元CISA長官のジェン・イースタリー氏は、AIによってサイバーセキュリティ業界が終焉を迎える可能性があると主張しています。犯罪者が頼りにしているずさんなソフトウェアや脆弱性が、これまで以上の速さで特定されるようになるからです。
サンディエゴで開催されたAuditBoardのユーザー会議で、イースタリー氏は脅威の状況は絶えず進化し続けていると語りました。
データ、プラットフォーム、デバイスの増加により、「中国やロシア、イラン、北朝鮮、そしてサイバー犯罪集団のようなサイバー脅威アクターに対する攻撃対象領域が拡大しています」。イースタリー氏は、もしサイバー犯罪が国であったなら、米国と中国に次いで世界で3番目に大きな国になるだろうと述べました。
しかし最終的には、これらすべては脆弱性だらけの悪いソフトウェアが原因です。
「私たちにはサイバーセキュリティの問題はありません。ソフトウェアの品質の問題です」と彼女は述べました。その主な理由は、ソフトウェアベンダーが安全性よりも市場投入のスピードやコスト削減を優先していることにあります。
AIは攻撃者をより有能にし、よりステルス性の高いマルウェアや「超パーソナライズされたフィッシング」の作成を助け、また脆弱性や欠陥をより迅速に発見・表面化させています。
CISAは独自のAIアクションプランで対応しており、「これを正しく進めることができれば、防御側や保護者側に有利な状況をもたらし、守ることができると私は信じています」と述べました。
それには検知、対策、攻撃からの学習だけでなく、脆弱性の特定やソフトウェアを設計段階から安全にすることも含まれます。
最終的に彼女は「これらの非常に強力な技術を安全な方法で構築・展開・管理できれば、サイバーセキュリティの終焉につながると信じています」と語りました。
つまり、セキュリティ侵害がビジネスのコストではなく、例外的な出来事になるという意味です。
またイースタリー氏は、ハッカーを神秘化するのをやめ、Fancy BearやScattered Spiderのような意味深長で華やかな名前を付けるのをやめることが重要だと付け加えました。より適切な呼び名は「やせ細った厄介者」や「弱々しいイタチ」などでしょう。
同様に、彼らの技術的能力の実態を明確にすることも重要です。「高度持続的脅威」のような言い回しは、攻撃者が何年も業界を悩ませてきた同じカテゴリの脆弱性を圧倒的に悪用しているという事実を覆い隠しています。人民解放軍は特殊なサイバー兵器に頼っているのではなく、単にルーターや他のネットワーク機器の欠陥を利用して、台湾との戦争が起きた場合の本格的な攻撃の準備をしているだけだと彼女は述べました。
さらにイースタリー氏は、これが被害者から注意をそらしているとも述べました。多くの場合、企業のミスにばかり焦点が当てられすぎています。ユーザーの行動が調査のきっかけになることはあっても、それが結論であってはなりません。
むしろ、本当の焦点は、MITREが約20年前に明らかにした共通要因――クロスサイトスクリプティング、メモリ安全でないコーディング、SQLインジェクション、ディレクトリトラバーサル――が今もなお出荷されるソフトウェアの一部であるという事実にあるべきです。「これは驚くべき革新ではありません……昔からあるものです。」
これは、ソフトウェア企業が顧客にすべてのリスクを負わせ、それが許容されると政府や規制当局を納得させてきたためです。
AIはこれに対処する方法を提供すると彼女は主張しました。AIはコード内の欠陥を追跡・特定するのがはるかに得意だからです。そして「パッチだらけで不安定な欠陥だらけのインフラ」が残した技術的負債の山にも対処できる可能性があります。
イースタリー氏は、トランプ氏がホワイトハウスに復帰した際にCISAの役職を辞任し、その後ウェストポイントでの役職も取り消されましたが、現政権のAI規制へのアプローチも支持しています。
「素晴らしいニュースは、現政権がソフトウェア全般に対して設計段階から安全であるべきという考え方を引き続き推進していることです。」しかし彼女は、「肝心なのは」最近発表されたホワイトハウスのAIアクションプランが、特にサイバーセキュリティと、セキュリティを最優先にして作成・設計・開発・テスト・提供されるAIシステムの必要性について言及している点だと述べました。
イースタリー氏とのQ&Aで、AuditBoardのCISOリチャード・マーカス氏は、同社がサプライヤーとの取引において設計段階から安全であるという原則が有用だと感じていると述べました。しかし彼は、「実際に私たちは自社のチームにも同じ原則を求めており、市場で期待されることを自社製品でもしっかり守っているか確認しています」と付け加えました。
マーカス氏から来年最も重要だと思うことを問われたイースタリー氏は、ソフトウェアリスクを減らす鍵はソフトウェアベンダーにもっと多くを要求することだと述べました。「リスクが生じるのはそこですし、皆さんが行っているすべての活動を通じて、そのリスクを非常に大きく低減させる力と能力が私たちにはあるのです。」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/27/jen_easterly_ai_cybersecurity/
