セキュリティコミュニティには長らく2つの文化が共存してきた。AIの台頭はその両方を、同時に、根底から揺さぶっている。Linux界で最近発生した「Copy Fail」脆弱性をめぐる一連の出来事は、その変化を象徴する出来事だった。

2つの脆弱性開示文化とは何か

セキュリティの世界には、大きく分けて2つのアプローチが存在する。

「協調的開示(Coordinated Disclosure)」文化は、おそらく最も広く使われているアプローチだ。脆弱性を発見したら、まず非公開でメンテナに報告し、通常90日の修正猶予を与える。修正が完成した時点で初めて脆弱性の詳細が公開される。ユーザーが修正を適用する機会を確保しながら情報を管理するという考え方だ。

「バグはバグ(Bugs are Bugs)」文化は、Linuxカーネルコミュニティで特に根強い。脆弱性を特別扱いせず、通常のバグ修正と同じように公開リポジトリで速やかに修正する。変更量が膨大なため、攻撃者が重要な修正コミットに気づく前にパッチが普及する可能性を期待する戦略だ。

この2つは対立するようでいて、それぞれの前提が成立する限りは合理的な選択肢だった。

Copy Fail脆弱性が示した転換点

今回の「Copy Fail」脆弱性では、研究者のHyunwoo Kimが発見した脆弱性を非公開のLinuxセキュリティエンジニアリストへ共有し、静かに修正をオープンに反映する「バグはバグ」方式を採った。意図は、修正コードが公開されてもそれが深刻な脆弱性への対処だと気づかれないよう「埋める」ことだった。

だが、Kimが報告してからわずか9時間後、別の研究者Kuan-Ting Chenが独自に同じ脆弱性を発見・報告した。エンバーゴ(情報の一時封鎖)はほぼ意味をなさなかった。

なぜAIは両方の文化を壊すのか

「バグはバグ」文化の崩壊:かつては膨大なコミット量がノイズになり、攻撃者が重要なセキュリティ修正を探し当てるのは困難だった。今はAIがコミット単位で「これはセキュリティパッチか?」を自動判定できる。シグナルとノイズの比率が劇的に改善され、静かに修正を「埋める」戦略はもはや通用しない。

「協調的開示」文化の崩壊:90日のエンバーゴ期間は「同じ脆弱性を誰かが独立発見する可能性が低い」という前提で成立していた。AIを使った脆弱性スキャンが世界中で走っている今、9時間で独立発見されるケースが現実に起きている。エンバーゴ期間は、悪意ある攻撃者と善意の防御者が同じ情報を持てないまま過ぎる「リスク期間」になりかねない。

浮上する「超短期エンバーゴ」という解

元記事の筆者は、「非常に短いエンバーゴ」を暫定的な解として提案している。数日単位ではなく、数時間〜1日単位のエンバーゴを標準化し、さらに短縮していく方向性だ。

逆説的なことに、AIは攻撃者だけでなく防御者のスピードも上げる。かつては「短すぎて意味がない」と言われた超短期エンバーゴでも、AIによる自動パッチ配布・検証のパイプラインが整えば、実用的な時間内に多くのシステムへ適用が完了する可能性がある。

実務への影響——日本のエンジニア・IT管理者はどう動くか

パッチ適用サイクルの抜本的な見直しが急務。「月次パッチ」「四半期レビュー」という運用は、脆弱性の公開から悪用開始までの時間が縮小している現実と完全にミスマッチになりつつある。重大度に応じた段階的なパッチ適用フロー(CVSS 9以上は24時間以内適用、など)を設計しておくことが重要だ。

コミット監視パイプラインの整備。OSS依存ライブラリのコミット変更を自動監視し、セキュリティ関連の変更を検知する仕組みを持つことが、これからのサプライチェーンセキュリティの基本動作になる。GitHub ActionsやDependabotを超えた、より積極的な監視設計を検討する段階だ。

「エンバーゴ情報の受信者リスト」への参加を検討。大規模なOSSを利用する組織は、Linux Kernel Security ListやCVE報告先リストへの参加資格要件を把握しておくと、超短期エンバーゴ時代でも早期情報を受け取れる立場になれる。

筆者の見解

セキュリティの世界で「慣行」と呼ばれてきたものが、テクノロジーの変化で一気に時代遅れになる——これは今に始まった話ではないが、AIが関わると変化のスピードが桁違いだ。

注目すべきは、攻撃者と防御者が同じツールを使っているという構造的な変化だ。これはゼロサムゲームのように見えるが、本質的には「スピード」という軸での競争に収束する。パッチを出してから適用されるまでの時間、脆弱性が発見されてから修正されるまでの時間——この「窓」をどれだけ小さくできるかが、組織のセキュリティ成熟度の新しい指標になるはずだ。

90日エンバーゴは「人間の処理速度」に合わせて設計された慣行だ。AIが防御側の処理を加速できるなら、慣行そのものを人間のペースから切り離して再設計する発想の転換が必要だろう。エンバーゴの「何日か」を議論するより、「AIを前提とした開示フローをゼロから設計する」という姿勢が、業界全体に求められている。

日本では脆弱性対応が依然として組織内の意思決定の遅さに引きずられるケースが多い。技術的な問題だけでなく、「誰が決めるか」「何日待てるか」というプロセス設計を今のうちに見直しておくことが、次の大きな脆弱性への備えになる。

出典: この記事は AI is breaking two vulnerability cultures の内容をもとに、筆者の見解を加えて独自に執筆したものです。