最近、Anthropicが発表したAIエージェントClaude Mythosと、それの派生である各種のAI駆動型脆弱性検知について調べていました。
1日1日情報がアップデートされるので、この手の話題は個人的に、表面的な「どう使えるか」よりも、それが当然視される時代に至るまでに「何を準備すべきか」ばかり考えてしまいます(会社組織でもてはやされるのは前者なんですけどね(^▽^;)
せっかくのゴールデンウィーク休みなので、今まで調べていたところから見えてきたセキュリティの未来と、今まさに現場で起きている課題について、自分なりの考察をまとめてみました。
攻撃の「質」から「速度と自動化」へのパラダイムシフト
Claude Mythosが示唆する変化の本質は、サイバー攻撃者の攻撃の質そのものよりも、「速度と自動化」にあると認識しています。
これまでは、複雑な脆弱性は「熟練した攻撃者でなければ見つけられないもの」でした。
しかしAIの進化により、それらは「見つかりにくいもの」から、誰でも、あるいは自動で「確実に見つけられるもの」へと性質を変えつつあります。
これは、セキュリティ(守り手)の主戦場が「防げるかどうか」から「いかに早く見つけ、迅速に対応できるか」へ完全に移行していることを意味します。
もちろん、従来のパッチ適用やアクセス制御といった防御対策が不要になるわけではありません。
これまでの対策を土台としつつ、そこに「脆弱性の発見から対応までの圧倒的な速度と精度」をどう組み込むかが、これからの鍵となっていくと見込みます。
「見つけるAI」と「評価する人間」のギャップ
一方で、ツールがいくら脆弱性を見つける能力を高めても、それを受け取り、評価・処理する人間の能力が追いつかなければ、開発現場の負荷は増すばかりです。
先日、あるインシデント対応においてOWASP ZAP(旧来の脆弱性診断ツール)を実施してもらった際、開発エンジニアが偽陽性(検知されたが実際には脆弱性ではないもの)の排除に非常に苦慮している姿を目の当たりにしました。
ツールの検知能力が上がるほど、ノイズも増え、判断の重圧が現場にかかるという現実があるのではないか?と思います。
将来的な自動修復の可能性には期待しつつも、まだまだ今後2〜3年は「人間の判断能力を高めること」が優先課題だと感じています。
いま組織が取り組むべき重要テーマ
具体的には、脆弱性を検知した際に以下のサイクルを確実に回せる人材を育てることが、当面の重要テーマになると考えています。
- 悪用可能性の評価(その脆弱性は本当に攻撃可能なのか?)
- 影響範囲の評価(もし攻撃されたら、どこまで被害が広がるのか?)
- 対応優先順位の判断(リスクと工数を天秤にかけ、どの順番で対処すべきか?)
これらを的確に判断し、必要な機能開発(←そもそもこっちが改訂の主ですよね?)とともに、リリースサイクルへ組み込んでいける要員体制を構築することが必要になってくると考えます。
ツールに使われるのではなく、AIが出してきた結果を「ビジネスとセキュリティの文脈」で正しく読み解けるエンジニアの育成に注力していきたいところです(=゚ω゚)ノ
