**CERT-In**の新しいガイドラインでは、インターネットに公開されているシステムにおける重大なセキュリティ脆弱性について、発見から「実行可能であれば」12時間以内にパッチを適用することを組織に義務付けています。この積極的なタイムラインは、AIによって強化されたサイバー攻撃がもたらす増大する脅威に対抗することを目的としています。 ### AIによるサイバー脅威の状況 **CERT-In**が公開した38ページのブループリントによると、「AI支援によるサイバー攻撃は、攻撃者が脆弱性、公開されているサービス、弱い認証情報、安全でないAPI、設定ミスのあるシステムを特定、悪用、攻撃するために必要な時間を短縮します。」 同機関は、相互接続されたデジタルインフラストラクチャ、クラウドエコシステム、ソフトウェアサプライチェーン、運用技術、AI対応プラットフォームへの依存度の高まりを強調しており、これらすべてがAI対応サイバー脅威の潜在的な影響をセクター全体で増幅させています。 脅威アクターは、以下を含むさまざまな悪意のある活動にAIを活用しています。 * 攻撃対象領域の発見 * エクスプロイトの分析 * フィッシングコンテンツの生成 * マルウェアの作成 これにより、攻撃準備のタイムラインを圧縮し、従来のセキュリティ制御を回避することが可能になります。 さらに、AI対応システム自体が、プロンプトインジェクション、データ漏洩の脆弱性、ジェイルブレイク技術、モデル操作、トレーニングデータ汚染、モデル窃盗、オーケストレーションパイプラインの侵害などを通じて標的となっています。 ### 防御原則 **CERT-In**は、プロアクティブな露出削減と運用準備の必要性を強調しています。主要な防御原則は以下の通りです。 * 侵害を前提とし、迅速なインシデント対応の準備をする。 * ゼロトラストアーキテクチャを採用する。 * 多層防御戦略を実装する。 * 継続的な脆弱性監視と削減。 * セキュアバイデザインパラダイムを組み込む。 * インシデント発生中の運用継続性を維持する。 * ライフサイクル全体を通じて機密データを保護する。 * ソフトウェア部品表（SBOM）、出所検証、評価を通じてソフトウェアサプライチェーンのリスクを削減する。 * レッドチーミングとペネトレーションテストによる定期的なセキュリティテスト。 * 重要度と露出度に基づいた制御の優先順位付け。 * 正式なAIガバナンスメカニズムの確立。 * AIシステムとその動作に対する可視性を維持する。 ### 修復タイムライン 重大なインターネット接続型脆弱性に対する12時間のパッチ適用義務に加え、**CERT-In**は以下のリスクベースの修復時間を概説しています。 * 重大な外部公開脆弱性：1日以内 * 内部システムに影響を与える既知の悪用済み脆弱性：1日以内（緩和策が実施されている場合を除く） * 高価値システムに影響を与える重大な内部脆弱性：3日以内 * 高深刻度の脆弱性：リスク優先順位付けに基づき5日以内 パッチが入手できない場合は、隔離、アクセス制限、Web Application Firewall（WAF）/API保護、強化された監視、機能無効化などの一時的な緩和策が推奨されます。 ### より大きな視点 このブループリントは、**CERT-In**が**Anthropic**と**OpenAI**の最先端AIモデルのサイバー能力の増大について警告した以前のアドバイザリに続くもので、悪用される可能性を強調しています。同機関は、「基本的なサイバーセキュリティ管理は依然として重要であり、厳格に実施されるべきである」と強調しました。