AI対AI:最新のサイバー防御にはエクスプロイト可能性で判断 – いかにAI駆動のセキュリティ検証が検知と対応の時間的ギャップを短縮できるか

Ridge Security / RidgeBot, ペネトレーションテスト, 脅威, 脆弱性管理

AI Vs. AI: Exploitability Must Lead Modern Cyber Defense“AI Vs. AI: Exploitability Must Lead Modern Cyber Defense” Jan 20, 2026 by Lydia Zhang より

「脆弱性のオーバーフロー」の課題に自動化の示す役割とは

長年にわたり、サイバーセキュリティのリーダーたちは、脆弱性に関するデータが多いほど、より良いセキュリティにつながると信じてきました。膨大なCVEの一覧、詳細なスキャンレポート、四半期ごとのペネトレーションテストは、状況をコントロールしている感覚を与えてきました。

しかし実際には、それらは注意をそらす要因となっています。今日の世界では、攻撃者はAIを活用し、これまでになく迅速かつ巧妙に行動します。手作業のプロセスや不定期な監査に依存する防御側は、常に後れを取ることになります。

攻撃活動がAIによって拡大するにつれ、防御側も同様に対応しなければなりません。スピードと自動化を無力化する唯一の方法は、紙の上では危険に見えるものではなく、攻撃者が実際に使用するものを特定できる、AIを活用したインテリジェントな防御です。

脆弱性バックログはビジネス上の負債に

自動スキャナーやペネトレーションテストは、膨大な量の検出結果を生み出します。しかし、数多くの調査により、既知の脆弱性のうち、実際に現場で悪用されるのは、全体のごく一部、概ね9%から10%に過ぎないことが示されています。残りの脆弱性は、修復対応のキューを膨らませ、アナリストの時間を消費し、実際のリスクから注意を逸らします。

攻撃者は理論的に可能なことではなく、実際に機能することに注目するため、質より量を重視する考え方は組織を脆弱にし、長いバックログによって安全であるかのような認識を生み出します。

AIは攻撃者が成し得ることを変えた

現代のサイバー攻撃は、もはや人手による数週間の作業を必要としません。かつては専門家による高度な連携を要した攻撃キャンペーンも、現在では機械の速度で実行されています。
実際に米国のAI研究・開発企業のAnthropic社は、最近、攻撃チェーンの80%から90%を自動化し、エクスプロイト連鎖の経路を計画し、人間のオペレーターをはるかに上回る速度と効率でリアルタイムのラテラルムーブメントを実行するAI攻撃を阻止したと報告しています。

AIは、あらゆる悪意による行為の段階を強化します。
・ソーシャルエンジニアリングは、人間らしく、個人的なものに見えます。
・ディープフェイクの音声や動画は、説得力をもって経営幹部を装います。
・エクスプロイトチェーンは、数日ではなく数秒で展開されます。
・ラテラルムーブメントは、ファイアウォールの背後に隠れた経路を特定します。

広く報じられたある事件では、財務担当者がディープフェイクによる偽のCFOに騙され、2,500万ドルを送金させられました。こうした攻撃は将来の憶測ではありません。それらは、すでに現実として発生しています。

防御は攻撃のスピードに匹敵しなければならず、そうでなければ防御ではなく単なる遅延に過ぎません。また、セキュリティ対策が散発的なテストや緩慢なトリアージに依存し続ける限り、常に数手遅れの状態になります。

エクスプロイト可能性を最優先することは、賢明であるだけでなく不可欠

AIを活用した攻撃に対抗するには、防御側も意思決定を自動化しなければなりません。これは人間を工程から排除するものではありません。それにより、セキュリティチームは最も大きな影響を与えられる領域に集中できるようになります。調査では、脆弱性スコアや理論上のCVEのうち、実際にエクスプロイト可能で即時のリスクを表すものは、わずか数パーセントに過ぎないことが繰り返し示されています。

次のうち、現在攻撃者が現実的に悪用できるものはどれか

セキュリティチームがエクスプロイト可能性を最優先とするモデルを採用することで、

  • 低リスクの検出結果は優先度が下げられ、対処可能なリスクが最上位に浮上します。
  • 修復のためのリソースは、最も重要な領域に集中されます。
  • 経営層への報告は、理論ではなく証拠に基づいたものになります。
  • セキュリティチームは、時間、明確さ、そして目的意識を取り戻します。

このモデルへ移行した組織は、脆弱性に関するノイズが70%から90%削減されたと報告することが多くあります。これはマーケティング上の誇張ではありません。それは、運用効率の向上と、より強固な防御を意味します。

防御はAI主導の攻撃に匹敵するものでなければならない

AI主導の攻撃には、AI主導の防御が必要です。自動化は人間に取って代わるべきではありません。人間を支援するものであるべきです。適切なツールは、露出した攻撃経路を自動的に検出し、エクスプロイト可能性を検証し、修正の優先順位を決定します。
このプロセスは、散発的なものではなく、継続的なものになります。

セキュリティは、次のように進化しなければなりません。

  • 変更やデプロイの直後に露出を検出する
  • 現実世界でのエクスプロイト経路を検証する
  • 修復に向けた明確で実行可能な証拠を提供する
  • 環境の変化に応じて継続的に再評価する

この一定のリズムだけが、休むことなく活動し続ける攻撃者に追いつくことを可能にします。

自動化されたステップ

なぜ責任ある AI が重要なのか

企業がイノベーションを推進するためにAIを活用するのと同様に、防御のためのAIも責任をもって導入しなければなりません。目的は監視や過剰な介入ではなく、デジタル資産、知的財産、そしてそれらに依存する人々を守ることです。

攻撃の量ではなくエクスプロイト可能性に焦点を当て、攻撃者と同様に防御にAIを組み合わせることで、組織は攻撃対象領域を縮小し、修復を効率化し、ノイズに溢れた世界の中で明瞭さを取り戻すことができます。

サイバーセキュリティの未来は、あらゆる欠陥を見つけることではなく、あらゆるエクスプロイトを防ぐことにかかっています。

貴社のセキュリティ強化を支援する、RidgeBot®のご紹介もご覧ください。

RidgeBot®について、もっと詳しく

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

bss_blog