人工知能によるサイバー攻撃に対する懸念の高まりにより、組織がソフトウェアの脆弱性にパッチをどれだけ早く適用すべきかについて新たな議論が巻き起こっており、その中には連邦政府機関にパッチ適用の期限を数週間ではなく数日で守るよう義務付けるべきかどうかも含まれる。 サイバー専門家らは、特に最近の人工知能の進歩を考慮すると、多くの場合、より迅速な修正が必要になるだろうと述べている。しかし多くの人は、期限を短縮すること自体が迅速な修正につながる可能性は低く、場合によっては逆効果になる可能性があるとも述べています。 Anthropic の Claude Myth プレビューに応じて、トランプ政権指導者らは、サイバーセキュリティ・インフラセキュリティ庁の既知の悪用された脆弱性 (KEV) カタログに公開されている一般的な脆弱性とエクスポージャ (CVE) にパッチを適用するための政府機関の標準期限を短縮することを検討していると伝えられています。 ロイター通信の報道によると、CISA指導者と国家サイバー管理局は、標準的なKEV期限を2~3週間ではなく3日に短縮することについて協議したという。 CISAは、KEVのカタログ日付を巡る議論についてのコメント要請に応じなかった。しかし、CISAが5月6日から5月14日までにKEVカタログに作成した4件のエントリーにはすべて3日間の期限があった。 是正スケジュールの加速は多くの連邦政府機関にとって困難となる可能性が高い。国土安全保障省の元最高情報セキュリティ責任者、ヘマント・バイドワン氏は、3日間の期限を守るのは「簡単なことではないだろう」としながらも、「そうならなければならない」と付け加えた。 現在、セキュリティ企業ノックス・システムズの上級CISOを務めるバイドワン氏は、「セキュリティの脆弱性を軽減した後、実際に移行するまで30日、60日、120日待って従来のパッチサイクルを待っている余裕はないと思う」とフェデラル・ニュース・ネットワークに語った。 この緊急性は、クロード神話のプレビューから生じました。しかし、元国家安全保障局サイバーセキュリティ部長のロブ・ジョイス氏は、大規模な言語モデルのせいで「Mythos以前からリスク環境は劇的に変化していた」と述べた。 今週セキュアフレームが主催したウェビナーでジョイス氏は、人工知能システムが「産業規模で」ソフトウェアの脆弱性を発見していると述べた。 「問題に取り組む人が増えたからといって、より早くバグが見つかるわけではない」とジョイス氏は語った。 「発見ループのほとんどが機械で行われるようになったため、より迅速に発見できるようになりました。」 同氏は組織に対し、「既知の脆弱性が悪用される可能性がある」ことを理解しながら、AIが悪用することに長けていることが証明されているレガシーテクノロジーを迅速にアップグレードするようアドバイスした。 「より早く修正する方法を見つけて、こうした有限なシステムを排除してください」とジョイス氏は語った。 「何が使用されているかを示す CISA KEV カタログは、ものが近づいていることを示す大きな赤い点滅ライトです。」 […]