2026年の春
もし2020年からタイムトラベルしてRSA 2026に参加した人がいたとしたら、サイバーセキュリティにおいて重要なのは生成AIだけだと確信して帰ることになるだろう。今年のRSAでは、生成AIに関する議論は次のようなものだった:
- 多くの組織の経営陣は、AIの迅速な導入を強く求めてきた。現在では、AIを導入しない組織は競合他社に対して著しい不利な立場に立たされるという考えが定説となっており、これはまさに典型的な「FOMO(取り残される恐怖)」である。
- この圧力により、クラウドの導入時と同様の状況が生じており、脅威モデルや適切なセキュリティ対策についてほとんど考慮されないまま導入が進められている。
- CISOたちは、生成AIの不適切な導入によって自滅的な被害が拡大する前に、この暴走列車を取り押さえようと奔走している。
- NISTの用語で言えば、現時点では生成AI(特にAIエージェント)の特定、保護、検知が最優先事項であり、対応、復旧、ガバナンスはその後になる。
- 一方、GenAIは、あらゆる種類のセキュリティ業務や「AI SOC」の自動化に最適な技術であることが判明した。さらに、RSAの多くのブースでは、AIを活用したワークフロー全般が注目を集めていた。
2026年3月27日、このRSAカンファレンスから帰宅したCISOたちは、自信を持って(a)組織内でのAIの利用状況を把握・保護すること、および(b)AIを活用してセキュリティ業務プロセスを改善することに注力できるようになるでしょう。
その一時の平穏は、ちょうど11日間続いた。2026年4月7日、Anthropicは「Mythos Preview」モデルの存在を世界に発表した。このモデルは、その性能と危険性が高すぎるため、「Glasswing」と呼ばれるプログラムに参加する、厳選された少数のパートナーにのみ提供されることとなった。 Mythos(以下、この略称を使用する)は、とりわけコードの脆弱性を発見し、それに対するエクスプロイトを作成するだけでなく、パッチを作成することにも長けていることが判明した。したがって、「グラスウィング」の目的は、重要なインフラやセキュリティプロバイダーに先行して情報を提供し、悪意のある個人などがこれらの機能を広く利用できるようになる前に、彼らが自社製品にパッチを適用できるようにすることにある。
もちろん、OpenAIもこれに追随するのにわずか7日しかかからず、2026年4月14日にGPT-5.4-Cyberの提供開始を発表した。このモデルへのアクセスはMythosほど厳格ではなく、OpenAIのTAC(Trusted Access for Cyber)プログラムのメンバーに限定されているが、このプログラムはGlasswingよりもはるかに利用条件が緩やかである。
したがって、こうしたモデルへのアクセスは今後さらに広がるだろうし、「悪意ある者」がそれらを手に入れるのを防ごうとする取り組みは、最終的には失敗に終わるだろう。AnthropicやOpenAIが先行しているとはいえ、今後数ヶ月のうちに他の最先端モデルも同様の画期的な成果を上げる可能性が高い――つまり、さらに多くの「魔神」が、さらに多くの「瓶」から飛び出していくことになるだろう。
これで、私たちはどのような状況に置かれることになるのでしょうか?
セキュリティ担当者は、この二重の脅威に同時に対処せざるを得ない状況に置かれている:
- 組織内のすべてのAIを特定・保護しつつ、同時にAIを導入して自社のセキュリティワークフローを根本から変革するにはどうすればよいか?
- 「Mythos」(および同種のツール)が示唆する、適切なモデルさえあればシステムの脆弱性を容易に発見・悪用できてしまうという事態に、どう対処すべきか?そして、こうした悪用リスクを低減する最善の方法は、あらゆる場所のあらゆる脆弱性を、一度にすべて修正することである、という主張にはどう向き合うべきか?
つまり、これから1年か2年、あるいは3年ほどは、厳しい状況が続くことになりそうです。
しかし、一部の人々が主張しているのは、この混乱の先には、すべてのソフトウェアが「設計段階から安全」な状態(各リリースは出荷前に魔法のようなモデルによってスキャンされ、すべての脆弱性が排除されている)となり、私たちは「安全なソフトウェアの極楽」のような状態に到達するという話だ。この主張には、いくつかの点で欠陥がある:
- フロンティアのモデルがさらに進化
つまり、Mythos v8ですべてのソフトウェアをスキャンした後でMythos v9がリリースされた場合、現在すべての顧客環境に展開されており、リリース時点では安全とされていたコードも、Mythos v9ではv8では検出できなかった脆弱性が発見されるため、もはや安全とは見なされなくなります。そのため、より高度なバージョンがリリースされるたびに、あらゆる場所のすべてのシステムに対して、一斉にパッチを適用するという大慌ての事態に陥ることになります。
- 脆弱性を探し出し、パッチを当てることは経済活動である
フロンティア・モデルの1つのバージョンだけを検討したとしても、1万ドル相当のトークンを費やす方が、同じ作業に5,000ドルを費やすよりも多くの脆弱性を発見し、より多くの有効なエクスプロイトを生成することになります。では、ソフトウェアベンダーとして、脆弱性を発見し修正するために、どれだけのトークンを費やすのが十分なのでしょうか? ソフトウェアベンダーがいくらトケンを投入しようと、攻撃者はその2倍の金額を使うこともあれば、あるいはそのごく一部を製品のごく一部の領域に集中させることも可能です。
- コードの脆弱性だけが問題なのではない
ソーシャルエンジニアリングは、コードの品質や安全性とはほとんど関係のない、巨大な攻撃対象領域を形成しています。あなたの フィッシング トレーニングプログラムは順調ですか? 100%の成功率に近づいていますか?
設定ミスのあるシステムを悪用することについても、コードの品質とはほとんど関係がありません。Entra IDで条件付きアクセスポリシーを実装した際、それが完全に正しく、悪用されかねない意図しない例外ケースを残していないと確信できた人が、いったい誰がいるでしょうか?
最後に、ある機能が市場に登場してから数年が経ち、開発者の意図通りに利用されている最中に、ある才気あふれる人物がソーシャルエンジニアリングの手法を用いて、それを攻撃者の戦術に活用する方法を見出すというケースは数多くあります。そして、その機能を再び安全なものにしようと、慌ただしい対応が繰り広げられることになるのです。
将来にとって最善のシナリオとは、サイバーセキュリティの攻防が新たな均衡点に達する状況である。
ディフェンダーたちに押し寄せている変化のスピードを考えると、この過渡期はとりわけ危険な時期と言えます。精査の対象となっている各分野を、あなたと敵対者との競争だと考えてみてください。たとえあなたがどれほど熟練していても、走るレースの数が増えれば増えるほど、そのうちいくつかは負ける可能性が高くなるのです。
そして、AIの導入が急速に進むことで、事態はさらに複雑化するでしょう。AIエージェントは急速に普及し、AI革命から取り残されるという選択肢はなくなるでしょう。 これらすべてのエージェントを見つけ出すことはできるだろうか? 彼らは独自の非人間的なアイデンティティを使用しているのか、それともユーザーがトークンを提供し、エージェントが代わりにタスクを実行できるようにしているのか? これらのエージェントは、本来の設計にはなかった行動を容易に説得されて実行してしまう可能性があるのか? サイバーセキュリティにおける唯一の不変の真理は、新しい技術(特に複雑な種類のもの)は、その仕組みさえ理解できていない上、利用可能な制御手段が不十分であることが判明しているため、セキュリティを確保するのが難しいということだ。
今、何が重要なのか、そしてVectra AI どのようにVectra AI ?
当面の間、ソフトウェア・スタックの大部分は、ある程度セキュリティ上のリスクがあるものと見なすべきでしょう。モデル主導による脆弱性スキャンとパッチ適用が本格化すれば、当初はパッチが殺到することになるでしょう。プロジェクト・グラスウィングの存在はさておき、ソフトウェアベンダーがこうした競争において常に悪意ある攻撃者より一歩先を行くとは限らないのです。
つまり、自分がコントロールできることに集中するということです。
- パッチが利用可能になったら、可能な限り速やかに適用してください(パッチの数が膨大であるため、言うは易く行うは難しですが)。
- セキュリティポリシーを厳格化してください。「Zero Trust」と呼ぶにせよ、「マイクロセグメンテーション」と呼ぶにせよ、不要な露出を排除してください。AIエージェントを特定し、可能な限りその動作範囲を限定してください。
- 攻撃対象領域を管理してください。外部からアクセス可能なシステムはどれですか?それらは現在、可能な限り安全に保護されていますか?外部の攻撃者が作成したテキスト文字列が、AIエージェントに容易に到達し、LLMに入力されてしまう可能性はありませんか?
この時期は予防がはるかに困難になる上、数年後には「完全な安全」という幻想が単なる幻想に過ぎないことが明らかになるだろう。したがって、レジリエンス(回復力)は、悪意ある事態を早期に検知し、それが「爆発」する前に阻止する能力に大きく依存することになる。
Vectra AI 、複数の攻撃対象領域(オンプレミス、マルチクラウド、ID、SaaS、エッジ、IoT/OT)Vectra AI 、エクスプロイトの成功後に必然的に生じる攻撃者の行動を通知するとともに、信頼できる情報源(システムXから1GBのデータが外部に送信されたのか?)を提供します。これは、今後数年間において極めて貴重な価値を持つでしょう。 脆弱性が多数存在し、攻撃手法も多様化している現代において、すべての攻撃を阻止することは不可能です。しかし、初期の防御ラインを突破した攻撃が実際に被害をもたらす前に阻止するには、持続的な攻撃者の行動パターンを特定することが依然として最善の手段です。
2030年(あるいはそれ以降の将来)はどうでしょうか?
前述の通り、比較的大きな変化(これは攻撃者に有利に働く傾向がある)が起きた後、新たな均衡状態が回復するでしょう。再び侵入するのは多少困難になるはずです。 コードには、悪用されやすい明らかなバグが大幅に減少しているでしょう。ポリシーは厳格化され、攻撃対象領域も縮小されているはずです。セキュリティ態勢に明らかな穴がないことを確認するために、Mythos v7を導入しているかもしれません。そして、さらに高度に自動化されたSOCにおいて、Mythos v8が重要な技術となっているかもしれません。
しかし、SOCは依然として必要とされるでしょう。なぜなら、攻撃者は依然として侵入してくるからです。そして、潜在的な攻撃を警告する明確なシグナルも依然として必要となるでしょう。また、ネットワークおよびID管理システムは、依然として「真実の源」であり続けるでしょう。さらに、オンプレミス、マルチクラウド、ID管理、SaaS、エッジ、IoT/OTを横断するNDRは、小さな侵入が大規模な情報漏洩に発展しないようにするために、依然として極めて重要となるでしょう。
「Claude Mythos」や「Project Glasswing」について質問がありますか?まずはこちらをご覧ください: 誇張ではなく実践的な視点を:Claude Mythos、Project Glasswing、そして CISO が本当に知りたいこと