検索
特集/連載

Claude Mythosで激変するセキュリティの新ルール 勝敗を決めるのは「修復のスピード」サイバーセキュリティのパラダイムシフト

Anthropicが発表したAI「Claude Mythos」は、数千のゼロデイ脆弱性を自動で特定し攻撃手順まで生成する。一般公開が制限されるほどの破壊力を前に、情シスは「発見」より「修復」の速度を問われる時代に突入した。低リスクの欠陥を連鎖させ致命的な攻撃に変えるAIの脅威に、組織が取るべき生存戦略を解説する。

Share
Tweet
LINE
Hatena

 2026年4月7日、Anthropicは強力なAIモデル「Claude Mythos Preview」を発表した。このモデルは、複雑なシステム全体のソフトウェアの脆弱性を自律的に特定できる。業界の大きな節目になると期待されていたが、異例の注釈が付いた。Anthropicはこのモデルを一般公開しないというのだ。

 Mythosは、深刻度の高いゼロデイ脆弱性を数千件発見し、多段階の複雑なエクスプロイト(攻撃用プログラム)を生成できる。コードベース内を探索して個々の弱点を組み合わせ、一連の攻撃シーケンスを構築することも可能だ。従来の分析手法に比べ、人の介在を大幅に減らしている。

 一般公開を制限する決定は、性能と制御のトレードオフを慎重に検討した結果だ。Anthropicは「Project Glasswing」を通じてMythosを展開する。これは大手IT企業や金融機関、政府関係者などで構成される厳格に管理されたコンソーシアムだ。攻撃者に悪用される前に、制限付きのMythosを用いて重要な脆弱性を特定し、修正することを目指している。

 以下では、低リスクの欠陥を連鎖させ致命的な攻撃に変えるAIの脅威に、組織が取るべき生存戦略を解説する。

サイバーセキュリティのパラダイムシフト

 Mythosはサイバーセキュリティの大きな変化を象徴している。脆弱性の発見と実行を大規模に行うAIシステムは、セキュリティのワークフローを再構築し、防御ツールと攻撃能力の境界をあいまいにしつつある。

 セキュリティリーダーの課題は、人間を上回る速度で弱点を突き、攻撃するマシンへの対応だ。専門家は、これは全く新しいリスクの出現というより、速度の変化だと捉えている。

 オンライン決済企業PaysafeのCISO(最高情報セキュリティ責任者)であるアラン・オズボーン氏は次のように述べる。「Mythosは新しいリスクを生むわけではない。これは速度と自律性の劇的な向上を示しているのだ」

新たな脆弱性エンジンの台頭

 従来のセキュリティワークフローでは、手作業による調査やバグバウンティ(報奨金)制度を通じて脆弱性を発見してきた。MythosのようなAIシステムはこの力学を変えてしまう。ソフトウェアを継続的にスキャンし、チームが現実的に対処できる数を超えた問題を表面化させる。

 サイバーセキュリティは、攻撃者が弱点を探す時間と、防御側が修正する時間の均衡に依存してきた。大規模なスキャンによって、組織が修正しきれないほどの重大な欠陥に直面するリスクが高まっている。この均衡は防御側に不利に傾きつつある。

 ただし、オズボーン氏はこのプレッシャー自体は新しいものではないと主張する。「多くの環境で、既に対処能力の限界に達していた。AIはその事実を可視化したにすぎない」と同氏は指摘する。多くの組織は、修復できる数以上の脆弱性を既に特定しているのが実態だ。

 ここで重要な問いが生じる。真の制約は脆弱性の「発見」なのか、それとも既知の事実に「対処する能力」なのだろうか。ITサービス企業Digital 520の創設者兼プリンシパルコンサルタントであるノア・ケニー氏は、脆弱性の特定よりも修正の方が容易な場合が多いと説明する。「自動検出の精度が上がれば、チームは発見ではなく修復に集中できるようになる」

 発見が加速するにつれ、課題は優先順位付けへと移る。単に発見された脆弱性の量ではなく、どれが実際に悪用可能で、どの修正がリスクを最も軽減するかという判断が重要になる。

 これは組織によるアタックサーフェス(攻撃対象領域)の捉え方をも変えつつある。AIは、低リスクと見なされていた複数の脆弱性を連鎖させて実際の攻撃を組み立てる。そのため、従来の深刻度評価の信頼性は低下している。

 ケニー氏はソフトウェアサプライチェーンの危険性についても警告する。広く使われているサードパーティー製コンポーネントの欠陥を、公に特定される前に攻撃者が発見し、悪用するスピードが上がっているためだ。

 同時に、AIは既存の不均衡を増幅させる。攻撃者は1つの弱点を見つければ成功だが、防御側はシステム全体を守らなければならない。脆弱性を探すコストと時間、スキルがAIによって低下すれば、攻撃者が侵入経路を見つける可能性は必然的に高まる。

確実な実行力がかぎとなる

 Mythosのようなシステムは、攻撃者と防御側の力学を変えるだけではない。セキュリティ能力を決定的な行動に移せる組織と、そうでない組織の格差を広げている。

 米国の政府機関は、Mythos級システムへの制限付きアクセスを検討していると報じられている。一方で金融機関は、システム全体の露呈について懸念を示している。こうした懸念は単なる理論上の話ではない。限定公開の直後、サードパーティー環境を通じて少数の未承認ユーザーがMythosにアクセスしたという報告もある。このレベルのシステムを完全に封じ込める難しさが浮き彫りになった。

 しかしオズボーン氏は、こうした懸念の多くは誇張されているとくぎを刺す。これまでのテストの多くは管理された環境で行われてきたからだ。同氏は、リスクが現実味を帯びるのは成熟度の低い組織、つまりパッチの適用サイクルが遅い、可視性が低い、あるいはサードパーティー製コンポーネントに過度に依存している組織だと指摘する。

 「それでも、AIは引き金というより促進剤として機能する可能性が高い」とオズボーン氏。真の危機が生じるには、大規模なエクスプロイト能力と修復の遅れなど、複数の失敗が重なる必要がある。

 企業にとってより大きな問題は、運用の即応性だ。多くの組織は脆弱性を検知できても、迅速な行動に苦慮している。特にパッチ適用が業務を停止させかねない複雑な環境やレガシー環境では顕著だ。

 その結果、リーダーは脆弱性管理を再考する必要がある。もはやルーティンワークではなく、最も被害が大きく、発生の可能性が高い脅威に焦点を当てた、時間制約のあるリスク管理機能として扱うべきだ。

 実務上は、本番環境を停止させることなく迅速なレスポンスを可能にすることを意味する。ケニー氏は「この新しい環境で最もうまくいくのは、本番システムを壊さずに迅速な監視、パッチ適用、再デプロイができる組織だ」と説明する。

AIガバナンスの試金石

 AnthropicがMythosへのアクセスを制限した決定は、ガバナンスという新たな課題を浮き彫りにした。

 オズボーン氏によれば、初期段階で利用を制限するのは責任あるステップだが、長期的な解決策にはならない。同様の能力を持つモデルがいずれよそからも登場し、それらには同等の安全策が講じられない可能性があるからだ。

 今後、焦点は特定のツールの管理から、ベンダーの責任や企業のガバナンス、規制上の監督など、システム全般の統治方法へと移るだろう。

 数年以内に、AIによる脆弱性発見はサイバーセキュリティの標準になると予測される。変わるのはサイバーリスクの性質ではなく、その速度だ。脆弱性はより早く発見され、悪用の可能性はより迅速に明確になり、対応までの時間は短縮され続ける。

 これに対応するために、新しいセキュリティパラダイムは必要ない。しかし、既存のプラクティスをより高いレベルで実行することは求められる。オズボーン氏は「成功のかぎは、スピード、規律、そしてレジリエンスに集約されるだろう」と結んだ。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る