この記事は、Security Assurance & Response , VP, Information Security である Russ Smoak によるブログ「 Strengthening the Foundation: A Predictable, Customer focused Response to AI-Accelerated Vulnerability Discovery 」( 2026年 6月 2日 )の抄訳です。
提供頻度を変えている理由
脆弱性を発見する規模は根本的に変化しました。フロンティア AI モデルやエージェント型分析ハーネスは、現在、大規模なコードベース全体でバグを発見しています。それは、従来のその場しのぎの情報開示と修正というモデルでは、そもそもシスコもシスコの製品を運用する事業者も対応しきれないペースで進んでいます。同時に、情報開示から悪用されるまでの時間は事実上なくなりました。予測不可能な間隔で手動で行われるその場限りのアドバイザリは、もはや仕事に適した対策ではありません。
7 月から、そして当面の間、シスコは月 2 回の定期的なセキュリティ情報公開モデルに移行し、各リリースで対象となるテクノロジーについては、7 日前に事前通知を行うことにしています。これは、脅威状況の構造的な変化に対する意図的かつ計画的な対応であり、特定の単一のインシデントに対応するものではありません。これは、お客様が利用するインフラストラクチャに期待される統制のもとで、大規模に実行される強化プログラムです。
変更点
定期的な情報開示(第 1 および第 3 水曜日)。7 月より、シスコは毎月第 1 および第 3 水曜日を、セキュリティ強化版ソフトウェアの公開日とすることにしました。
7 日前までの通知。各リリースの 7 日前に、PSIRT はそのリリースに含まれるテクノロジーおよびプラットフォームの一覧を公開します。何も計画されていない場合、通知は行われません。発表前に、どの製品に何が追加されるかを把握できるため、変更の期間、ラボでの検証、およびメンテナンスの承認を事前に準備することができます。シスコは、アップグレードでの重複を最小限に抑えるため、製品を慎重にバンドルするよう努めています。
中核となるネットワーク オペレーティング システム(NOS)は、最初にリリースされる製品として予定されています。主なオペレーティングシステム製品には、Cisco IOS XE、IOS XR、NX-OS、Firepower/ASA、および SD-WAN があります。NOS 製品は四半期ごとにリリースされる予定です。シスコは、複数の主要 NOS 製品を同日にリリースすることはありません。その他の製品はさらに頻繁にリリースされる可能性があります。
ポイントパッチではなく、システム全体に及ぶ修正。シスコのエージェント型発見フレームワークは、静的コード解析、稼働中のシステムテスト、コンフィグレビュー、エクスプロイトのシミュレーションに対応する複数の専門エージェントで構成されていて、ポートフォリオ全体で運用されています。この広範囲にわたる運用により、繰り返し発生するアーキテクチャのパターンを特定し、報告された個別の事例だけでなく、製品全体にわたる根本的な不具合の要因を修復することが可能になります。セキュリティエンジニアは、検証、優先順位付け、および確認に常に関与します。
バンドルおよび合理化された CVE。セキュリティ強化版では、個々のバグに対して個別の CVE が割り当てられません。なぜなら、セキュリティ強化には広範囲にわたる修正が含まれているため、早急に確認し、導入する必要があるためです。個別の CVE 評価や稀なケースへの回避策は、管理が困難になります。Cisco PSIRT は、CWE(Common Weakness Enumerations)のカテゴリに関連付けられた「バンドル」された CVE(Common Vulnerability Exposures)を提供します。たとえば次のようなものがあります。
- CVE-2026-20xxx – 入力検証に関する複数の修正 – CWE-20
- CVE-2026-20xxx – アクセス制御に関する複数の修正 – CWE-284
CVE の割り当てに関する今回の変更は、問題を隠蔽したり、透明性を低下させたりするためではありません。これは、お客様の安全を守る要素の変化を反映しています。セキュリティリスクを CVE ごとに評価し、個別の緩和策を適用するだけでは、もはや目的を果たせなくなっています。シスコのセキュリティ強化版より以前のリリースには、きわめて高いリスクが伴います。そして、敵が AI を使用してマシンの速度でエクスプロイトを開発するにつれ、その差は広がるばかりです。最も効果的な保護策は、最新の強化済みバージョンを実行することであり、古いバージョンで検出される個々の脆弱性に対してパッチを適用することではありません。
シスコは、情報開示と透明性の確保に引き続き取り組んでいきます。脆弱性に個別の CVE 番号の割り当てが必要な場合(たとえば、補完コントロールが必要、既知のエクスプロイトがある、防御側の対応が求められる場合など)、シスコは CVE を割り当てて、さらに詳しい情報を提供します。これにより、個々の問題の詳細からリリースレベルでの保証へと重点が移行することになりますが、これを機にインフラストラクチャ業界は、この新たな状況に対処するために前進する必要があります。
これがお客様にとって意味すること
シスコでは、次のような懸念に耳を傾け、把握しています。検出される脆弱性の増加、パッチの増加、運用負荷の増大、発見から導入までの間に生じるギャップにさらされることへの不安。この新しいモデルは、そのプレッシャーを増やすのではなく、軽減するために特別に設計されています。
- 驚きの代わりに予測可能性をもたらす。固定された提供頻度と 7 日前の事前通知は、パッチ管理が消防訓練のようなものではなく、計画的な活動であることを意味します。これは既存の変更管理プロセスに合わせて調整することができます。
- 一括処理され、忘れ去られることはない。修正プログラムを定期的なリリースに組み込むことで、個別のメンテナンス作業の回数が減り、トリアージが必要なその場限りのアドバイザリの量が減り、各デプロイメントにおける回帰テストの範囲が縮小されます。
- リスクは高まるのではなく、低減される。AI を活用した脆弱性の発見により、これまでコードベースに長年の間潜んでいた脆弱性を、それが武器化される前にシスコが適切なタイミングで検出し、修正することが可能になります。リリースの量は、セキュリティ負債の解消を反映したものであり、新たな脆弱性が生じていることを示すものではありません。
- 遅れをとらない。予定されているリリースで検出された問題に対処している場合、アップグレードにより、拡大しない稀なケースへの回避策を実装する必要がなくなるはずです。
PSIRT が公開すること
各リリース期間について、PSIRT は以下を提供します。
- 影響を受けるテクノロジーおよびプラットフォームを記載した、7 日前の事前通知
- 公開当日のリリースノートの内容。修正済みのソフトウェアリリースと関連付けられた、バンドルされた CVE の詳細情報が含まれる。
- 対応済みの問題の概要
変わらないもの
シスコの情報開示方針、広範なセキュリティコミュニティとの連携、既存のサポート契約に基づくお客様へのシスコの義務に変更はありません。シスコの PSIRT は、脆弱性の開示における業界標準であり、新たな発見ペースに合わせて大幅に拡張されたツールと提供頻度を通じて、この変革を推進していきます。
予期せぬ事態は起こるものです。セキュリティインシデント、現在進行中のエクスプロイト、およびゼロデイ脆弱性の外部での発見に対処するため、通常のリリースサイクルとは別の対応と作業のためのプロセスは変更されません。
エンジニアリングのキャパシティに優先順位を付ける方法
シスコでは、影響を受けるプラットフォームにおける新機能の開発に先立ち、AI によって発見された結果と、それに基づくシステム全体の強化に特に重点を置いています。これは直接的で、正しいトレードオフです。その結果、復元力があり、メンテナンスの行き届いたインフラストラクチャが実現します。この期間において、ソフトウェアの強化は、シスコがお客様に提供できる最も価値の高いエンジニアリング業務です。
さらに、高度なエージェント機能を、安全かつ責任ある方法で開発およびテスト環境に統合しています。AI を活用したテストと自動化されたパッチ適用ワークフローを(セキュリティエンジニアが常に監視しながら)活用し、修正の特定、検証、および導入をより迅速かつ正確に行う体制を強化しています。
パッチ適用プロセスの簡素化
シスコは、製品ポートフォリオ全体においてパッチ適用をより容易にする取り組みを引き続き最優先しています。コントローラ プラットフォームには、パッチを大規模に展開する機能が備わっています。Live Protect への投資は、脆弱性が発見されてから組織がパッチを適用できるまでのギャップを埋められるよう組織を支援することを目的として特別に設計されています。
Cisco IQ は、組織がインストールベースのセキュリティ状態(CVE のエクスポージャ、強化状況など)を把握するために必要な情報を提供し、関連するリスクに対処するための指針を示します。さらに、Cisco Services では、AI 時代に向けたセキュリティプロセスの進化を支援します。
まとめ
これは、シスコが準備してきた変化です。エンジニアリングチーム、PSIRT 組織、リリースインフラ、お客様向けツールが一丸となってこれを支えています。目標は単純明快です。修正プログラムをお客様が対策を立てられるスケジュールで迅速に届け、お客様のペースで展開できるよう、余裕を持って事前通知を行います。
最初の数回のサイクルでお客様からいただいたご意見をもとに、提供頻度、通知形式、サポートツールの改善を継続的に行います。このモデルは、事業者からの直接的なフィードバックを反映して作成されましたが、今後もその進化のあり方を方向付けるものとなるでしょう。
皆様のパートナーシップに感謝いたします。今後取り組むべき仕事は膨大ですが、それは正しい仕事であり、シスコはお客様と協力し、セキュリティとレジリエンシの新たな基準を確立していく所存です。
Authors
