何が起きたか
英国国立サイバーセキュリティセンターは2026年5月11日に「脆弱性を見つけるためのAIモデルを使用する際に質問すべき10の質問」というタイトルのガイダンスを公開し、単にさらに多くの脆弱性を見つけることは、適切なトリアージ、優先順位付け、および修復プロセスなしではセキュリティを改善せず、悪化させる可能性があることを警告しています。ガイダンスは、AIセキュリティはスタンドアロンの分野ではなく、既存のサイバーセキュリティフレームワークと運用ガバナンスに組み込む必要があることを強調しています。
なぜ重要か
これは、AI脆弱性発見をツール選択ではなくボードレベルの分野として扱う初めてのNCSCガイダンスです。ガイダンスは、2025年に割り当てられた40,000以上のCVEのうち、積極的に悪用されたのは約400件のみで、最初に使用された際のゼロデイは約40件であったことを指摘しており、量駆動型発見よりも優先順位付けられたパッチの必要性を強調しています。このフレームワークは、AI脆弱性スキャナーを採用する前に、データ露出リスク、権限、ホストされたモデルの管轄権、および予算への影響を考慮するようorganizations に促しています。
必要な対応
セキュリティチームは、AI脆弱性発見ツールをデプロイする前に10質問フレームワークをレビューし、脆弱性管理プロセスが増加した検出結果の量に対応できることを確認し、外部攻撃表面スキャンを優先し、AIと人間の両方の検証を使用して検出結果を検証する必要があります。また、基本的なサイバーハイジーン(既知の脆弱性のパッチ、アセット管理)が依然として最高のROIセキュリティ投資であることを考慮すると、AIモデルが必要かどうかを評価する必要があります。