2026年5月12日、Wiz Cloud Japanはクラウドセキュリティに関する説明会を開催した。
ビジネスの俊敏性をデジタルによって向上すること──これに向けてDXや生成AIの活用、レガシーへの対応などに取り組む中、「サイバーセキュリティがイノベーションの阻害要因になっている」とWiz Cloud Japanの山中直氏は指摘する。Wiz Cloud Japanは、Wizの日本法人として活動しており、クラウドセキュリティの強靭化を非セキュリティエンジニアでも実施できることに強みをもつ。AIエージェントが台頭してきた現在、すべてのデジタル資産とリスクを可視化し、そのコンテクストを把握することが重要だとした。
今回の記者説明会では、クラウドセキュリティに焦点が当てられ、東京大学先端科学技術研究センター 客員研究員 西尾素己氏が登壇。「バイブコーディングにより脅威が加速するソフトウェアサプライチェーン攻撃」と題して、講演が行われた。
西尾氏は、AIによってオフェンシブセキュリティが変化している一方、過剰に捉えている側面や注目すべき点が欠けている点もあるという。Claude Mythosについて触れると、「人間では探しきれない脆弱性を瞬間的に発見できる。軽微な脆弱性を組み合わせてシステム全体を手中に収める、構造的な攻撃設計も可能だ」と説明する。ゼロデイ脆弱性を発掘するコストと時間は削減されており、ブラックマーケット(闇市場)においてもその相場は3分の1にまで下がっているという。また、パッチファイルの解析にもAIが活用されており、旧バージョンに存在した脆弱性が容易に発見されるなど、その状況は大きく変化しているとした。
また、バイブコーディングと呼ばれるコーディング手法が浸透してきた中、同手法には大量に外部パッケージを参照するような傾向があるため、脆弱性だらけの生成コード群が生まれてしまっているという。そこで攻撃者は外部パッケージを汚染し、サプライチェーン攻撃を仕掛けている。実際にTeamPCPがTrivyのリポジトリを汚染することで、1,000件以上の利用企業に被害が連鎖する事態も発生した。西尾氏は「少なくとも、わが国の製造物責任法(PL法)では、ソフトウェアメーカーに対して責任は問えない。サプライチェーン攻撃をどのような法律で裁いていくか、現状は泣き寝入りせざるを得ない状況だ」と指摘する。
そこで重要となるのが「シフトレフト(Shift Left)」という考え方だ。NIST CSFにおける特定から復旧までのプロセスに注目が集まる中、それ以前の開発・管理プロセスにおけるセキュリティ強化を行うというもの。いわゆる「DevSecOps」をはじめとした、SP800-218などに準拠した開発環境のセキュア化が必要とされている。「バイブコーディングの登場で、ソフトウェアサプライチェーン攻撃の責任を製造側に問うだけではいられなくなった」と西尾氏。開発者だけでなく、バイブコーダーも含めて「EASM(External Attack Surface Management)」「IASM(Internal Attack Surface Management)」による対策を講じるべきだとした。
もちろん、単に数万個ある攻撃経路を特定したとしても実用的ではない。ASM情報は悪用可能性指標と組み合わせて評価しなければならず、その上でソフトウェアサプライチェーン攻撃に対応されているものを利用すべきだとする。西尾氏は、「『AIによる攻撃』と捉えるのではなく、適切に分解してAIを用いてどのような対策を講じるべきか考えなければならない」と述べた。
なお、Wizでは企業内のIT資産を統合的にグラフデータベース化し、可視化することで対応を円滑にする。Wiz Cloud Japanの桂田祥吾氏は、「人だけが対処する時代は終わり、マシンスピードで対応しなければならなくなった。AIを用いた自律的なセキュリティが求められる」と話す。Wizでは、AIによる対処に必要となるコンテクストエンジンを提供するとして、「Red Agent」「Blue Agent」「Green Agent」という3つのAIエージェントを用意。それぞれレッドチーム、ブルーチーム、そしてコードの修正などを提案するグリーンチーム(ブルーチームとイエローチームを組み合わせたもの)として機能する。“イシュー”という単位で問題点を洗い出すと、複数の要因を提示。たとえば、Red Agentではどの構成に問題があるのか、どのようなプロセスで調査をしたのか、事象を再現するためのコマンドも生成してくれるという。
【関連記事】
・Cloudflare、Wizとの統合でユーザーのAIガバナンス/AIセキュリティを支援へ
・Wiz、日本への本格参入から約1年で成長 本国幹部陣が来日で機能アップデートなどにも言及
・CTC、「Wiz」の取り扱いを開始 3年間で20億円の売上目指す
この記事は参考になりましたか?
- この記事の著者
-
岡本 拓也(編集部)(オカモト タクヤ)
1993年福岡県生まれ。京都外国語大学イタリア語学科卒業。ニュースサイトの編集、システム開発、ライターなどを経験し、2020年株式会社翔泳社に入社。ITリーダー向け専門メディア『EnterpriseZine』の編集・企画・運営に携わる。2023年4月、EnterpriseZine編集長就任。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
