何が起きたか
英国国立サイバーセキュリティセンター(NCSC)は5月11日に「脆弱性発見のためのAIモデル使用時に問われるべき10の質問」と題したガイダンスを発表しました。このドキュメントは、AI支援の脆弱性スキャンおよび発見の導入を検討している、または既に導入しているセキュリティチーム向けのチェックリストを提供しています。本ガイダンスは、オフェンシブセキュリティおよび脆弱性研究ワークフローにおけるAI(特に大規模言語モデル)の使用に関する実践的な考慮事項をカバーしています。
なぜ重要か
セキュリティ運用におけるAI採用が加速する中、防御側はAI支援セキュリティツールを安全に評価・統制する方法に関するガイダンスが必要です。NCSCガイダンスは、AI電源脆弱性発見に関するハイプと、そのようなツールを責任を持って導入するために必要な実践的なリスク管理との間のギャップを埋めています。AIは従来のスキャナーが見落とす脆弱性のクラス(特にセマンティック/ロジックフロー)を発見できることを認める一方で、統制されていない場合は新しい運用およびセキュリティリスクも引き起こします。
必要な対応
AI支援脆弱性発見ツールを導入しているセキュリティチームは、その実装を監査するためにNCSCガイダンスを参照すべきです。コンプライアンスチームは、脆弱性管理プログラムにおけるAI統制の基準線として、これを使用すべきです。AIを活用するセキュリティツールの調達基準にNCSCチェックリストを組み込むことを検討してください。