脆弱性対応が「回らない」構造の深刻化
脆弱性対応はスキャン結果の精査、資産突合、優先度付け、調整、適用、例外管理、再検証、証跡整備まで工程が長い。クラウドやSaaS、コンテナ、CI/CDの普及で資産は流動化し、可視化が追いつかない。結果として脆弱性は継続的に発生し、遅延がそのまま侵害リスクになる。
加えて攻撃者は公開直後の0-dayだけでなく、パッチがあるn-dayも執拗に突く。全件即時対応が不可能な以上、限られた工数をどこに投下するかが勝負である。情シスに求められるのは「件数消化」ではなく経営リスクとしての制御である。
AITEM型ソリューションに期待される実務価値
韓国AI SPERAが脆弱性対応を自動化するAI「AITEM」を発売予定と報じられた。こうした自動化AIの価値は検知精度そのものより、運用の実行力を高める点にある。特に一次トリアージと部門間調整の短縮が焦点になる。
- ノイズ削減:重複や誤検知を集約し、影響範囲を推定して判断材料を整える。
- リスクベース優先度:CVSSだけでなく資産重要度、露出、既知悪用、補償統制を加味し「今直すべき順」を提示する。
- ワークフロー連携:チケット起票、担当割当、期限提案、再検証までを半自動化しMTTRを下げる。
- 説明可能性:優先度や例外判断の根拠を残し、監査対応の工数を抑える。
導入でつまずく論点と評価観点
効果は機能数より「自社の意思決定と実行の流れに乗るか」で決まる。資産台帳やクラウドインベントリ、オーナー情報が不正確だと優先度付けは崩れる。まずは入力データの鮮度と粒度を整えるべきである。
また全面自動化は反発を招きやすい。提案中心から始め、承認付き半自動、最終的に自動実行へ段階的に拡張する設計が現実的だ。KPIもクローズ件数偏重を避け、重大脆弱性のMTTR、露出資産の是正率、既知悪用脆弱性の残存数、例外期限切れ率などリスク直結指標で管理する。
AIは判断を代替せず、判断を増幅する
目標は「全件修正」ではなく、攻撃経路を先回りして潰し被害確率と影響を最小化することにある。AIの提案は万能ではなく、業務影響や環境固有の前提、補償統制を踏まえた最終判断は人が担う。重要なのはAIを判断代替ではなく、判断のスピードと質を増幅する仕組みとして組み込むことである。
PoCでは「検知できるか」より「優先度が妥当か」「チケットが回るか」「再検証まで閉じるか」「説明できるか」を評価軸に置くべきだ。AITEMの登場は、VM運用が属人対応からデータ駆動の継続的リスク制御へ移る流れを示すものとして注目される。