7月10日、GBHackersが「Microsoft Uses AI-Powered Agentic Scanning to Find Windows Security Flaws and Accelerate Patching」と題した記事を公開した。MicrosoftがAIエージェントによる自動スキャンシステムをWindowsの脆弱性発見とパッチ展開の高速化に実運用投入したことを詳しく伝えている。
MicrosoftのAIエージェント、Windowsの脆弱性を自動検出
MicrosoftがMDASH(Multi-Model Agentic Scanning Harness)と呼ぶシステムを、Windowsのセキュリティ脆弱性発見に実用投入した。単一のAIモデルではなく、サードパーティ製を含む複数のAIモデルを組み合わせてWindowsのコードベースを解析する点が特徴だ。
MDASHは2段階のパイプラインで動作する:
- スキャンパイプライン — 重要バイナリを検査し、複数モデルの相関分析で脆弱性候補をフラグ付けする
- バリデーションパイプライン — 複数モデルによる相互検証とWindows固有の証明メカニズムを組み合わせ、誤検知を除去してからエンジニアリングチームにエスカレーションする
この2段階構成が肝で、AIがフラグを立てた全件を人間がレビューするのではなく、AIがAIを検証することで精度を上げてからエスカレーションする設計になっている。スケールアウトのために専用クラウドインフラも整備しており、Windowsエコシステムの大部分を継続的にスキャンできる体制だという。
SDL(セキュアデベロップメントライフサイクル)への組み込み
従来、脆弱性の発見は開発後のセキュリティレビューが主だった。MicrosoftはこのSDL(Security Development Lifecycle)を、製品開発の各フェーズにセキュリティ評価を組み込むことで脆弱性を早期に潰すための枠組みとして長年推進してきた。今回のAI解析はそのSDLに直接組み込まれ、検出を開発の上流にシフトする方針を取っている。具体的にAIが担う役割は以下の通りだ:
- 開発中のリスクあるコードパターンの検出
- 既存コードのコンテキストに沿った修正提案
- コードベース全体での類似脆弱性の横断検出
- 高リスク問題の優先順位付け
自動化を進める一方で、人間によるレビューの重要性も強調されている。AIが発見する脆弱性の件数が増えるため、品質を担保するためのハイブリッド体制は不可欠という立場だ。
発見からパッチ展開までの高速化
発見した脆弱性をいかに素早く修正してユーザーに届けるかも課題だ。MicrosoftはAIをエンジニアリングワークフローにも統合しており、障害の診断・修正候補の生成・回帰テストの選定をAIが補助する。
パッチの品質保証面では、SUVP(Security Update Validation Program)による広範な検証を引き続き実施する。SUVPはパッチ配信前に大規模な実環境テストを行い、互換性問題の流出を防ぐMicrosoft独自のプログラムだ。また、KIR(Known Issue Rollback)という仕組みにより、問題のある変更をフルアンインストールなしで迅速に巻き戻せるようにしている。KIRはWindows Update経由でポリシーを配信し、特定の変更だけをターゲットに切り戻せるため、問題発生時のセキュリティ保護を維持しながら障害を最小化できる設計になっている。
企業向けパッチ管理の強化
企業側の運用を支援する機能として、以下が挙げられている:
- Windows Autopatch with hotpatching — 再起動不要で更新を適用する「ホットパッチ」によるダウンタイム最小化。24時間稼働が求められるサーバーや業務端末での適用に有効だ
- プレビュー("D")リリース — 毎月の本番展開前に配信される任意適用の先行テスト用リリース。IT部門が事前に互換性を検証できる
- Security Update Guide — CVEレベルの可視化とリスク評価を提供する公式ポータル
- Microsoft DefenderおよびMAPPパートナーシップ — パッチ展開前の暫定保護
Intune、Azure Arc、Defender Vulnerability Managementなどのツールも、エンタープライズ環境全体の露出可視化とコンプライアンス適用に活用できる。
「更新頻度増加=脆弱性増加ではない」
Microsoftは、AIによる検出精度の向上に伴い、セキュリティアップデートの件数が増加すると予告している。これは環境が不安定になっているわけではなく、検出能力の向上によるものだと説明している。エンジニアリング・バリデーション・展開の各システムを連携させることで、速度が上がっても更新品質は落とさない方針だという。
ゼロデイ脆弱性の悪用リスクを下げるには「発見から修正までの時間を縮める」ことが直接効いてくる。MDASHはその時間軸そのものを短縮する仕組みとして機能している。
詳細はMicrosoft Uses AI-Powered Agentic Scanning to Find Windows Security Flaws and Accelerate Patchingを参照していただきたい。