CISO は、「セキュリティがさらに難しくなった」と伝える新たな見出しを必要としているわけではありません。すでに十分に難しくなっているからです。環境は常に変化しています。システムは増減を繰り返し、特に非人間IDを含むアイデンティティは増え続けています。アクティビティは、チームが追跡できる速度を超えて動いています。そして、適切なツールを導入していたとしても、ある時点で実際に何が起きているのかを明確に把握できるとは限りません。
だから、Claude Mythosのようなものが現れたとき、それが面白いか重要かという問題ではありません。もっと実際的な問題です。これは明日の朝私が心配しなければならないことを変えるだろうか?そこから議論が始まります。
Claude Mythos と Project Glasswing に対して CISO がどのような疑問を抱いているのかを理解するため、私は Vectra AI の CEO である Hitesh Sheth、Vectra AI の CTO である Oliver Tavakoli、そして SNORT の開発者であり、Sourcefire と Netography の創業者で、現在は Vectra AI の Head of Cloud を務める Marty Roesch と対話しました。
「Claude Mythos によって、私たちはより安全でなくなるのか?」
Hitesh Sheth、最高経営責任者
Hitesh は、見出しのインパクトではなく、より広いシステム全体を見る傾向があります。
企業環境が突然複雑化したわけではありません。Claude Mythos が登場する以前から、すでに複雑だったのです。現在「モダンエンタープライズ」と呼ばれる環境は、常時稼働し、常時接続され、常に変化しています。ワークロードは移動し、アイデンティティは複数のシステムをまたいで認証され、データは環境間を継続的に流れています。
一方で、セキュリティは、より安定した環境、明確な境界線、そして状況を把握するための時間が存在した時代を前提として構築されてきました。そのミスマッチこそが、本当の問題なのです。
Claude Mythos は、新たなリスクカテゴリを生み出すというよりも、すでに進行していた変化を加速させます。脆弱性を見つけ、悪用するために必要な労力を減らし、時間軸を圧縮します。攻撃者にさらなるスピードを与えますが、攻撃手法そのものを根本的に変えるわけではありません。
攻撃者は依然としてログインを行い、有効なアクセス権を使用し、個別に見れば正常に見える方法でシステム間を移動します。だからこそ、多くのチームにとって難しい問題は「防御」ではなく「理解」なのです。何かが起こり得るかではなく、「実際に起きているのか」が重要なのです。
そして、CISO が最も大きなプレッシャーを感じるのはこの点です。彼らは、一見シンプルでありながら、実際には答えるのが難しい問いに答えることを求められています。
- ネットワーク上には誰が/何が存在しているのか?
- 私たちは今、攻撃にさらされているのか?
- 現在導入しているコントロールは機能するのか?
課題はデータ不足ではありません。明確でタイムリーな回答が不足していることです。その観点から見ると、Claude Mythos は新たな問題を作り出しているのではありません。既存の問題を無視できなくしているのです。
「より速くパッチを適用すれば、Claude Mythos に対処できるのか?」
Oliver Tavakoli 、最高技術責任者(CTO)
これは通常、次に出てくる質問です。そして Oliver の答えは率直です。多くの人が期待する意味では、「できない」です。
もし Claude Mythos が示している内容が、方向性としてでも正しいのであれば、私たちは依存しているソフトウェアの多くが、想像以上に脆弱であることを前提にしなければなりません。それは、ソフトウェアの品質が低かったからではありません。単に、一部の脆弱性は発見や悪用が難しかっただけであり、今はそれが容易になっているのです。
本当の変化は、「速度」と「規模」です。以前であれば発見に数カ月から数年かかっていた脆弱性が、今でははるかに短時間で見つかる可能性があります。そして、一度見つかれば、それを実際に動作するエクスプロイトへ変換することも、特別なスキルを必要とする長時間の作業ではなくなります。
これは、すでに限界に近づいていた運用モデルにさらにプレッシャーを与えます。組織はこれまで、脆弱性を特定し、優先順位を付け、時間をかけてパッチ適用することに慣れていました。しかし、そのプロセスは「対応可能な量」と「十分な時間」が存在することを前提としています。脆弱性の量が増え、対応時間が短縮されると、そのモデルは機能しなくなります。
そして、現実的な制約は消えません。
- 重要システムには即時パッチ適用できない場合がある
- アップグレードは業務上のリスクをもたらす
- レガシー環境やOT環境は変更が難しい
- 依存関係があると、すべてが遅くなる
その結果、チームは見慣れた、しかし居心地の悪い状況に置かれます。どこにリスクがあるのかは把握している。何を対処すべきかも理解している。しかし、すべてを同時に修正することはできず、既存システムを壊すわけにもいきません。そのため、組織は「既知だが未解決のリスク」を抱えた状態で運用を続ける期間を持つことになります。
その期間中、いくつかのことが同時並行で進行すると考えられます。脆弱性は引き続き発見され、エクスプロイトはより迅速に作成・共有され、攻撃、そして成功する攻撃も増加していくでしょう。
同時に、すべての攻撃がソフトウェアの脆弱性に依存しているわけではありません。アイデンティティ悪用、設定ミス、ソーシャルエンジニアリングは依然として有効であり、多くの場合、より容易です。したがって、目標は「すべての既知リスクを即座に排除すること」ではありません。リスクが高まり、リスク認識そのものも変化し続ける期間を、どう管理するかです。
「侵入を前提とするなら、どのように防御すべきか?」
Marty Roesch、クラウド担当責任者
ここで議論は次の段階へ移ります。攻撃のどの時点で、「防ぐ」ことが不可能になるのでしょうか?
ある瞬間、攻撃は「ブロックできるかもしれないもの」から、「検知して対応しなければならないもの」へと変化します。その瞬間より前であれば、エクスプロイト自体を捕捉できるかもしれません。しかし、それ以降は正常な振る舞いに紛れ込むアクティビティを相手にすることになります。現代の環境では、その瞬間は多くの人が想像するよりも早く訪れます。
セキュリティアーキテクチャは、多層防御によって重複的な保護が提供されることを前提に設計されることが多くあります。しかし実際には、それらは冗長というより逐次的です。各ツールは、攻撃の異なる部分を、異なるタイミングで観測しています。その瞬間を逃せば、同じアクションを再び観測できるとは限りません。これが、攻撃が長期間にわたり検知されないまま環境内を移動できる理由の一つです。コントロールが存在しないからではなく、それらの間にギャップがあるからです。
Marty の考えでは、問題はテレメトリ不足ではありません。テレメトリが分断されていることです。
エンドポイントツールは管理対象デバイス上のプロセスを確認します。アイデンティティシステムは認証イベントを確認します。クラウドツールは特定サービス内のアクティビティを確認します。どれも有用ですが、環境全体でアクティビティがどのようにつながっているかを示すものではありません。
攻撃が実際に展開されるのはネットワーク上です。攻撃は、アイデンティティ、システム、環境をまたいで移動します。それぞれのステップ単体では正当に見えるかもしれません。しかし、ストーリーを語るのは「一連の流れ」です。だからこそ Marty は、繰り返しネットワークの重要性に立ち返るのです。
ネットワークは、あらゆるものが最終的に現れる数少ない場所の一つです。すべてのシステム、すべてのアイデンティティ、すべてのワークロードは、最終的にネットワークを介して通信します。そのため、ネットワークは一貫した観測ポイントとなります。特に、ネットワーク機器や未管理システムのような、通常は観測が難しい領域において有効です。
そこから焦点は、「あらゆるエクスプロイトを認識すること」から、「振る舞いを理解すること」へ移ります。システム、アイデンティティ、アプリケーションが本来どう動くべきかではなく、「実際に何をしているのか」を見るのです。
攻撃の進行には一定のパターンがあります。アクセス取得、権限変更、ラテラルムーブメント、データアクセス、データ移動――これらには共通する流れがあります。そして、そのパターンは特定の脆弱性に依存しません。異なる攻撃手法をまたいでも成立します。だからこそ、絶えず状況が変化する環境において有効なのです。
まとめると
これらの視点は互いに矛盾しているわけではありません。むしろ積み重なっています。
- Hitesh は、企業環境そのものがすでに動的であり、リアルタイムで完全に把握することが難しいという現実から話を始めています。
- Oliver は、AI による脆弱性発見が、すでに維持・保護が難しかったシステムにさらなるプレッシャーを与えることを説明しています。
- Marty は、防御ですべてを止められなかった場合に何が起きるのか、そしてその状況で検知がどう機能すべきかに焦点を当てています。
これらを総合すると、シンプルな結論にたどり着きます。Claude Mythos は新たな問題カテゴリを生み出したわけではありません。既存の問題をすべて加速させているのです。
この対話から得るべきこと
短期的には、状況はより不安定に感じられるかもしれません。脆弱性は見つけやすくなり、エクスプロイトは作りやすくなります。一部のシステムは迅速に修正することがより難しくなり、攻撃はソフトウェア脆弱性だけでなく、さまざまな手法を組み合わせて継続されるでしょう。
時間が経てば、ソフトウェアは改善されていく可能性があります。比較的単純な脆弱性の一部は減少するかもしれません。しかし、攻撃者は常にそうしてきたように適応します。変わらないのは脆弱性そのものではありません。「自分たちの環境で何が起きているのかを、その瞬間に理解する必要性」です。脅威がどのように進化しようとも、本当に重要なのはそこです。
そして、それこそが CISO が Claude Mythos に限らず、あらゆる状況で繰り返し立ち返る問いなのです。
私たちは今、自社のネットワークやインフラ全体で何が起きているのかを、本当に理解できているのでしょうか?