AI時代における倫理的かつ責任ある製品開発と脆弱性開示、フォーティネットの製品セキュリティポリシーを解説
提供: フォーティネットジャパン
本記事はフォーティネットジャパンが提供する「FORTINETブログ」に掲載された「フロンティアAIのフォーティネットによる使用に関する最新情報」を再編集したものです。
米国で掲載ブログの抄訳です 2026年6月30日火曜日
以前のCISO Collectiveブログ投稿、強化されたセキュリティ: Mythos時代のセキュリティにおいて、フォーティネットは、マルウェア分析、AIガイドによるファジング、ペネトレーションテスト、コード分析など、長年にわたってセキュリティ分析を強化するためにAIを使用してきたことを強調しました。
しかし、最近では、フォーティネットは、AnthropicのGlasswing(Mythos)やOpenAIのDaybreak(GPT 5.5 Cyber)プロジェクトを含む複数のフロンティアモデルを活用するために、いくつかのベンダーと緊密に協力しています。フォーティネットは、堅牢なセキュリティテストプロセスの一環として、オンプレミスモデルと共に、各サイバーモデルの最良の部分を活用しています。AIは確立されたセキュリティテストプログラムの一部でしたが、フロンティアサイバーモデルのイノベーションにより、大規模にソフトウェアを分析およびテストする能力が飛躍的に向上しました。
この変化は重要ですが、製品セキュリティと責任あるイノベーションに対する当社の基本的なアプローチを変えるものではありません。当社は、お客様のセキュリティへのコミットメントと、イノベーションと責任ある透明性の文化とのバランスを注意深く保っています。お客様を保護することが当社の最優先事項であり、そのミッションを念頭に置いて、当社のテクノロジー、人材、プロセスに関する情報を定期的に共有しています。
フォーティネットは、問題を迅速かつ責任を持って特定、軽減、修復するために設計された成熟した脆弱性管理および開示プログラムを維持しています。製品は、設計段階からのセキュリティ、デフォルトでのセキュリティ、そしてAI加速型攻撃の影響を制限するための多層防御アプローチで構築されています。フォーティネットは、倫理的かつ責任ある製品開発と脆弱性開示におけるロールモデルであることに長年コミットしています。例えば、フォーティネットの確立された製品セキュリティポリシーをご覧ください。
フォーティネットは、当社製品内で使用されるサードパーティのオープンソースプロジェクトと当社独自のコードにおける結果の厳格なテストと検証を継続しています。この作業は、追加のフロンティアモデルテストと並行して継続されています。
現在までの結果
ファームウェアテスト
フォーティネットは、脅威アクターが取る可能性が最も高い攻撃経路を再現することで、フロンティアモデルのテストを開始しました。脅威アクターはソースコードにアクセスできないため、この敵対者エミュレーションテストは、ファームウェア分析、ペネトレーションテスト、レッドチーミングに限定されます。
この目標を達成するために、当社はテストハーネスを使用してマルチエージェント戦略を活用しました:
・ファームウェアを分析し、正確な脅威モデルを作成する
・セキュリティ関連の結果についてコードをレビューする
・脅威モデルと比較して誤検知を除去する
・ペネトレーションテストを通じて実稼働システムで問題を検証する
フォーティネットソリューションのレビューにより、フォーティネットは悪用可能な脆弱性を大量には発見しませんでした。重要なことに、このテストの結果は、価値のある副次的な結果をもたらしました:
・フロンティアAIモデルから作成された脅威モデルは、数年にわたって開発された当社独自の脅威モデルを含め、当社が観察した中で最高品質のものでした。メモリ内のファームウェアの内部動作についてこのような完全かつ正確なビューを持つことで、開発者へのインタビューによって達成できるよりもはるかに包括的なモデルを組織に提供します。
・フロンティアモデルは、ファームウェアの分析、バージョン間の変更の評価、既知の修復済み脆弱性に対する概念実証エクスプロイトの開発に非常に長けています。
ファームウェアテストの話は重要です。短期的には、脅威アクターが新しい脆弱性を発見する能力を考えると、脅威アクターが現在のモデルにアクセスすることによってもたらされるリスクは比較的低いです。しかし、既知の修正済み脆弱性をリバースエンジニアリングする際に与える利点は重要です。
サイバーセキュリティの専門家は、モデルが改善され、これらの機能がオープンソースバージョンで利用可能になるのは時間の問題であることを知っており、フォーティネットは、それが起こると状況が非常に迅速に変化することを予想しています。この点については、後ほど推奨事項のセクションで再度取り上げます。
ソースコードテスト
ソースコードを分析するためにテストハーネスの使用を拡大し、より実質的な発見につながりました。30の異なる製品ファミリーに対して100回以上のテストを実施した後、現在結果を評価し対処しており、執筆時点では以下のような状況です:
・30%が誤検知
・30%がセキュリティベストプラクティス(脆弱性ではないが、改善できるもの)
・40%が真陽性
フロンティアAIコーディングの発見をトリアージするために、ペネトレーションテストを広範囲に活用してきました。しかし、真陽性を見逃したくないため、フォーティネットのセキュリティアナリストとセキュリティチャンピオンが、誤検知の分類を受け入れる前に、「ループ内の人間」として全ての発見を手動でレビューし検証しています。このステップは、セキュリティベストプラクティス、つまり多層防御対策やその他の減災措置により悪用できない問題を見逃さないために極めて重要です。これらはすべて有用でありセキュリティを向上させるため、適切に対処されます。
真陽性への対処
フロンティアAIは大きな変化をもたらしますが、基本原則は変わりません。フロンティアAIモデルがもたらす変化は、防御側に準備するための貴重な機会を提供すると考えています。今後数週間から数ヶ月にわたり、フォーティネットは、他の脆弱性と同様に、発見された脆弱性の深刻度と悪用可能性の評価に基づいて、問題に対処し、セキュリティ強化策を開発して公開します。そして、セキュアバイデザインの透明性へのコミットメントの一環として、これらのソリューションを公開する際には脆弱性の発見元を明記します。
フロンティアAIをフォーティネットのソフトウェア開発ライフサイクル(SDLC)に統合
組織におけるセキュリティエンジニアリングは、歴史的に人的専門知識の利用可能性によってボトルネックとなってきました。フロンティアモデルは、そのボトルネックの解決に役立ちます。以下のことが可能です:
・コーディングの弱点と脆弱性を大規模に特定
・ペネトレーションテストのワークフローを自動化
・複雑なアーキテクチャ全体で攻撃経路をシミュレート
・適切な減災策と修正を提案
これにより、これらの熟練チームのスケーラビリティが向上し、その能力が飛躍的に強化されます。この増加は良いニュースです。フォーティネットの2026年グローバルサイバーセキュリティスキルギャップレポートが、サイバーセキュリティ採用が停滞しており、ITリーダーの半数以上が企業からの反発に直面していることを明らかにしたことを考えると。
フロンティアAI機能が進化し続けても、AIが人員を大幅に削減するという頻繁に引用される期待は実現しそうにないことを認識することが重要です。組織は、最適な結果を得るために効果的なプロンプトを設計し、意味のあるテストハーネスを開発する熟練したアナリストを依然として必要とします。結果を解釈し、問題に対処し、修正を検証するには、依然として相当な労力とリソースが必要です。AIは効率を劇的に向上させ、人間の能力を強化できますが、今日では完全に自律的なソリューションではなく、重要なプロセスが完全に自動化に依存すべきでもありません。
強化されたセキュリティ専門知識
私の考えでは、フロンティアAIモデルは、人間のセキュリティ専門家の必要性を置き換えるほど変革的ではない可能性が高いです。高品質なセキュリティ専門家は、当面の間不可欠であり続けるでしょう。むしろ、フロンティアAIモデルは既存のセキュリティ専門家にとっての「フォースマルチプライヤー」として機能します:
・ジュニアエンジニアは専門家レベルのガイダンスを得られます。
・セキュリティチームは影響力を迅速に拡大できます。
・セキュリティチームは、モデルのフィードバックに基づいて、どこから調査を開始すべきか、開発者がリファクタリング作業に集中すべき場所についての洞察を得ることができます。
セキュリティ知識は単一のチーム内に閉じ込められるのではなく、組織の開発プロセスに組み込まれ、企業のセキュリティ専門家全体がより効率的に運用し、より大きな勢いで前進できるようになります。
AI強化型SDLCの価値
本稿執筆時点で、すべての深刻度における真陽性あたりの平均トークンコストは約540ドルとなっており、堅実な投資収益率を示しています。これは、セキュリティのベストプラクティスや脅威モデリングの調査結果から得られるメリットさえ考慮していません。
フロンティアAIモデルは、サイバーセキュリティに大きな加速的影響を与えており、当社独自のAIファウンドリにおいてローカルのフォーティネットモデルと統合し、継続的なテストのためにSDLCに恒久的に組み込み始めて以来、私たちが目にしてきた成功を考えると、フォーティネット独自のソリューションは時間の経過とともに改善され、この継続的な取り組みのコストは大幅に削減されると予想しています。
準備態勢の維持
MythosとGPT 5.5の発表前に公開されたFortiGuard Labs 2026年版グローバル脅威動向レポートにおける重要な調査結果。Cyberは、AIが偵察、武器化、実行を加速させ、クリティカルなアウトブレイクにおける悪用までの時間(TTE)が24~48時間に短縮されたという調査結果であり、これは2024年の平均TTE 4.76日から大幅に短縮されています。先ほど、ファームウェアテストから得られた重要な知見として、新しいモデルがファームウェアをリバースエンジニアリングし、修正済みの脆弱性に対する概念実証を作成することがいかに容易であったかについて述べました。フロンティアAIモデルの出現により、TTEはゼロに向けて急速な傾向を続けると完全に予想しています。
この新しい領域で生き残るために、組織は進化する必要があり、迅速に進化する必要があります。
減災サイクルを劇的に短縮する
リバースエンジニアリング攻撃が発生すると予想される速度を考えると、私たちの主要な防御メカニズムは、まず減災を行い、後でパッチを適用するという戦略にシフトしなければなりません。減災は、最も安全なデプロイメントオプションから始まります。これは、CISAによって推進されたトピックであるsecure-by-default戦略によって奨励されており、フォーティネットは対応する誓約に署名した最初のサイバーセキュリティ企業の1つとしてこれにコミットしました。以下は、フォーティネットデバイスのベストプラクティスデプロイメントのいくつかの例であり、他のベンダーについても概念は同様です:
・パスワード複雑性ポリシーを適用する
・多要素認証 (MFA)を有効にする
・local-inポリシーを使用して管理インタフェースへのアクセスを制限するか、さらに良い方法として、インターネットに面したインタフェースからFortiGateへの管理アクセスを削除し、代わりに内部またはアウトオブバンド方式で管理します
・設定に関するベストプラクティスの推奨事項に従ってください
・FortiRecon などの継続的な脅威エクスポージャー管理(CTEM)ツールを通じて、最も露出され、クリティカルな攻撃対象領域を把握し、これらのデバイスのセキュリティを優先します
・内部リソースを危険から遠ざけ、セキュアアクセスサービスエッジ (SASE)などのリモートアクセスソリューションの背後に配置することで、攻撃対象領域を削減します
・すべてのデバイスからログを収集し、インフラストラクチャ全体にわたって継続的な脅威ハンティングを実行します
・デバイスを最新のファームウェアとパッチで最新の状態に保ち、インターネットに面したデバイスに最優先で対応します
上記は非常に重要です。なぜなら、AIツールを持つ脅威アクターは、脆弱性が公開されてから数時間以内に脆弱性を悪用し始めることができるようになるため、自動化が鍵となり、脅威アクターの先を行くためには一秒一秒が重要になるからです。四半期ごとの変更ウィンドウの時代は終わりました。
減災の速度が鍵となり、フォーティネットは、組織が脆弱性にパッチを適用する機会を得る前に、場合によっては修正が利用可能になる前でさえも、IPベースのシグネチャを使用して問題を迅速に修復する仮想パッチの概念を引き続き提唱しています。仮想パッチが利用できない場合、ベンダーから明確に定義された回避策が、潜在的な脅威のタイムリーな減災の鍵となります。
組織はまた、このシフトをプロセスの早い段階で計画する必要があります。このアプローチの変化は、アーキテクチャ設計段階から組み込む必要があります。アップグレードの一般的な障害は、次のような決まり文句です: 「ビジネスをオフラインにすることはできません。税務シーズン/ブラックフライデー/クリスマスなどですから」 その考え方を変える必要があります。
このアプローチの変化を取り入れるために、例えば、フォーティネットは、FortiGateセッションライフサポートプロトコル(FGSP)を介して、減災と修復の取り組みを簡素化し、ゼロインパクトアップグレードを可能にするソリューションを提供しています。この機能により、セッションを同期し、クラスタからデバイスを切り離し、パッチを適用して再挿入することが、パケットロスやネットワークトラフィックの中断なしで可能になります。
FortiSOARのようなセキュリティオーケストレーションおよびレスポンスツールを使用して、すべてのベンダーの自動化プレイブックに対してこのパッチ適用プロセスを加速できます:
・脆弱なシステムを特定する
・仮想パッチのような即座の回避策を実装する
・パッチの識別を自動化し、変更ウィンドウを開き、パッチの適用を自動化する
保護措置の詳細については、ホワイトペーパー「組織とお客様のためのフロンティアサイバーモデルのサイバーへの影響」をご覧ください。
本記事はアフィリエイトプログラムによる収益を得ている場合があります

