darkreading.com