by Anthropic 社の Claude Mythos のフロンティア人工知能モデルがソフトウェアの脆弱性発見に大きな変革をもたらすのか、それともただの熱風となるのかはまだ分かりませんが、より広範な問題は英国の国立サイバー セキュリティ センター (NCSC) にとって懸念事項であり、技術的でコストのかかる問題の津波が組織全体に押し寄せていると警告しています。
NCSCの最高技術責任者であるオリー・ホワイトハウス氏はNCSCのウェブサイトに寄稿し、業界は回復力のある製品やサービスの構築よりも短期的な利益を優先しており、AI主導の脆弱性発見の出現により、鶏がねぐらに戻ろうとしていると述べた。
ホワイトハウス氏は、「人工知能は、十分なスキルと知識を持った人々によって使用されれば、技術エコシステムの規模とペースに合わせてこの技術的負債を活用できる能力を示している」と述べた。
「その結果、NCSCは待機します」[s] オープンソース、商用、プロプライエタリ、サービスとしてのソフトウェアなど、あらゆる種類のソフトウェアにわたるこの技術的負債に対処するための「強制修正」が行われるでしょう。」
ホワイトハウス氏は次のように付け加えた。「そのため、すべての組織に対し、新たな脆弱性のリリースに対処するためにテクノロジースタック全体に適用する必要があるソフトウェアアップデートの嵐である『パッチウェーブ』の到来に備えて、今から準備することをお勧めします。」
最高情報セキュリティ責任者 (CISO)、セキュリティ リーダー、およびチームがこの大きな変化にどのように対応すべきかを検討し、NCSC は 3 つの主要な柱に焦点を当てたガイダンスを発行しました。
外部表面を優先する
これらの柱の 1 つ目は、外部の攻撃対象領域の優先順位付けです。セキュリティ チームは、公共のインターネットに公開されている攻撃対象領域をできるだけ早く特定するよう努める必要があります。チームは、ネットワーク境界のテクノロジーから始めて、クラウド インスタンスを経由してオンプレミス環境に到達する必要があります。
脆弱性が明らかになった場合、環境全体にアップデートを適用できない場合、セキュリティ チームは外部の攻撃面を優先する必要があり、機能が外部面を超えて拡張される場合は、セキュリティ クリティカルなシステムをターゲットにする必要があります。
とはいえ、パッチを適用するだけでは必ずしも十分ではないことに留意することが重要です。実際、おそらく最も可能性が高いのは、耐用年数が終了したシステムやレガシーに、修復できない技術的負債がまだ残っている可能性です。ホルダーに返却できない場合は、交換する必要があります。
より迅速かつ定期的にパッチを適用する準備をしましょう
2 番目の柱はパッチ管理に関するものです。ここで、組織はサプライ チェーン内を含め、重要なソフトウェアの更新をより迅速、より頻繁に、そして大規模に展開することを計画する必要があります。 NCSC は、さまざまな重大度レベルのバグに対処するためのアップデートが大量に提供されることが予想されており、その多くは重大なものである可能性が高いと述べています。
同庁は、サービスの中断を引き起こさない自動かつ安全なホットパッチ機能を有効にすることを優先することを組織に推奨しています。これには、セキュリティ チームの作業負荷が軽減されるという良い副作用があります。
しかし、自動パッチ適用が利用できない場合、セキュリティ リーダーは、中断に伴う避けられないトレードオフを考慮した、頻繁かつ大規模な更新をサポートするプロセスとリスク選好を確保する計画を立てる必要があります。ステークホルダー固有の脆弱性分類 (SSVC) システムなどのリスクベースのアプローチを使用して、更新プログラムのインストールに優先順位を付けることができます。
もちろん、これは重大なバグが悪用されていないことを前提としています。ゼロデイとして存在するバグ、特に外部システムに影響を与えるバグは、更新スケジュールを前倒しする必要があります。
基本を優先する
最後の 3 番目の柱は、脆弱なソフトウェアを単に更新するだけではありません。パッチ適用だけでは、大多数の組織が直面しているシステム的なサイバーセキュリティ問題には対処できません。
NCSC はテクノロジー企業に対し、必要に応じてセキュリティおよびメモリ封じ込めテクノロジーを通じてシステム全体の技術的負債を確実に最小限に抑えるよう改めて呼びかけています。
エンドユーザー組織では、CISO はサイバーセキュリティの基礎に焦点を当て、組織全体の回復力を向上させ、脆弱な製品かその他の手段による侵害の影響を軽減する必要があります。このアプローチには、Cyber Essentials 認定の取得や、Essential Service Operator 向けの Cyber Assessment Framework の実装が含まれる必要があります。
」[The] NCSC アドバイザリー[s] 規模に関係なく、すべての組織が脆弱性パッチの波に備えて計画を立て、準備する必要があります。まずは最新の NCSC 脆弱性管理ガイドを読むことをお勧めします」とホワイトハウス氏は述べています。
「大規模な組織の場合は、商用およびオープンソースの両方でサプライチェーンの安全を確保するよう努め、必要な対応に対処できるようにすることもお勧めします。」
Menlo Security の CISO であるライオネル・リッティ氏は次のように述べています。「これは NCSC からのタイムリーなアップデートです。これは 2 つの重要な点を強調しています。それは、外部の攻撃対象領域に優先順位を付ける必要があること、もう 1 つはソフトウェアのアップデートを超えて、侵害の影響を軽減するための封じ込めテクノロジーに注目する必要があるということです。」
「ほとんどのユーザーにとって、Web ブラウザは外部の攻撃対象領域のほとんどが存在する場所です。これをより具体的に言うと、つい先週、Mozilla は Firefox ブラウザの 271 件の脆弱性を修正したと発表しました。これらの脆弱性は、Anthropic の最新 AI モデルである Claude Mythos を使用して発見されました。これは、以前のバージョンの Claude によって発見された 22 件の脆弱性からの増加です。」
「これは、組織がブラウザのアップデートを迅速かつ包括的に展開できるようにするだけでなく、リスクを根本的に軽減する必要性を浮き彫りにしています」とリッティ氏は述べた。 「リモート ブラウザ分離などのテクノロジーにより、攻撃対象領域をユーザーのエンドポイントから遠ざけることができ、ブラウザにパッチが適用される前にユーザーが危険にさらされた場合の被害を最小限に抑えることができます。」
