フロンティアAI時代における継続的なオペレーショナル・レジリエンス

Smartstream Technologies 最高情報セキュリティ責任者（CISO）室より

AIが脅威の展望を塗り替える中、SmartstreamはDORAに基づきセキュリティ体制をさらに進化させています

今年初め、Anthropic社は「Project Glasswing」を発表しました。これはClaude Mythosを支える信頼された組織プログラムであり、これまで到達できなかった規模とスピードで、未知のソフトウェアの脆弱性を自律的に発見できるフロンティアAIモデルであることが実証されました。金融サービス部門にとって、この能力は諸刃の剣となります。正当なセキュリティ研究を加速させる一方で、防御側の対応時間に前例のないプレッシャーを与えるからです。かつては継続的な人間の研究を通じてのみ発見可能だった脆弱性が、今や数ヶ月ではなく数時間で表面化し、潜在的に武器化される可能性があります。

この変化は、欧州の金融セクター全体でデジタル・オペレーショナル・レジリエンス法（DORA）が全面施行される時期と重なっています。DORAはレジリエンスを単なるプロジェクトとしてではなく、ICTリスク管理、インシデント報告、レジリエンス・テスト、サードパーティ・リスク、情報共有という、連動する5つの柱にわたる継続的な義務として扱っています。「良好」とされる基準は脅威の展望とともに上昇しており、その脅威の展望は今、まさに変わったのです。

DORAの起草者たちは、脅威が年次の監査サイクルよりも速く進化する世界を予見していました。この制度は、定期的な認証ではなく、継続的な監視、継続的なテスト、そして継続的なサードパーティの監視を中心に意図的に構築されています。AIによって強化された脆弱性発見能力は、その設計の正しさを裏付けています。ある一時点での評価は、それが提出される頃にはすでに時代遅れとなっているのです。

Smartstreamと当社の金融サービスのお客様にとって、重要な問いはもはや「コンプライアンスを遵守しているか？」ではなく、「今日遵守できているか、そして明日それを証明できるか？」です。当社のセキュリティおよびエンジニアリング・プログラムは、その両方に「イエス」と答えるために組織されています。

業界では現在、AI主導の発見が大規模に可能にする事態を「Vulnpocalypse（脆弱性の黙示録）」と呼んでいます。これは、従来の修正サイクルでは吸収しきれないほどのスピードで脆弱性が押し寄せる状況を指します。Smartstreamはこのシナリオに対する意図的な回答として、封じ込め戦略を採用しています。パッチ適用が発見のスピードを追い越せない場合、封じ込めがそれを補わなければなりません。この時代におけるレジリエンスは、境界防御だけに頼るのではなく、アーキテクチャそのものに組み込まれるべきものです。

「コンプライアンスは最低限の基準。封じ込めは戦略的賭け。レジリエンスは規律である。」

Smartstreamは、Mythos時代の脅威の展望に対して明確な戦略を持っています。すべての要素が今日すでに完全に稼働しているわけではなく、私たちはその点について誠実でありたいと考えています。実行は継続的な規律であり、ゴールラインではありません。方向性は定まっており、運用のリズムも整っています。戦略を支える6つの原則は、それぞれDORAの柱に対応しています。

1. AIによって強化された脅威認識。 当社の戦略は、大規模言語モデル（LLM）ベースのコード解析を含むフロンティアAI機能を、脆弱性発見とAIベースの脅威モデリングに統合しています。導入は進行中であり、その意図は明確です。攻撃者が同じ手法で発見する前に、シグネチャベースやルールベースのスキャナーでは検出できない文脈的なロジックの欠陥や新しい攻撃パターンを表面化させることです。これは「AI対AI」であり、自らもAIを駆使するようになった攻撃者クラスに対する防御側の回答です。
2. 継続的な脅威エクスポージャー管理。 当社の戦略は、CVSSのみのスコアリングを超え、固有の深刻度、現実世界での悪用予測、露出チェーンの文脈、アイデンティティの露出、および資産の重要度を組み合わせた複合リスクモデルへと移行しています。その意図は、理論上は深刻だが実際には到達不可能な問題の長いリストではなく、当社の環境において真に悪用可能な少数の発見事項に対して、優先的に修復作業を向けることにあります。
3. AIによるセキュアSDLC。 セキュアな設計レビュー、コードスキャン、依存関係分析は、すべての製品リリースサイクルに組み込まれています。重要なコードに対するLLMベースのコードスキャン、AI生成コードの構造化された評価、AI強化脅威モデリング、そして人間が介在するエージェントベースの修復といったAI固有のプラクティスは、定期的な活動ではなく、開発ライフサイクルの恒久的な構成要素として確立されつつあります。
4. 適応型コントロールによる多層防御。 エンドポイントからクラウドまで、すべての制御レイヤーがライブの脅威インテリジェンスを取り込み、パッチサイクルではなく脅威のスピードで適応します。シャドーAIの可視化とデータ漏洩防止（DLP）コントロールにより、生成AIの利用やデータ流出経路に対しても同様の体制を拡張しています。24時間365日のマネージド・セキュリティ・オペレーション機能が、自動化された封じ込めに人間の監視を重ねます。基本的な前提は「侵害は起こるもの」であり、規律は「それを封じ込めること」にあります。
5. 透明性のある開示と責任の共有。 DORAのインシデント報告と情報共有の柱は、クライアントや規制当局とのタイムリーで構造化されたコミュニケーションを求めています。当社のコミットメントは明確です。脆弱性やインシデントが当社の提供する製品やサービスに重大な影響を与える場合、影響を受ける資産の詳細、悪用可能性の評価、および確約された修復スケジュールとともに、速やかに開示します。このコミットメントは、AI支援の研究によって表面化した発見事項を含め、問題がどのように発見されたかにかかわらず維持されます。
6. 想定ではなく、テストされたレジリエンス。 私たちは、継続性、災害復旧、インシデント対応を、一度認証を受けて棚上げにするのではなく、日常的なリズムで実施しています。独立したペネトレーションテスト、シナリオ主導の対応訓練、バックアップ復元の検証により、当社、お客様、および規制当局に対し、上述のコントロールがプレッシャーの下で設計通りに機能するという証拠を提供します。復旧目標は定義され、測定され、見直されます。

2つの短期的な実行マイルストーンがこの戦略を拡張します。一つは「VulnOps」で、スキャン資産全体からの発見事項を、固有の深刻度とともに悪用の可能性や現実世界での到達可能性を反映した複合スコアリングによって、単一のリスク優先バックログに統合する修復パイプラインです。もう一つは、人間が介在するエージェントベースのパッチ生成で、発見から修正までの時間を短縮します。目指すべき指針（North Star）は変わりません。コンプライアンスは最低限の基準、封じ込めは戦略的賭け、レジリエンスは規律です。これこそが、DORAの枠組みとVulnpocalypse時代の脅威の展望が求めているものです。

金融セクター全体のセキュリティ体制は、その最も弱い相互接続点と同等の強さしか持ち得ません。SmartstreamによるAIを意識したセキュリティ機能への積極的な投資は、競争のためのマーケティングポイントではありません。それは共有された義務における当社の役割です。私たちはプログラムを進化させ続け、重大な発見事項についてはオープンにコミュニケーションを取り、業界の情報共有コミュニティに参加し続けます。そうすることが、私たちが依存しているエコシステム全体を強化することに繋がるからです。

お客様にとって、実務上の要点は以下の通りです。 Smartstreamが提供するサービスを保護するコントロールは、AIが現在突きつけている脅威のスピードに対応するように設計されています。DORAはそのコミットメントの最低限の基準です。脅威の展望がその上限となります。私たちは、その基準をはるかに上回るレベルで運用していく所存です。