FeedworthyAI
Back to feed
VMware Blogsblog

バーチャルパッチ:  vDefend と Aviを使ってAIが発見する脆弱性の「津波」に備える

Monday, June 8, 2026vmware japan blogView original

シリーズで掲載しているVCF 9.1記事ですが、本日は、弊社Broadcom のアプリケーション・ネットワーキング&セキュリティ事業部長であるUmesh Mahajanの投稿をご紹介いたします。ご参照ください。 デジタル環境がAI時代に突入する中、アプリケーションを守る従来の方法は根本的な課題に直面しています。高度なAIモデルの登場により、攻撃者側の優位性が高まっており、AIを活用することで、経験の浅い攻撃者でさえ、極めて低コストかつ前例のない規模で半自律的に活動しながら、高度なハッカーへと武装化されています。ランサムウェア集団や国家主体の攻撃者が、こうしたサイバー兵器を用いて引き起こしうる甚大な被害を想像してみてください。近年、ランサムウェア攻撃により、企業の業務が数週間から数ヶ月にわたり停止し、数億ドル規模の経済的損失が生じています。サイバーレジリエンスを維持するためには、組織は事後対応型のセキュリティから脱却し、ラテラルセキュリティとバーチャルパッチ適用を中心とした多層防御戦略を早期に行う必要性があります。 AIによる脆弱性発見の津波 最先端のAIモデルは、未知の(ゼロデイ)ソフトウェアの脆弱性(バグ)を特定し、それらを悪用する方法を見つける知性を備えており、その速度はかつてないほど高速です。攻撃者はこれらの脆弱性を利用して企業・組織のデジタル環境に侵入し、横方向へ拡散、ホッピング、ハンティングを行い、金銭の要求や機密情報の窃取を目的として高価値な資産を探し出します。攻撃者は半自律的に、広範囲・大量かつ/または標的型の攻撃を開始でき、その結果、攻撃対象領域が指数関数的に拡大します。「隠蔽によるセキュリティ」は、もはや有効なサイバーセキュリティ戦略とは言えません。 企業・組織がソフトウェアの脆弱性に対して迅速にパッチを適用できれば、セキュリティ侵害のリスクやその拡大を確実に抑えることができます。しかし、これは非常に時間がかかり、多大なリソースを要する作業です。数千ものソフトウェアツールやアプリが存在し、それぞれが異なるソフトウェアバージョンを持ち、様々な種類のハードウェアやオペレーティングシステムに展開され、複数のデータセンターに分散しています。大規模な組織では、組織全体にパッチを展開する「パッチ適用レース」に数週間から数ヶ月を要し、その結果、組織は侵入や金銭の要求、さらには業務中断のリスクにさらされたままになります。 ワークロードやアプリに対して放たれるこの脆弱性への攻撃の津波から迅速に防御し、リスクを低減するためには、企業はプライベートクラウドのワークロードに対して以下の2つの主要な防御策に注力する必要があります: 侵入防止システム(IPS)およびWebアプリケーションファイアウォール(WAF)を活用したバーチャルパッチ適用の実装 ラテラルセグメンテーションによる攻撃の拡散の抑制 バーチャルパッチ適用とは? バーチャルパッチ適用とは、資産のフロントエンドにあるネットワークまたはアプリケーション配信レベルでセキュリティポリシー層を実装し、資産を保護する脆弱性対策の手法です。これらの対策により、脆弱なソフトウェアに到達する前に攻撃を遮断・ブロックし、ソフトウェア自体ではなく通信経路上の欠陥に対して効果的に「パッチ適用」します。 バーチャルパッチ適用の主な利点 アプリケーションの可用性:リスクを軽減しつつ、アプリケーションや資産の可用性を確保します コード変更不要:ソフトウェア更新やパッチの展開を必要とせずにアプリケーションを保護します。ソフトウェアパッチは機能の後退を引き起こす可能性がありますが、このアプローチではそのリスクを排除します ターゲットを絞ったシグネチャ:誤検知やパフォーマンスへの影響のリスクを低減します ゼロデイ保護:公式パッチがまだ存在しない脆弱性に対して迅速に対応します。 レガシーシステムのサポート:ビジネス運用に依然として不可欠な、サポート終了した古いシステムを保護します。レガシーアプリケーションにはパッチが存在しない場合もあります 時間の確保:脆弱性にさらされたままになることなく、恒久的なベンダーパッチをセキュリティチームがテストおよび展開するために必要な時間を確保できます コンプライアンスの支援:PCI-DSSやHIPAAなどの多くの規制では、コンプライアンス準拠するにはセキュリティ対策の適時な導入が必要です vDefend 分散型 IDPS:ハイパーバイザー組み込み型バーチャルパッチ適用 VMware vDefend は、セキュリティ機能を VMware Cloud Foundation (VCF) のハイパーバイザー・ファブリックに直接統合することで、ワークロードのバーチャルパッチ適用に革新的なアプローチを行います。vDefend IDPS(不正侵入検知・防止システム)は、すべてのワークロードの vNIC に直接適用され、VCF プライベートクラウド内を移動するアプリケーショントラフィック(すべてのパケット)を詳細かつきめ細かく検査し、特にネットワーク層の脆弱性攻撃やラテラルムーブメントに対応します。 vDefend IDPS によるバーチャルパッチ適用 ハイパーバイザー統合型検査:vDefend の分散型 IDPS は、すべての VCF ワークロードの vNIC でネットワークトラフィックを検査します。これにより、パッチが適用されていないサーバーが、ネットワークの外部または内部から発せられる攻撃によって悪用されるのを防ぎます。 自動化された動的ポリシー:脆弱性スキャンを実行してワークロードを特定し、適切なタグを付与した上で、限定されたIDPSシグネチャセットを用いたバーチャルパッチ適用 ポリシーを作成します。新たな脆弱性のあるワークロードが特定されタグ付けされると、ポリシーが自動的に適用され、脆弱なワークロードは即座に保護されます。 ラテラル・セキュリティ:IDPSは、攻撃者が脆弱性を悪用して環境内で横方向の移動を行い(最終的に高価値な資産を侵害する)、攻撃を拡大することを防ぎます。 脆弱性対策の例 Moveit Transfer 認証バイパス (CVE-2024-5806): … Continued

The post バーチャルパッチ:  vDefend と Aviを使ってAIが発見する脆弱性の「津波」に備える appeared first on VMware Blogs.