ギュンター・オルマン氏はCobaltのCTOであり、情報セキュリティの最前線に数十年の経験と革新をもたらしている。
AI駆動型のオフェンシブセキュリティツールは急速に普及しており、技術的知識が限られた人でも使用できるようになっている。これらのツールは技術的に非常に高性能で、これまでにない速度と規模で脆弱性を発見できる。しかし、それらが生成する「ノイズ」という観点では欠点がある。長年にわたり、セキュリティ運用スタッフが何百もの誤警報が鳴り響くコンピュータの前に座っていたように、今や脆弱性管理の責任者にも同じことが起きている。
新しいAI駆動型ツールは、コンテキストや必要な優先順位付けなしにユーザーに警告を浴びせかけ、アナリストがシグナルをノイズから分離することをほぼ不可能にしている。これらのツールは発見に優れているが、実際の結果は対応不可能で高コストな警告の急増である。これにより警告疲れが生じ、実際の攻撃者が見過ごされ、最終的にはセキュリティ機能への信頼が損なわれる。
ゼロデイは注目を集めるが、レガシーな脆弱性も問題である
Cobaltのペネトレーションテスト状況レポート2025では、10年間にわたる2,700以上の組織のテストを分析した。驚くべきことに、組織はテストで特定された悪用可能な脆弱性の半分未満しか修正していないことがわかった。全体として、企業はペネトレーションテスト結果の半分未満(48%)しか対策を講じていないが、「深刻」とラベル付けされた発見については、この数字は大幅に改善(69%)される。そしてゼロデイが見出しを飾る一方で、レガシーなバグも同様に問題となっている—昨年悪用された脆弱性の40%は2020年以前のものだった。
これは「責任ゲーム」ではない。課題はほとんど比較できないほど異なる。パッチは入手できないことが多く、効果がなかったり、大規模に適用するのが難しかったりする。セキュリティチームはしばしば限界まで追い詰められ、毎日500項目の「願望リスト」を抱えながらも、対応できるのは50項目のみということがよくある。永続的な課題は、単に弱点を見つけることではなく、どれが本当に重要で、利用可能なリソースで現実的に対処できるかを決定することである。
AIツールはCVEではなくCWEを見つけることが多い
AIツールは問題の発見に非常に優れているが、その出力の多くは確認済みの悪用可能な欠陥であるCVE(共通脆弱性識別子)にきれいにマッピングされない。代わりに、実際のセキュリティリスクに変換されるかどうかわからないCWE(共通脆弱性タイプ一覧)やソフトウェアの「バグ」を生成することが多い。
私たちはよく干し草の山から針を見つけることについて話すが、ここでの結果は針の山である。セキュリティチームは何百、何千もの問題を指摘され、その多くは実際の脅威となることはないかもしれない。これは単に不満を引き起こすだけでなく、修正までの平均時間などの重要な指標を歪め、チームがキャパシティいっぱいに働いていても遅れをとっているように見せてしまう。
人間は依然として重要である
人間の側面は極めて重要だ。特にAIなどのテクノロジーは速度と規模に優れているが、人間のアナリストの長年の経験と判断力をまだ置き換えることはできない。経験豊富なペネトレーションテスターは重要なコンテキストの層を提供し、弱点が本当に悪用可能かどうかを検証し、その潜在的な影響を測定し、企業のITスタックとリスク許容度の文脈内で対策について助言することができる。彼らは直感を使って、コードに埋もれた理論上のバグ(表面化することはないかもしれない)と、攻撃者が明日にも武器化できる悪用可能な欠陥による実際の脅威を区別することができる。
ペネトレーションテスターはまた、独自のマインドセットをもたらす—彼らは攻撃者のようにシステムとネットワークを見る。彼らは攻撃者の手法と動機を理解している。これは、攻撃者が最初に標的とする弱点と、おそらく放置する弱点を特定できることを意味する。この直感こそがノイズを切り抜けるシグナルであり、貴重なセキュリティリソースが実際に重要な問題に集中することを保証する。
攻撃者もこれらのツールを使用する
攻撃者がディフェンダーと同じツールを使用することも忘れてはならない。バグハンターはすでに特定の脆弱性クラスに的を絞るためにAIを採用しており、時にはディフェンダーより先に発見することもある。国家アクターやサイバー犯罪グループも同様に、AIの出力を洗練させて収益性の高い悪用経路を明らかにしている。しかし最終的に、犯罪は人間によって実行され、彼らもまたAIだけに頼ることはない。
解決策は「AIか人間か」の問題ではなく、両者の重要なバランスにある。自動化だけでも規模、発見、速度の面で大きな利点をもたらすが、最も重要な脆弱性の検証、優先順位付け、修正における人間の専門知識と組み合わせる必要がある。なぜなら、サイバーセキュリティにおける課題は、単により多くの脆弱性を見つけることではなく、攻撃者に悪用される前に適切な脆弱性を修正することだからである。
