フロンティアAIの登場により、突如として脆弱性という言葉が注目を集めるようになったが、脆弱性自体はかねてから存在したものである。問題はフロンティアAIによってこの脆弱性が「短期間に大量に発見される」ようになったということである。
どう対応すべきか
こうした脆弱性の問題を受けて、NCOと経済産業省は、5月18日にソフトウェアベンダー向けの注意喚起を公表し、「リリース前のソフトウェアについては、高性能 AI を積極的に活用し、リリース後の脆弱性発見の可能性を低減させた上で、リリースをする」ことを要請している。
フロンティアAIを活用することにより、脆弱性に関するテストの手間やコストが大幅に下がるで、ソフトウェアベンダーにとって当該テストに取り組みやすくなるといえる。その結果、中長期的には、脆弱性が内在するソフトウェアがリリースされることが劇的に減少することが期待できる。
問題は、過渡期、つまり現時点で脆弱性を抱えるITシステムについてである。
ここでITシステムについては、MicrosoftやGoogleといったソフトウェアベンダーがリリースしているもの(以下便宜上「汎用システム」)と、自社で独自に開発したもの(以下便宜上「独自システム」)に分けて考える。
迅速なパッチ適用を
汎用については、MicrosoftやGoogleといったソフトウェアベンダーがフロンティアAIを先行して活用し、脆弱性を修正したいわゆる「パッチ」を急ぎリリースしている。筆者自身、利用するPCのOSやブラウザについて最近アップデートが多いと実感しているところである。
ソフトウェアベンダーがパッチをリリースしている以上は、ユーザーがアップデートすることが最重要となるが、その適用が実務上容易ではない。
企業のITシステムには多くのソフトウェアが複雑に組み込まれているため、一つのソフトウェアをアップデートすると他のソフトウェアに予期せぬ影響が生じる可能性がある。スマートフォンのOSを最新版にアップデートするとそれまで問題なく使えていたアプリのレイアウトが崩れたり上手く機能しなくなるといったものと同じである。
本金融庁要請においても、「迅速なパッチ適用が可能な状態にしておくことが重要」とする一方で、「パッチ適用そのものが困難である場合や、パッチ適用に要する期間の短縮が困難である場合」が指摘されている。
重要インフラを構成するITシステムへの緊急のパッチ適用については、そのリスクの大きさから実務担当者レベルでは到底判断できない問題である。経営層がそのリスクを理解した上で意思決定をするとともに、一時的には、社会を支えるシステムが停止することがあり得ることを社会としての認識し・許容する必要がある。
