はじめに

エンタープライズクラウド事業部の磯部です。
10/13~10/16にラスベガスにかけて開催された、Oracle AI World 2025に参加してきました。
本ブログでは、10/15に行われた「Agentic AI for Vulnerability Management」のセッション内容について、ご紹介します。

概要

本セッションでは、「Qualys」というクラウド型の脆弱性診断・管理サービスがOracle Cloud Infrastructure(OCI)を活用して展開する、AIエージェントによる脆弱性管理の役割について説明されていました

公式サイトから引用

Qualys introduces an innovative solution leveraging Agentic AI to revolutionize vulnerability management. Powered by Oracle Cloud Infrastructure, this next-generation platform provides a proactive, AI-driven approach to identifying, prioritizing, and remediating vulnerabilities. By analyzing vast amounts of data, the solution provides a comprehensive view of an organization’s vulnerability posture, enabling improved detection, prioritization, and remediation. This scalable and secure platform helps organizations strengthen their cybersecurity posture.

(DeepL翻訳)

Qualysは、エージェント型AIを活用した革新的なソリューションを導入し、脆弱性管理に革命をもたらします。Oracle Cloud Infrastructureを基盤とするこの次世代プラットフォームは、脆弱性の特定、優先順位付け、修復を、AI駆動型のプロアクティブなアプローチで実現します。膨大なデータを分析することで、組織の脆弱性態勢を包括的に可視化し、検知、優先順位付け、修復の精度向上を可能にします。このスケーラブルで安全なプラットフォームは、組織のサイバーセキュリティ態勢強化を支援します。

脆弱性管理が抱える課題

現代のセキュリティチームは、以下の時間と情報に関する課題に直面しています。

  • データのサイロ化とツールの乱立:セキュリティデータがバラバラに孤立した状態(サイロ化)で存在し、調整が必要なツールが多すぎます
  • 隠れた資産:顧客の平均で、資産の23%がインベントリに含まれていない状態であり、何が稼働しているか分からなければ脆弱性に対処することは不可能です
  • ハッカーのスピード:脅威アクター(ハッカー)が既知の脆弱性を悪用するまでの中央値時間は6日未満であり、大規模な組織にとってこの短い期間内で脆弱性を特定し、適用することは困難な状態です。

Agentic AIによる解決策

Agentic AIは、上記で述べた課題を、AIの「自律性」と「推論能力」によって解決してくれます。

まず、環境とコンテキストを理解し、インベントリデータや脆弱性データといった企業のデータを取り込みます。そして、LLM(大規模言語モデル)の推論能力を活用して、自律的に計画を立て、意思決定を行うように指示されます

具体的には、以下の3つのステップを自律的に実行します。

  1. 特定と優先順位付け:外部に公開され、悪用可能な脆弱性(KEV)を特定し、優先順位を決定します
  2. 修復アクション:パッチの有無を確認し、自動的にパッチを適用するアクションを実行します
  3. 検証:修復が完了したことを確認・検証します

この自律的な機能により、サイバーセキュリティで最も重要な指標であるMTR(修復までにかかる中央値時間)を大幅に短縮し、ハッカーの攻撃速度に対抗することが可能になります

Qualysが提供するAIソリューション

Qualysは、Agentic AIを使用したリスクオペレーションセンター(ROC)を導入しました。

このソリューションは、主に以下の2つの提供形態があります。

  • サイバーリスクエージェント:すぐに利用できる「アウトオブザボックス」のエージェント群です。顧客はこれらのエージェントを使用することで、特定の問題を解決できます。
  • サイバーリスクアシスタント:自然言語を使って顧客のセキュリティデータから必要な情報を引き出すインターフェースです。複数のダッシュボードを確認する手間をなくし、セキュリティデータの「民主化」を実現します。

まとめ

このセッションに参加して、セキュリティ担当者の仕事は「手作業」から「AIのマネジメント」へと今後シフトしていく時代になるのだなということを感じました。

煩雑なパッチ適用をAIに任せ、人間はより戦略的なリスク評価や新たな脅威への対策に集中できるので、セキュリティチームの生産性を劇的に変え、業務内容も今までと変化していくのではないかと思います。

今まで作業時間を取っていた業務がAIにより短縮され、セキュリティ対策を強めるための業務に注力できるのはとても素敵ですね!

最後まで読んでいただきありがとうございました。

別のセッションも引き続き投稿しますので、ご覧いただけると嬉しいです!