事象の概要
生成AIの高度化により、攻撃者の作業が自動化・高速化し、サイバー攻撃の実行ハードルが下がっている。Tenable株が一時急落したという報道は、投資家が「攻撃能力の底上げが現実化し、防御が追いつかない局面が来る」と見たシグナルと捉えるべきだ。
情シスにとって重要なのは、特定ベンダーの株価ではない。AIで攻撃の量と質が同時に上がる前提で、侵入前の露出削減と、侵入後の検知・封じ込めまでの時間短縮を組織的に実装できるかである。
技術的な詳細
第一に、フィッシングが「不自然さ」で見抜けない水準に近づく。業界用語や社内文脈に合わせた自然な文面、複数往復の会話を前提にしたBECが大量生成され、教育だけでは防ぎにくい。
第二に、脆弱性の武器化が加速する。PoCから実戦投入までの工程(コード改変、環境差分吸収、エラー処理)がAIで短縮され、パッチ遅延や設定不備が即侵害につながりやすくなる。
第三に、運用の隙が狙われる。過剰権限、設定ドリフト、委託先連携の穴、監視の空白といった「プロセスの脆弱性」が入口になる。OSINTの効率化で担当者や利用SaaSが特定され、標的型の精度が上がる。
具体的な対策
優先順位は「外から見える面を減らす」「悪用前提で塞ぐ」「侵害後の時間を縮める」である。まずASMの観点で、未管理サブドメイン、放置クラウドIP、公開された開発環境、期限切れ証明書などを定期棚卸しし、停止・非公開化・制限を徹底する。
次に脆弱性管理をCVSS中心から脱却する。外部到達性、認証要否、権限奪取や横展開への影響、悪用コード流通の有無を基準にし、外部から到達できる重要資産の高リスク欠陥を最優先で処置する。例外申請や先送りを減らすため、締切と代替策(WAFルール、機能停止、ネットワーク遮断)をセットで運用する。
フィッシング対策は「メール・ID・端末」を三点セットで強化する。メール認証・フィルタリングの強化に加え、MFAの形骸化を前提に条件付きアクセス、フィッシング耐性の高い認証(FIDO2等)、セッション制御を実装する。端末側はEDRで隔離を自動化し、初動の手戻りを減らす。
検知と対応は、IDログ、クラウド監査ログ、DNS/プロキシ、EDRを相関できる設計に改める。重要アラートは「無効化・隔離・トークン失効」までの手順をプレイブック化し、可能な範囲で自動化する。KPIはMTTD/MTTRと、外部公開資産数や未対応高リスク件数の推移で可視化する。
最後にAI利用ガバナンスを整える。承認済みAIツール、投入禁止データ、ログ監査、データ分類、DLPの適用範囲を定め、シャドーAIを把握する。業務の利便性を担保しつつ、機密情報の外部送信やソースコード流出を防ぐルールを運用に落とし込む。
まとめ
AI時代の本質は「攻撃者の生産性向上」により、発見から侵害、侵害から横展開までの時間が短くなる点にある。情シスが明日からやるべきことは、外部露出の削減、悪用前提の優先順位付け、ID・端末・ログの連携強化、そして対応手順の自動化である。
侵入をゼロにするのではなく、被害に至るまでの時間を縮める攻撃者に対し、防御側も「検知・封じ込めの時間」を継続的に縮める体制を作ることが、最も実務的な勝ち筋である。