Tanium Koreaは6月9日、ソウルで記者懇談会を開き、AIによってサイバー攻撃のスピードが大幅に上がるなか、企業のパッチ管理も手作業中心の運用から、ポリシー主導の自律パッチ管理へ転換する必要があるとの考えを示した。

懇談会のテーマは「ポスト・ミトス時代の企業セキュリティ戦略」。同社は、攻撃側でAIの活用が進む一方、防御側では依然として人手に依存したパッチ運用が残っており、このギャップが企業リスクを拡大させていると指摘した。

カン・ドゥウォンTanium Korea理事は、従来は高度な専門人材と専門技術を必要とした攻撃が、現在ではAIによってコード解析、脆弱性の探索、エクスプロイトコードの生成、配布に至るまで自動化されつつあると説明した。脆弱性の公開から大規模攻撃までの時間は、数年前には3日程度あったものが、今では数時間、直近の事例では30分前後まで短縮されたという。

これに対し、防御側のパッチ運用では、脆弱性の把握、担当者の確認、影響資産の調査、変更依頼、承認、パッチ適用、結果確認まで、各段階で人の判断が介在する。同社は、パッチ1件の処理に平均60～150日を要するとの統計を示し、「AI時代の脅威への対応は、単なる技術の問題ではなく運用プロセスの問題だ」と強調した。

Tanium Koreaは、パッチ対応の遅れがもたらすコストにも言及した。セキュリティ事故1件当たりの平均対応費用は48億3000万ウォンで、サービス停止に至った場合は被害がさらに拡大する可能性があるとした。

もっとも、単純にスピードだけを追求しても解決にはならないという。カン理事は、速度重視の運用ではパッチの安定性検証が不十分になり、資産リスクが高まるほか、規制対応も難しくなると説明。人員を増やしても処理速度が比例して向上するわけではないとして、代替策に「ポリシー主導の自動化」を挙げた。

この考え方では、人がポリシーを設計し、システムがそのポリシーに沿って実行し、結果をリアルタイムで検証する。人手が介在すると業務が遅れるだけでなく、担当者の状態によってパッチ適用率にばらつきが生じるため、システムが明確な基準に基づいて一貫して動く仕組みが必要だとした。

Taniumは、こうした運用を実現する製品として「自律パッチ管理（APM、Autonomous Patch Management）」を提供している。

APMは、「リアルタイム可視化」「ポリシーベースの自律実行」「検証と継続性」の3つを柱とする。リアルタイム可視化では、インターネットへの露出有無、資産の重要度、脆弱性に対するエクスプロイトの有無、共通脆弱性評価システム（CVSS）のスコア、パッチ・ファイルの信頼性などを総合的に判断し、リスクを自動判定するという。

ポリシーベースの自律実行では、人が都度ボタンを押すのではなく、あらかじめ定義したポリシーに従ってシステムがパッチ適用を進める。検証と継続性については、単にパッチが完了したかではなく、対象の脅威が実環境から取り除かれたかまで確認する点を特徴として挙げた。同社は「重要なのはパッチを当てたかどうかではなく、脅威が環境から消えたかどうかだ」と説明した。

キム・ドヒョンTanium Korea理事は、セキュリティ環境の変化を「ミトス以前」「現在」「ミトス以後」の3段階で整理した。ミトス以前は、専門家が脆弱性を直接発見し、月次または四半期単位でパッチを配布する形が主流だったが、現在はAIが大量の脆弱性を検出する時代に入ったと指摘。ソフトウェアベンダー各社がAnthropicに対し、脆弱性公開のスピードを抑えるよう求める状況だと述べた。

そのうえで、ミトス以後は、ミトス以外のAIモデルも同様に脆弱性を発見し、攻撃に活用する局面が一段と広がるとの見方を示した。

キム理事は「1日に数百件の脆弱性が公表され、数百件のパッチが出る時代が来る」としたうえで、攻撃者は脆弱性の公表からパッチ適用までの時間差を突くため、このギャップをいかに縮めるかが重要だと指摘した。企業にとっては、パッチの自動化とリアルタイム配布以外に現実的な代替策は乏しいとの見解を示した。

また、自社アーキテクチャの見直しとガバナンス整備が、現時点で最優先の課題だと訴えた。

TaniumはAPMに加え、AIを対象としたセキュリティ製品群の拡充も進めている。2025年末に投入した「Tanium Ask」は、同社初のエージェント型AI製品で、質問への回答にとどまらず、実際の対応まで実行できるとしている。

パク・ヨンソンTanium Korea支社長は、2021年のLog4j問題を例に挙げ、「当時は自社環境のどこにLog4jが存在するのかを把握するだけで3週間以上かかった」と振り返った。そのうえで、Tanium Askを使えば、脆弱性に関する質問を入力した直後に影響資産をリアルタイムで確認し、パッチ適用やリモート呼び出しの遮断といった対応まで即座に実行できると説明した。

同社は今年3月、シャドーAI管理ソリューション「Tanium Valiant Spotlight」も投入した。企業内で従業員が非公式に利用するAI、いわゆるシャドーAIを検知して管理する製品だ。

パク支社長は「外部のAIサービスに一度アップロードした情報は回収できない」としたうえで、社内で誰がどのAIを使っているかを把握すること自体が難しい状況だと述べた。Valiant Spotlightは、企業内に潜在するAI利用の実態をリアルタイムで可視化し、管理につなげるとしている。

このほか、Taniumは自律運用エージェント「Tanium Atlas」も公開した。Atlasは先月までプライベートプレビュー段階だったが、足元でパブリックベータに移行した。

同社によると、Atlasは「Intent Outcome」「Ambient AI」「マルチモデル」の3要素で構成される。

Intent Outcomeは、利用者が意図だけを入力すれば、システムが自動的に実行する仕組みを指す。パク支社長は、「パッチ未適用のエンドポイントを今週末まで隔離し、パッチ適用後に検証できたら解除して」と入力すれば、Atlasが脆弱な資産の調査からパッチ配布、検証、隔離解除までを自律的に処理すると説明した。

Ambient AIは、利用者が問い合わせる前にシステムが異常の兆候を検知し、アラート通知を支援する機能。マルチモデルは、ChatGPT、Claude、Geminiなど複数のAIモデルを統合し、より適切な回答を返せるようにする考え方だ。

パク支社長は「昨日得た情報が、今日はもう古くなる時代だ」と述べ、AIによる攻撃自動化のスピードに合わせて、企業のIT運用のパラダイム自体を変える必要があると強調した。