نظرة سريعة
AIはサイバー攻撃のスピードと幅を増大させる。CISAのBOD 26-04はリスクに基づきパッチ適用を優先する基準を示し、日本のSCS評価制度も14日以内のアップデートを指示。企業は自社システムに合わせた対応が必要。
ملخص مُنشأ بالذكاء الاصطناعي
لماذا يهم
高度なAIモデルは、従来のサイバー攻撃の地道なステップをマシンスピードで実行し、Nデイ攻撃の成功率を高める可能性がある。これにより、攻撃のスピードと幅が変化すると考えられる。
高度なAIモデルがやることを推測すると、シンプルに考えればこれまで人間が実行してきた地道な攻撃ステップを、マシンスピードで一気に進行させるということが挙げられるでしょう。また、スキャンのスピードはこれまでも速かったのでそこは変わらなかったとしても、そこから先の吟味や選択も、AIが得意とする部分かもしれません。
さらに、パッチが公開された後、パッチのコードから脆弱(ぜいじゃく)性を逆算し、実際の攻撃コードを作ることで、パッチ公開後、適用までに脆弱性を突かれる「Nデイ攻撃」の成功率がこれまで以上に高くなることも想定できます。つまり、高度なAIモデルは、スピードと攻撃の幅を変えるのではないかと、筆者は考えています。
そう考えると、高度なAIモデルがこれまで思い付かなかったような手法を編み出すわけでもないと思えます。守る側はこれまでの手法のまま、スピードと幅に対処することとなるはずです。それは非常に難しいことではあります。幅に関しては、資産の管理の粒度を上げ、アタックサーフェスマネジメントの手法で管理しすることを徹底して対応することとなると思いますが、スピードについては企業が不得意だった「パッチ適用を漏れなく、迅速に実施する」という作業に取り組む必要があります。
AIが攻撃する時代になると、「四半期に一度のメンテナンスタイミングでパッチをまとめて当てる」「年に1度の脆弱性検査/ペネトレーションテストを実施する」というスケジュールではもはや間に合いません。敵はそれこそ、脆弱性発表後、数時間単位での侵害も可能となるでしょう。変えたものはシンプルながら、こちら側にとっては非常に大きな負担となります。
パッチ適用の考え方は?
ここで、興味深い資料を公開しましょう。パッチ適用の考え方について参考になるであろう、CISA(米サイバーセキュリティ・インフラストラクチャセキュリティ庁)が2026年6月10日に発行した拘束力のある運用指令「BOD 26-04: Prioritizing Security Updates Based on Risk」を紹介したいと思います。
「リスクに基づくセキュリティアップデートの優先順位付け」と題されたこの資料は、米国政府組織に向けて作られた基準を示すもので、従来の脆弱性管理指令(BOD 19-02 および BOD 22-01)を統合・廃止し、「全ての脆弱性を平等に扱うのではなく、最もリスクの高い脆弱性にリソースを集中させる」という観点でまとめられています。
脆弱性を修正するに当たり、本書では4つの変数が定義されています。
この変数の状況により、対応は「3日以内+フォレンジック調査」「3日以内」「14日以内」「60日以内」、そして「次回のシステムアップグレード時」のいずれかのタイムフレームに割り振られます。
これをざっくりとまとめると、このようになります。
これを見ると、BOD 26-04は「インターネット公開資産」「自動化攻撃が可能な脆弱性」にフォーカスしたものであると同時に、リスクが低い資産に関しては後回しにするという、メリハリのあるものと理解できるかと思います。また、タイムラインは動的に変化することも明示されています。例えば、インターネット公開資産を内部のみに変更すれば、期限は3日以内から14日、60日へと伸びます。逆に、これまで安全だと思っていた脆弱性がKEVに掲載されたり、自動化のツールが明らかになったりすれば、期限は3日に短縮されます。
日本の「SCS評価制度」では?
少々気になったので、日本で今話題となっている「SCS評価制度」(サプライチェーン強化に向けたセキュリティ対策評価制度)ではどうなっているかも併せて紹介したいと思います。
サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)(情報処理推進機構《IPA》)
IPAが公開している、SCS評価制度の★3・★4の要求事項・評価基準を見ると、ここでは「当該アップデートが、ベンダーにより「重大」(Critical)または「高リスク」(High Risk)と説明される脆弱性を修正するもの」、や「当該アップデートが、CVSSの基本値が7.0以上の脆弱性を修正するもの」について、アップデートプログラムがリリースされてから「14日以内」にアップデートすることが指示されています。
「14日以内」を明記するなど、これまでに比べてより具体的なルールとなっており、日本でもパッチ適用の優先順位を付ける(CVSS 7.0未満は後回しを許容する)仕組みとはなっているものの、BOD 26-04の基準とはまた異なるものであることが分かります。
「BOD 26-04を実装せよ」とも、「SCS評価制度が正しい」とも言えません。パッチ適用のルールは企業ごと、システムごとに変える必要があります。しかし、これらの考え方そのものは否定できる企業はないはずですし、これこそが、新たなAIモデル登場に対する、正しい対応であると考えています。
どちらの資料も公開されており、誰でも見ることができます。ぜひ、皆さんもチェックしてみてください。
ما الذي يجب مراقبته
توقعات الذكاء الاصطناعي — احتمالات وليست حقائق
AI活用によるサイバー攻撃の頻度と巧妙さが増加する。
مرجح جداً · خلال أشهر
企業はパッチ適用プロセスを抜本的に見直し、自動化・迅速化を進める。
مرجح · خلال أشهر
أسئلة مفتوحة
- AIによる新たな攻撃手法は登場するか?
- 企業はパッチ適用体制をどこまで迅速化できるか?
- AI攻撃に対する国際的な協力体制は?
