Claude Mythos AI の熱狂的な発表による興奮も落ち着いた今、私たちはここに、この新しいモデルがセキュリティにもたらす実際の意味について、私たちが下した評価をお伝えしようと思います。
「一般公開するには危険すぎる」や「Mythos がイギリス人を公式に恐怖に陥れた」といった見出しは無視しても差し支えないでしょう。しかし膨大な脆弱性を発見でき、攻撃者による脆弱性の悪用にも簡単に利用できるモデルを、防御側も、そして間もなく攻撃者側も、利用できるようになる。そんな時代に私たちは間違いなく突入しようとしています。
確かに Mythos には、セキュリティ面における有益性についてポジティブなコメントが多く見られますが、そこに脅威となる暗い側面がないわけではありません。それは、Mythos や今後登場する同様の能力を持つモデルには悪用される可能性が存在するという側面です。Mythos in Preview には複雑な攻撃を自律的に実行できる能力があることが分かり、現在はセキュリティに一気に関心が集まっています。
以下に、このニュースが Fastly のようなベンダーにとって何を意味するのか、また状況が進展していく中、皆さんは (そしてセキュリティ分野の他のプレイヤーは) 何を考えるべきなのかについて、私たちの見解を述べていこうと思います。
なぜ Mythos があってもランタイム保護が必要なのか
コード分析とランタイム保護がアプリケーションセキュリティにおいて果たす役割は、異なるものでありつつも相互に補完的です。コード分析はデプロイ前に脆弱性を捕捉するのに役立ちますが、これはシステムが「静止状態」であるときに既知の欠陥に対してソースコードを評価するものになります。そのため Mythos 後の世界でもコード分析とパッチ適用に頼っていると、大きな後れを取ることになってしまいます。CSA、SANS、およびより広範な CISO コミュニティで最近発表された権威ある助言文書で強調されているように、脆弱性が発見されてから悪用されるまでの時間はわずか数時間にまで短縮されています。「悪用までの時間 (TTE) 」は現在1日未満です。
攻撃者が AI を使用して脆弱性を発見し、それらをつなぎ合わせる速度が、人間が脆弱性をトリアージする速度を上回っている今、デプロイ前のスキャンツールだけではまったく足りません。機械速度の攻撃をパッチで回避することはできないのです。
ランタイム保護は、システムが実際の状況下でどのように動作するかを評価し、静的ツールが見逃す新たな動的要素や異常な行動を捕捉します。
一連の攻撃のすべてを自律的に実行できる AI モデルが登場した今、このランタイム保護の役割は構造的に不可欠といえます。Next-Gen WAF のようなソリューションでは、適応性を発揮しつつリアルタイムに実際の悪用パターンを観察および軽減することができます。これは、「爆発半径封じ込め」のための絶対的に重要な要素です。AI による脆弱性発見モデルでは代替できません。
CISO コンセンサス:リアクティブからレジリエンスへのシフト
ランタイム保護に取って代わるものではないものの、Mythos には、すべての組織が考慮に入れるべき明確な示唆と事柄があります。何百人ものトップ CISO やセキュリティリーダー諸氏が共同で執筆し、最近発表された助言文書「The AI Vulnerability Storm: Building a Mythos-ready Security Program」には、ある事柄が極めて明確に指摘されています。それは、現時点ではアドバンテージが攻撃者側にあるというものです。Mythos や同様の能力を持つモデルにより、組織は悪用されうるゼロデイ脆弱性の排除を進めることができるでしょう。しかしそのモデルが攻撃者側の手にあれば、個々の組織ではコントロールできない環境が作られてしまいます。
防御側の AI モデルと攻撃側の AI モデルが対決した場合の結果は誰にも予測できません。そこからあらためて浮かび上がるのは、10年近くにわたって現場で繰り返し指摘されてきた多層防御とランタイムレジリエンスの重要性です。媒体(およびペイロード)が変わっても、その手法にはまだ価値があるということです。
この助言文書でいうところの「Mythos-ready (Mythos 対応)」なセキュリティプログラムを構築するには、リスクモデルをリアクティブなパッチ適用から継続的なレジリエンスへとシフトする必要があります。
CISO コミュニティでは、機械速度で自動的に動作するレスポンス機能に注力すること、および特定のゼロデイ攻撃に関係なく行動ベースの攻撃パターンを特定できるよう欺瞞技術 (カナリアやハニートークンなど) を活用することを強く推奨しています。
AI により攻撃量を一気に増加させられる現代においては、攻撃者のコストを高め横方向の動きを制限する境界線をデプロイすることこそが、企業の防御担当者における最も重要な任務だといえるでしょう。
「Mythos-ready (Mythos 対応)」の防御体勢作りにおける Fastly のメリット
AI を活用した高度な脆弱性発見能力が台頭すれば、脅威の風景全体も様変わりします。Fastly では、Next-Gen WAF、ボット管理、API セキュリティ、分散型 DDoS 攻撃保護を網羅した統合的でエッジネイティブなセキュリティプラットフォームに加え、コンテンツスクレイピング、欺瞞、AI に特化した保護のための高度な機能を携え、そのための準備を進めています。
業界では、その助言の中で、防御側が優先して講じるべきアクションが明確に示されています。そして Fastly のプラットフォームは以下の通り、それらの遂行を助けるように設計されています。
環境の強化 : この助言では、攻撃者のコスト増となる強固な境界を急ぎ導入することが求められています。Fastly の AppSec ソリューションはそれぞれ統合が可能なため、防御側はコアインフラストラクチャを自動的な脆弱性悪用攻撃からオリジンシールドできるレジリエントなエッジを獲得でき、パッチを適用するまでの時間を稼ぐことができます。
機械速度での自動レスポンス : 攻撃の自動化が進むなか、必要とされるのは、即応性が高く、正確で、運用しやすいセキュリティです。Fastly を活用すれば、人間によるトリアージを待たずに異常な行動をブロックできる、適応性に優れリアルタイムで動作する仕組みを構築できます。
欺瞞力 : ゼロデイ攻撃に対抗するため、CISO コミュニティでは欺瞞戦術を推奨しています。Fastly のプラットフォームには、進化の遅れている脅威インテリジェンスだけに依存するのではなく、戦術、技法、手順 (TTP) をベースとして自動化された攻撃ツールを特定する最新の欺瞞技術が用意されています。
組織の中には最新の AI を十分に活用していないところもあるでしょうが、攻撃者側は間違いなくこれを活用しています。そこで是非とも必要になるのが、レジリエンス性の高い基礎部分と多層防御という柱を持つための投資です。Fastly のようなソリューションがあれば、「AI 脆弱性の嵐」による衝撃を吸収して、事業の継続性と保護性を最大限に高められるため、お客様の事業を守ることができます。もしニュースを読んでいて、日々進化する AI の世界にどう対応していこうかと思案されているのなら、Fastly がその嵐を乗り切るお手伝いをします。