企業ネットワークを攻撃するサイバー犯罪者と、それを防御するエンジニアとの間で繰り広げられる戦いにおいて、一方には不当なほどの優位性がある。攻撃側は何度失敗しても実害はないが、一度でも成功すれば巨万の富を得て混乱を引き起こせる。しかし防御側は、全ての攻撃を退けなければならない。
ここにAIが加わると問題はさらに悪化する。攻撃側は新たな脆弱(ぜいじゃく)性を発見し、劇的に加速されたスピードで攻撃を仕掛けられるようになるからだ。その最大の標的は、世界中で15億台以上のPCやサーバーで稼働しているMicrosoftの「Windows」である。
この対抗策としてMicrosoftは、脆弱性をより早期に発見し、エンジニアによるレビューへと回し、更新プログラムをより迅速に配信する自動化されたAIベースのプロセスに全力を注いでいる。
詳細は、MicrosoftのWindows+Devices部門担当エグゼクティブバイスプレジデント、Pavan Davuluri氏が公開したブログ記事「Evolving Windows vulnerability management to meet the speed of AI-powered discovery」に記載されている。
顧客のリスクを軽減する最も迅速な方法は、攻撃者が脆弱性を悪用する前に問題を発見することです。Windowsでは、プラットフォーム全体で問題を早期に発見し、修正に向けたエンジニアリング作業を加速させ、検証を強化し、顧客を保護するためのタイムリーで高品質な更新プログラムを提供する能力を拡大しています。
セキュリティ分析にAIを適用することで、パターンをより迅速に特定し、リスクの優先順位付けを行い、Windowsのコードベース全体で脆弱性の発見を拡大することができます。これにより、発見から顧客の保護に至るまでの時間を短縮できます。
Davuluri氏によれば、Microsoftのセキュリティチームは、大規模にWindowsの脆弱性を特定し、誤検知を減らし、確度の高い問題をエンジニアへ迅速に転送するためのマルチモデルエージェント型スキャンハーネス「MDASH」に向けた、専用のクラウドベースのスキャンおよび検証パイプラインを構築した。これにより、悪意あるアクターがゼロデイ攻撃を仕掛ける機会を減少させている。
Microsoftは5月にMDASHを導入し、この新しいツールによって16件の脆弱性が発見され、そのうち4件が「緊急」と評価された実績を明らかにしている。これらは全て同月のセキュリティ更新プログラムで修正された。この新しいテストフレームワーク(「harness」と呼ばれる)は、Microsoftの「Autonomous Code Security」(ACS)チームが開発したもので、最先端モデルと精密化モデルの集合体全体で100以上の特化型AIエージェントをオーケストレーションし、悪用可能なバグの発見、検証、実証をエンドツーエンドで行うという。
Microsoftによると、これらのAI搭載ツールは、開発プロセスの大幅に早い段階で組み込まれる予定だ。
当社は脆弱性の発見を独立した活動として扱うのではなく、新機能や更新プログラムがリリースされる前にWindowsを構築、レビュー、改善するプロセスの一部として位置付けるよう、社内システムとプラクティスを継続的に進化させています。その一環として、当社の「セキュリティバイデザイン」のアプローチが、AIを活用した潜在的な攻撃手法やエクスプロイト経路を明確に考慮に入れるよう、安全な開発ライフサイクル(SDL)のベストプラクティスを更新しています。
つまり、開発プロセスの早い段階でAIを活用して潜在的な問題を特定しつつ、発見された内容の評価、リスクに基づく意思決定、そして修正が顧客が期待する品質基準を満たしていることを確認する際には、人間の専門知識に委ねます。
人間の専門知識に依存し続けるというこの約束は非常に重要だ。AIが大規模に導入されると、その結果を過信して必要な検証ステップを省略したくなる誘惑が生じるからだ。しかもこの仕組みは、Microsoftが米国拠点のベテランを含む従業員の約7%を対象とした「自発的退職プログラム」を実施している時期に導入されている。
長年Microsoftを追うジャーナリストのTodd Bishop氏とKurt Schlosser氏は、残留する従業員にとってこれほど多くのベテラン従業員が一斉に退職することによる制度的知識や経験の喪失が懸念材料になると指摘する。残留したセキュリティエンジニアは、最も経験豊富な同僚がいない中で、増加する業務量に対処しなければならない。
この新しいAI搭載パイプラインは、Windows PCの管理を担当する担当者にとってどのような意味を持つのか。まず、各更新プログラムで修正される問題の数が増えることを意味する。Microsoftも、各セキュリティリリースに含まれるセキュリティ更新プログラムのボリュームが増加することを認めている。
残念ながら企業ユーザーにとっては、更新プログラムを展開する前にテストし、その後に監視する負担を増大させることになる。初期テストで問題が発生した場合、管理者は更新プログラム全体をアンインストールしてシステムを復旧させるのではなく、「Known Issue Rollback」(KIR)と呼ばれる技術を使用して問題の原因となった変更のみを元に戻すことができるとMicrosoftは説明している。
こうした脆弱性対策の高速化により、一部の企業ユーザーが、マシンの再起動を必要としない「ホットパッチ」による更新プログラムの配信機能を備えた「Microsoft Intune」の「Windows Autopatch」のような最新パッチ管理ツールの導入を急ぐ可能性がある。「Windows Server」にセキュリティ更新プログラムを適用するためにも、同様に再起動を不要とするツールが用意されている。
Davuluri氏は、脆弱性の発見ペースが加速する中で、ユーザーがスピードと安定性のどちらかを選択せざるを得ない状況に陥るべきではないと述べている。これは確かに価値ある目標だが、そのバランスを維持するためには、Microsoftのエンジニアもユーザーも、新しいAIツールのスピードに合わせてこれまで以上に迅速に行動しなければならない。

提供:Costfoto/NurPhoto via Getty Images
この記事は海外Ziff Davis発の記事を4Xが日本向けに編集したものです。