サイバーセキュリティに関するDavid Lindner(Contrast CISO)の視点 | 2025年6月6日

ポイント1 — 脅威アクター名の混乱を解消する

MicrosoftとCrowdStrikeは、同じ脅威アクターに複数の名前が付けられているという厄介な問題の解決に協力していることを発表した。最も重要なのは、誰がそれを行ったのか(もし分かっているなら)、何にアクセスしたのか、そしてどのような対策が講じらているのかということだ。それが、顧客、メディア、経営陣が聞きたいことなのだ。もし、実際インシデント対応に追われる中で、対応を遅らせる要因となっているのが、「Storm-0530」が新しい攻撃グループなのか、それとも既知のグループの別名に過ぎないのかを判別することだけだとしたら、どうだろうか？だとしたら、攻撃グループのブランド化(名付け)という、目先の危機管理とはほとんど関係のない作業に、貴重な時間を費やしているのだ。本来常に焦点を当てるべきなのは、侵害状況を把握し、被害を評価し、迅速に業務を復旧するなど、実用的なインテリジェンスに他ならない。

ポイント2 — AIの法的所有権の問題

我々はAIの未来へ猛進しているが、多くのCISOは、無視できない重要な問題を見過ごしている。AIが生成したコンテンツの法的所有権という問題だ。 データの出所を追跡することは、これまでも悪夢だった。AIでは、それはもはや不可能に近い幻想と化している。一部の大規模言語モデル(LLM)では出典を明らかにしようと試みてはいるが、多くの場合、不完全であったり、実用的でない。本当の長期的な脅威は、単にデータがどこから来たかという点だけではない。そのデータと、そこから生成された派生物を法的に誰が所有するのかという点にある。多くの企業は、このような深刻で未解決の法的責任を見て見ぬふりをしたまま受け入れて前進しているのだ。

ポイント3 — CVSSスコアにだまされないように

脆弱性管理に潜む秘密を明かす時が来た。それは、デフォルトのままの共通脆弱性評価システム(CVSS)スコアに欺かれているという事実だ。エンジニア達は、直接的・推移的な依存関係や環境的依存関係から生じる「重大な」共通脆弱性識別子(CVE)の警告を受け取っており、その膨大な数に圧倒されている。そして、これらの警告の多くは、実際のアプリケーションの使われ方を考えると、ほとんどが本当の脅威とはならない。これは単に効率が悪いというだけでなく、本当に重要な問題を見えにくくすることにより、セキュリティ体制を積極的に悪化させていることになる。リスクの優先順位付けは、もはや単なる提案ではなく、この混乱から抜け出す唯一の道なのだ。CVSSは出発点に過ぎず、決定的な答えではない。