脆弱性対応の「運用」の重みが増大
Claude Mythosの脆弱性検出精度やスピードを踏まえて、「Claude Mythosが検出した脆弱性にどう対応するか」といった議論がなされている。今後、脆弱性を修正する更新プログラムがさまざまなベンダーから大量に公開されることが予測され、システム更新の負荷に対する担当者の懸念も大きいだろう。
脆弱性への対応には長年課題が残っている。特に国内では、独自アプリケーションの開発が広く行われてきたが、脆弱性診断は新規公開時やシステム更新時のみ実施するといったケースも見られる。独自のレガシーアプリケーションに関しては、保守リソースの確保が今後大きな課題になり、アプリ刷新も選択肢として検討せざるをえなくなるだろう。
検査によって深刻度が高い脆弱性が見つかっても、放置され続けているといったケースも散見されている。事実、深刻度「高」「緊急」の脆弱性が本番環境の63%で放置されている。脆弱性に加えて、セキュリティインシデントでは、放置されている設定ミスが原因となっているものも多い。フロンティアAIの有無に関係なく、脆弱性や設定ミスが放置されているケースは現時点ですでに問題になっている。
緊急点検といった一過性の議論も見られたが、脆弱性や設定ミスへの対応は一時的に行って完了するものではない。フロンティアAIモデルによって修正プログラムの大量の波が予測されるのに加えて、同じフロンティアAIモデルのバージョンアップによって、新たな問題が都度見つかることは容易に想像できる。
脆弱性や設定ミスへの対応をサイクルとして回す「運用」の仕組みと体制がこれまで以上に重要になる。対応のプロセスを自動化していくなど人間の労力、工数を最適化した上で、従来は人間が担っていた「脆弱性の深刻度評価やシステムの重要度を踏まえた優先順位付け」も、今後は押し寄せるパッチの波により、人間のみで適切に判断することは困難になる。そのため、AIによる総合的なリスクスコアリングと継続的な優先順位付けを活用し、人間はAIが提示した最重要課題に対する最終的な意思決定や戦略的な防御体制の構築に人的資源を注力するといった発想の転換が必要だ。
フロンティアAIによって「やるべきこと」は変わるのか?
フロンティアAIの強みは、単に個々の脆弱性を検出する能力に限らない。アプリケーションの構造を理解し、深刻度の低い脆弱性を組み合わせることで深刻度の高い攻撃パスを作ることが可能だ。加えて、英AIセキュリティインスティチュートの発表にもあるように、ネットワークへの侵入から偵察、乗っ取りと、テストにおける一連の攻撃をClaude Mythosが自律的に完遂できたとされている。
