5月2日、Ollie Whitehouse氏が「AI digs up decades of code debt. Patch up.」と題した記事を公開した。

何十年分の技術的負債がAIによって一気に掘り起こされる

英国国家サイバーセキュリティセンター（NCSC）のCTOであるOllie Whitehouse氏は、AIを活用したバグハンティングが引き起こす新たな脅威について警告を発した。AIが長年埋もれていた脆弱性を現実的に修正できるペースを上回る速度で発見しており、防御側が対応に追われる「パッチの津波」が到来すると述べている。

近年、AI技術の進歩により、コード解析や脆弱性発見の自動化が飛躍的に向上している。GitHub CopilotやCodeQLなどのツールが既に広く使われているが、より高度なAIモデルが脆弱性発見に特化して登場してきているのが現状だ。

「すべての組織には『技術的負債』がある。これは、回復力のある製品を構築するよりも短期的な利益を優先した結果として生じる、技術的な問題の積み残しである」とWhitehouse氏は説明する。問題は、この技術的負債がAIによって大規模かつ高速に悪用される可能性を見せていることだ。

AIツールが脆弱性発見の敷居を下げる

この警告が特に重要なのは、AIによる脆弱性発見が攻撃者と防御側の双方にとって利用可能な技術だからだ。従来、脆弱性の発見には高度な専門知識と多大な時間が必要だったが、AIツールの普及により、この敷居が急速に下がっている。

OWASPが公開している脆弱性Top 10のような既知の問題パターンを、AIは大規模なコードベースから効率的に発見できる。これまで人間のセキュリティ研究者が数週間かけて発見していた問題を、AIは数時間で特定する能力を持っている。

NCCSは、この結果として「強制的な修正」が発生すると予測している。これまで見過ごされてきた弱点が一気に発見され、まとめて対処しなければならない状況が生まれるということだ。

組織が取るべき具体的対策

Whitehouse氏は、組織が取るべき対策を具体的に示している。まず重要なのは、攻撃対象領域の最小化だ。

「すべての組織は、インターネットに面している攻撃対象領域を可能な限り早急に特定し、最小化する措置を講じなければならない」と同氏は述べ、「境界のテクノロジーを優先し、そこから内側に向かって作業を進める」よう推奨している。

具体的には以下のような対策が重要になる：

• 資産管理の徹底: NIST Cybersecurity Frameworkに基づく資産の可視化
• パッチ管理プロセスの自動化: CI/CDパイプラインへのSnykやDependabotといった脆弱性スキャンツールの組み込み
• レガシーシステムの段階的更新: サポート終了システムの交換計画策定

NCCSからのメッセージは明確だ：「迅速に、より頻繁に、大規模にパッチを適用する準備をせよ」。これまでよりも多くの修正が一度に到着し、それらを完了させる時間は大幅に短縮されることを意味している。

サイバーセキュリティの新時代への対応

この変化は、サイバーセキュリティ業界全体にとって転換点となる可能性が高い。組織は従来の「問題が発覚してから対処する」リアクティブな姿勢から、「継続的な監視と迅速な対応」を前提としたプロアクティブな体制への移行を迫られている。

CVE（Common Vulnerabilities and Exposures）の登録数は年々増加しているが、AIによる発見が本格化すれば、この傾向はさらに加速すると予想される。組織はこの新しい現実に適応するため、セキュリティ運用の抜本的な見直しが必要になるだろう。

詳細はAI digs up decades of code debt. Patch up.を参照していただきたい。