何が起きたか
英国国家サイバーセキュリティセンターは2026年5月11日に『脆弱性を見つけるためにAIモデルを使用する際に質問すべき10の質問』というタイトルのガイダンスを公開し、単にさらに多くの脆弱性を発見することはセキュリティを改善せず、適切なトリアージ、優先順位付け、および修復プロセスがなければセキュリティを悪化させる可能性があると組織に警告しました。ガイダンスは、AIセキュリティはスタンドアロンの規律ではなく、既存のサイバーセキュリティフレームワークおよび運用ガバナンスに組み込む必要があることを強調しています。
なぜ重要か
これは、AI脆弱性発見をツール選択ではなく取締役会レベルの規律として扱う最初のNCCSガイダンスです。ガイダンスは、2025年に割り当てられた40,000以上のCVEのうち、約400のみが積極的に悪用され、約40は初めて使用されたときのゼロデイであったことに注目しており、ボリューム駆動型発見よりも優先順位付けされたパッチの必要性を強調しています。フレームワークは、組織がAI脆弱性スキャナーを採用する前に、データ露出リスク、許可、ホストされたモデルの司法管轄権、および予算への影響を考慮するよう促しています。
必要な対応
セキュリティチームは、AI脆弱性発見ツールを展開する前に10の質問フレームワークを確認し、脆弱性管理プロセスが増加した検出量を処理できることを確認し、外部攻撃面スキャンを優先し、AIと人間の両方の検証を使用して検出結果を検証する必要があります。また、基本的なサイバーハイジーン(既知の脆弱性のパッチ、資産管理)が最高のROIセキュリティ投資であり続けることを考えると、AIモデルが必要かどうかを評価する必要があります。