Anthropic の CEO が警鐘を鳴らす「危険な局面」はすでに現実となっている。しかし、多くの人は見当違いの方向を見ている

AIが脆弱性発見のスピードと規模を加速すると、セキュリティチームにかかるプレッシャーは、優先順位付けと、最初に修正することが最も重大なサイバーエクスポージャーの特定にシフトします。 

Anthropicのダリオ・アモデイCEOが「危険な瞬間」について語るとき、それは注目に値します。 Anthropic に関する最近の報道から分かるのは、MythosのようなAIモデルは、これまでにないスピードと規模で脆弱性を発見しているということと、脆弱性が見つかってから悪用されるまでの時間は、急速に短縮していることです。以前は数週間かかっていたものが、すぐに数時間で済むようになりました。

これが本当のシフトとなります。

しかし、業界の本能的な反応は、これを脆弱性の問題として扱うことです。 さらなる検出結果。 スキャンの高速化。 パッチサイクルの短縮。 そのフレーミングはすでに時代遅れです。 これは脆弱性の危機ではありません。 サイバーエクスポージャーの危機です。

脆弱性の検出は、ほぼ際限なく行われるようになった

長年にわたり、セキュリティ・プログラムは、問題の検出、優先順位付け、修正、この繰り返しという単純なループを中心に構築されてきました。決して完璧ではなかったが、少なくとも人間の限界に縛られていました。

AIはその制限を取り払いました。 可視性はもはやボトルネックではありません。今やマシンは、コード、クラウド、アイデンティティ、インフラにまたがる弱点を、どのチームも及ばないペースで継続的に洗い出すことができます。 さらに重要なのは、人間が考えもしなかったような攻撃経路を特定できることです。

それは単に量を増やすだけではありません。問題の本質を根本的に変えてしまうのです。

なぜなら、発見が事実上無限となり、攻撃経路が人間の直感を超えて拡大するとき、「ついて行ける」という考えは崩れ始めるからです。

そしてそれこそが、この瞬間が明らかにしていることなのです。

また、これが単にパッチの迅速化を求めるものではない理由でもあります。 それは、まったく別の運営モデルを求めるものです。

発見が継続的であるならば、エクスポージャー管理も継続的でなければなりません。

業界は間違った問題を解決している

ほとんどの組織はすでに脆弱性を理解しています。 スキャナーもあります。 彼らはCVEを追跡しています。 彼らはパッチサイクルを回しています。 もし検出結果が多いだけで企業がより安全になるのであれば、とっくに解決しているはずです。

しかし、漏洩は脆弱性が単独で存在するから起こるのではありません。弱点が誤った場所にあり、誤った方法で到達可能であり、設定ミスや権限超過のアイデンティティ、保護されていない資産など、他のサイバーエクスポージャーと組み合わされることで、実際の影響を引き起こす可能性があるからです。

その組み合わせこそが重要なのです。 その組み合わせがサイバーエクスポージャーです。

AIが加速しているのは、単にサイバーエクスポージャーの数ではなく、これらのサイバーエクスポージャーを環境全体につなげる意味のある攻撃経路の数です。 「どこが壊れているのか？」という問題から、「コンテキストの中でどのようにエクスプロイトできるのか？」という問題へとシフトしているのです。

そして、ほとんどのセキュリティ・プログラムは、この2番目の質問に答えるようには作られていません。

本当のボトルネックはここにある

不快な真実は、AIが防御者にプレッシャーを与えるだけではないということです。本当のボトルネックがどこにあるのかを露呈しているのです。

可視化はこれまでも重要でしたし、現在も重要です。見えないものは保護することはできません。 視認性のギャップ、不完全な在庫、環境間の盲点は、依然として非常に現実的な課題です。

しかし、組織が見えていても、行動を起こすのに苦労しています。 真のボトルネックは可視性だけではありません。決断と行動です。

この瞬間が来る前でさえ、組織は検出結果のほんの一部にしかパッチを当てていませんでした。彼らが気にしていなかったからではなく、何が最も重要なのかを知るための明晰さを持ち合わせていなかったからです。 その規模がさらに 10 倍に拡大したと考えてみてください。検出結果を増やしても、セキュリティの強化にはつながりません。さらなる優柔不断につながります。そして優柔不断は、マシンスピードではリスクとなります。

だからこそ、脆弱性管理だけにとどまらない会話が必要です。もはや問題は、どれだけの問題が存在するかということではありません。実際に重要なのはどれなのか、今すぐエクスプロイトできるのはどれなのか、リスクを最も早く軽減できるのはどれなのかということです。

それには違う考え方が必要です。 資産、アイデンティティ、コンフィギュレーション、脆弱性を1つの文脈的な画像に結びつけるものです。 深刻度だけでなく、到達可能性と影響力を理解するものです。 単に検出結果を報告するだけでなく、行動を導くことができるものです。

つまり、エクスポージャー管理です。単なる流行語ではなく、実務上不可欠なものです。

AI の軍拡競争の本質は「優先順位付け」にある

AI がサイバーセキュリティを圧倒するという見方が広がっています。つまり、攻撃者が防御側を一方的に上回るという考え方です。しかし、実際にはそう単純な話ではありません。

AI は攻撃側と防御側の双方を変えつつあります。特にデータが豊富でアクセスしやすい領域では、脆弱性の発見が加速しています。

しかし、可視性は一様ではありません。資産の可視化にはまだギャップがあります。専有環境、不完全なインベントリ、断片的なツールは、組織がアタックサーフェスの部分的な画像で作業していることを意味します。

なぜなら、組織がより多くのものを見ることができるようになっても、何が最も重要かを決定し、それに十分な速さで対処することに苦心しているためです。 より多くの環境で、より多くのものを見つけることができれば、プレッシャーは最初に何を修正するかに移ります。

最も多くのデータやアラートを持つ組織が有利になるわけではありません。知っていることを明確で自信に満ちた決断に変え、即座に行動に移せるものに軍配が上がります。

このような環境では、優先順位付けはもはやサポート機能ではありません。 それが戦略です。

Tenable の役割

これは、Tenableが目指してきたシフトです。

他の検出エンジンではありません。 単に検出結果が大量に増えることが問題なのではありません。しかし、環境全体にわたってリスクが実際にどのように形成されるかを理解し、リスクを低減するための行動を推進する方法です。視認性だけではノイズを生むからです。 行動なき文脈は、あなたを無防備にします。 優先順位を定めないままスピードだけを追求しても、かえって混乱を招くだけです。

今必要なのは、点と点を結びつけ、何が重要かを特定し、脅威と同じスピードで組織が動けるようにするシステムです。

それが今この瞬間の真の課題です。

結論

「危険な瞬間」とは、AIが脆弱性を検出することではありません。AIは、ほとんどの組織がAIに対応する準備ができていないことを露呈しているのです。

サイバーセキュリティの未来は、誰が最も多くの問題を発見したかによって決まるのではありません。それは、自分たちが本当に晒されているのはどこなのか、そしてそれに対してどうすべきなのかを、誰がリアルタイムで答えられるかによって決まるでしょう。

それが今問題になっていることです。