「バイブコーダーの増加はサイバー攻撃者にとって養分でしかない」 その理由とは：一般企業に迫るサプライチェーン攻撃の恐怖（3/3 ページ）

[三木泉，＠IT]

一般企業も開発／運用を含めた2つの管理アプローチが必要

　では、AIによるサイバー攻撃の進化に、防御側はどう対抗すればいいのか。まず、これまで多くの企業は、脅威に対して「防御」「検知」「対応」に投資を集中してきた。しかし、その前段として「特定」が急務になっていると西尾氏は話す。

　NIST（米国標準技術研究所）のサイバーセキュリティフレームワーク（CSF）は、特定、つまりIT資産の把握をセキュリティの出発点だとしている。自社がどのようなIT資産を持ち、どのOSやソフトウェアのバージョンを使い、どのようなネットワーク構成になっているのか。組織内の全IT資産とそれらを利用するユーザーを、IDレベルで追跡が可能な管理体制が必要だという。

　しかし現実には、日本の大企業でこれができているところは少ないと、コンサルティング経験が豊富な西尾氏は話す。

　さらにバイブコーディングが広がる中で、一般企業も開発環境をセキュリティ管理の対象とする必要に迫られている。ところが、これを認識できない企業が多いという。

　「『うちの会社はソフトウェアベンダーじゃない』と言う人が多いが、社内ではバイブコーディングが広がっている。AIが便利だといって自社開発をし始めているが、便利だというだけで済ませてはいけない」

　かつては「ソフトウェアサプライチェーンの責任は開発ベンダーにある」という線引きができたが、自社でコーディングを行う以上、もうその言い訳は通用しない。

　これを踏まえた防御戦略として、攻撃者と同じ目線で自社の環境を評価する2つのアプローチ、「EASM（External Attack Surface Management）」と「IASM（Internal Attack Surface Management）」を西尾氏は説明する。AIを使った攻撃に対抗するためには、いずれにもAIを活用していく必要がある。

　外側のアタックサーフェスを管理するEASMでは、DMZや従業員の端末など、内部ネットワークへの入り口に対して、攻撃者目線でどのような侵入経路が存在するかを把握する。これは、攻撃者がAIを用いて行うポートスキャンなどの初期侵入に対する防御として機能する。

　一方、内部のアタックサーフェスを管理するIASMでは、自社サーバのソフトウェア構成（SBOM＜Software Bill of Materials＞）、ネットワーク構成、アカウント権限などの内部リソース情報を集約し、「攻撃者が内部に入った後、どのようなルートで攻略していくか」を攻撃者と同じ目線でシミュレーションする。

　IASMでは、バイブコーディングの広がりに対応し、ソフトウェア開発／運用のプロセスを対象とする。具体的には、作成されたコードの脆弱性、開発からデプロイまでの経路、デプロイ環境の汚染有無を確認し、運用状態を監視する。

　EASMやIASMにAIを活用すると、クラウド環境などでは数万ものアタックパス（攻撃経路）が発見されることがあるが、これら全てにエンジニアが対応するのは現実的でない。

悪用可能性を指標としてIASMとEASMを実施する

　そこで極めて重要になるのが「悪用可能性（エクスプロイタビリティメトリクス）」という指標だ。

　これは、発見されたアタックパスがどれくらい現実的で再現度が高いかを評価する考え方。例えば、特定の管理者による特殊な操作を前提とするパスよりも、「複数の脆弱性を組み合わせることでVLANを容易に突破できる」といった再現性の高いパスを優先して対応する。このように現実的なリスクを整理することで、膨大なアラートの波に飲まれることなく、実効性のあるセキュリティ対策を実現できると、西尾氏は話している。