Windows Reportは、「Microsoft Says AI Makes Windows Update Delays More Dangerous」において、企業や一部ユーザーの間で常識となっている、Microsoftの更新プログラムの戦略に警鐘を鳴らした。

Microsoftが毎月提供するセキュリティ更新プログラムでは、過去にシステム障害や互換性問題が発生した例もあり、企業では一定期間様子を見てから適用する運用が一般的となっている。

しかしながら、AIによって脆弱性解析やエクスプロイト開発が大幅に高速化したことで、この考えを見直すべき時が来たという。

  • MicrosoftはAI時代を踏まえ、Windows AutopatchのDeployment Ring(展開リング)の間隔短縮を推奨している(出典:Microsoft)

    MicrosoftはAI時代を踏まえ、Windows AutopatchのDeployment Ring(展開リング)の間隔短縮を推奨している(出典:Microsoft)

企業はなぜWindows Updateをすぐ適用しないのか

一般的にソフトウェアの更新プログラムを提供する際には、その概要を説明するリリースノートが公開される。更新プログラムの重要度、適用の必要性、安全性などを評価するために必要とされており欠かせない。

一方で、この情報は攻撃者も閲覧できるため、修正された脆弱性の概要を知ることが可能だ。多くは「概要」の公開に留まることから、エクスプロイトの開発には時間が必要となるが、いずれ攻撃に悪用されることになる。

企業は更新プログラムによる不具合の可能性を考慮し、エクスプロイト開発に要する時間を「観察期間」として利用することで、セキュリティリスクと運用リスクの両方を抑える運用を採ってきた。

これまではこの運用方針で大きな問題はなかったとされる。ところがAIの進化スピードが向上したことで、状況は変わりつつあるようだ。

AIで攻撃が高速化、「数週間待つ」が危険に

Microsoftによると、AIの活用によって脆弱性の解析や悪用コードの作成は従来より大幅に短時間で行えるようになりつつある。さらに脆弱性の発見件数も飛躍的に増加させており、同社製品も例外ではないとされる。

つまり、のんびり構えていられる状況ではなく、更新プログラムのリスクを承知の上で速やかにアップデートする必要がある。ただし、すべてのWindowsデバイスを速やかにアップデートする必要はないとも述べている。

リスクをいかにして低下させるかが重要であり、攻撃対象領域の保護を優先することが肝要となる。具体的には直接攻撃を受ける可能性のある少数のデバイスから更新プログラムを適用し、徐々に対象を拡大する。

このアプローチを採用することで、企業は攻撃を回避しつつ業務への影響を抑えることができる。Microsoftは数週間の観察期間は脆弱性を悪用するのに十分な時間だと述べ、この期間の短縮(最大2日まで)を企業に求めている。

AIによって脆弱性の悪用までの時間が短縮された現在では、従来の「数週間待ってから適用する」という運用そのものがリスクになりつつあるというのがMicrosoftの考えだ。