「Claude Mythos」が突きつける、IT業界の転換点 われわれが置かれている状況を「姉歯事件」から読み解く：AIがもたらすセキュリティのパラダイムシフト

Claude MythosがもたらすIT業界のパラダイムシフトを、建築業界の「姉歯事件」になぞらえて解説。脆弱性が放置されてきた今までから、安全性確保が義務となる成熟した業界への転換期を説く。

[三好一久，日本タタ・コンサルタンシー・サービシズ]

この連載について

フロンティアAIの台頭がもたらす危機の真因は、脆弱性そのものではなく、それを容認してきたIT運用の仕組みや責任体制の未成熟さにある。本連載は、流行のキーワードに踊らされない冷静な視点から、「他産業に学ぶ制度設計」「ITとセキュリティの運用統合」「防御のAI化への分岐点」「ゼロデイを想定したレジリエンス」など、激変期を生き抜くためのアプローチを提示する。

　「Claude Mythos」（以下、Mythos）の台頭で、世界中で大きなパラダイムシフトが起きている。ニュースで目にしない日が無いくらい騒がれているので、ここではMythosそのものについて詳しく語ることはない。簡単に説明すると、MythosはAnthropicが開発し、2026年4月に公表されたサイバーセキュリティ領域に特化した超高性能なAIモデルだ。

　ソフトウェアの脆弱（ぜいじゃく）性を自律的に発見・分析し、脆弱性を悪用するための攻撃コードも簡単に生成する性能を持つ。防御と攻撃の両方で使用できるため、Anthropicはリリース当初から提供先を限定するなど、慎重なアプローチをとっている。なお、現状このMythos関連のトピックは非常に変化が激しく、米国政府による提供停止措置の指示や輸出停止命令なども報道されている。この記事の内容が最新でない可能性もある旨、ご留意いただきたい。

AIの圧倒的な速度がもたらした「危機の顕在化」

　ITシステムの脆弱性というものは、既知であれ未知であれ、それ自体はMythosと関係なくこれまでも存在していたし、あらゆる面で完璧なシステムを人間が作れるようになるまでは、これからも存在する。Mythosによって変わったことは、高度な知見が必要だった脆弱性の発見や手間のかかる仕込みが必要だった攻撃が、AIの圧倒的な速度と自律性で誰にでも簡単に実行できるようになった、ということだ。それによって脆弱性が悪用されるリスク（発生可能性）が一気に顕在化し、人々の危機意識が大きく跳ね上がった。

　一方で、単純に脆弱性の発見という文脈においては、バグバウンティ業界では既に2025年6月の段階でXBOWのAIが人間を上回っていたし、チェスでも将棋でもとうに人間はAIに勝てないのだから、驚くことでもない。また、対策面においても、継続的かつ圧倒的な物量での脆弱性の洗い出しというのは、ホワイトハッカーの集団知を用いることで、24時間365日のペネトレーションテストを実行する仕組みが5年ほど前からあったし、先進的な欧米企業は既に利用している。

　この業界に詳しい人間からすると、Mythosは今さら何か特別なものでもなく、ようやく事の問題が広く一般に認知される時が来たという印象が強い。むしろ業界人としてはAnthropicの展開の仕方、「Project Glasswing」（Anthropicが主導するサイバーセキュリティ業界の協力プロジェクト）による市場への火のつけ方こそ驚嘆（きょうたん）と共に畏怖（いふ）を覚えた。

ITと建築の共通言語　なぜ今、他産業に学ぶべきなのか

　とはいえ、今IT業界において大きな意識の変化が起きているのは間違いない。私はこのMythosというものが、業界に大きなパラダイムシフトを生じるさせるきっかけ、という意味において、建築業界における“姉歯事件“ととてもよく似ていると考えている。大半の人にとってこれらは一見全く関係のない事象、キーワードだ。実際、私がWebで調べたところ、Mythosと姉歯事件に共通する情報など全くヒットしなかった。しかしこの2つの出来事は業界こそ異なるが、本質において類似点が多いと認識している。

　世の中にはさまざまな産業があるが、どの分野においても業界の常識を大きく覆すようなパラダイムシフトというのは頻繁に発生するものではない。しかし、その業界の中にいる人にとって、リアルタイムに巨大な地殻変動に巻き込まれてしまうと、どうしても人間はその大きな変化に翻弄されてしまう。なぜならそれは業界にとって初めての体験であり、これまで培ってきた経験則が役に立たなくなる局面だからだ。しかし、そのような状況にあっても、実は一歩先を走っている別の業界に目を移してみると、参考となるヒントが沢山ある。

　私は常々建築・建設の業界とIT業界は類似点が多々あると考えている。どちらも設計して構築するという分野だし、アーキテクトという言葉も共通している。利用者にとっての安全性の配慮、そして規制や法令に基づく必要があるのも変わらない。それに伴う、監査対応なども双方に存在する。

　ケースによっては、社会的なインフラとしての責任もあるし、欠陥が表面化したときの影響はどちらも大きい。「Secure by Design」という言葉が表す、設計時に安全性を組み込んでおく考え方も、まさに建築業界では当然のことだ。

　他にも少し専門的になるが、建築には「重心と剛心の一致」という基礎的な概念がある。これは、建物において最も荷重・負荷がかかる部分（重心）と最も頑丈に強く作る部分（剛心）を合わせるというものだ。ここがずれていると地震などの際にねじれが生じてしまい、建物として脆くなる。これはセキュリティでも同様で、攻撃の重心と防御の剛心という観点、すなわちどこが狙われるか（あるいはどこに重要な資産があるか）、と特にどこをしっかり守るべきか、というのは必ずセットで考えなければならない。このように、建築とセキュリティには共通する概念が多い。

　そして大事なことは、産業史において建築・建設業界はITよりも遥かに成熟しており、一歩先にいる。故に、そこから学べることが沢山あるということだ。

「姉歯事件」の教訓　問われたのは不正そのものよりも“制度の限界”

　では、姉歯事件とは何だったか。若い方の中には知らない人も多いかもしれないが、2005年、国土交通省が一級建築士による構造計算書の偽造を公表した。建物の耐震基準に関する構造計算が改ざんされ、耐震性が不十分なまま建築確認を通ってしまっていたことが、大きく社会問題化した。結果として、この姉歯事件を契機に、建築士や設計事務所による虚偽証明や違法設計に対する責任追及や罰則が大幅に強化される形で各種法律が改正された。

　ここでポイントとなるのは、「不正そのもの」よりも、「不正を見抜けなかった制度」に問題があったと受け止められたことにある。また結果的にこの規制強化は、単に建物が安全になるだけではなく、実務面においても大きな影響を与えることとなった。当然、設計図書の完成度や整合性が以前より厳しく求められ、確認申請に時間がかかるようになり、安全性の確保を目的に設計・施工・審査における全体の負担も大きく高まった。

　そのきっかけはたまたま姉歯だったかもしれないが、もしかすると別の建築事務所の不正が発端となっていたかもしれない。建築業界が全体としてそのように大きく変化したのは、姉歯事件に端を発して業界が抱える本質的なリスクが露呈し、ここで対処しなければ大変なことになってしまう、と人々が大きな課題意識を持ったからだ。きっと遅かれ早かれ、業界として仕組みを変えなければならない時期にあったのだろう。これを今のMythos騒動に置き換えてみると、あくまでMythosというのはきっかけに過ぎない。脆弱性（＝建設業界における不正）そのものはこれまでも存在していたが、それを適切に検査して修正する仕組みがIT業界全体として不十分だからこそ大騒ぎになっているのだ。

　今や建築士の仕事の大半は、意匠よりも規制対応や安全性の確保にあるといってよいほど、建物を成り立たせるための安全面の負担割合はとても高い。とりあえず形になればよいということであれば、建物は砂や泥でも作れる。しかし、地震や台風などを考えるともちろんそれでは話にならない。一方のIT業界では、これほど世の中がデジタルに依存している状況にも関わらず、これまでは“やられなければ何とか使える＝砂のお城”が許されていたのだ。

　しかし、パンドラの箱は開かれた。見過ごされてきた脆弱性の放置は、フロンティアAIという巨大地震の発生を機に、もはや許されてなくなってしまった。クラウドやAIの発達により、システムやツールはますます高度化して便利になっている。ただ単に使えるようにするだけならシステム開発も運用も以前よりずっと簡単だ。しかし、これからは建築業界と同じく、安全性を組み込むための労力や負担割合がずっと大きくなってくるだろう。

負担ではなく「当たり前」の仕組みへ　業界の枠を超えて英知を集結するとき

　Mythosの騒動は世界的な動きであり、姉歯騒動は国内の話だった。スケールの違いこそあれ、建築業において世界屈指の安全技術を誇るわが国の現状は、地震や台風など環境に起因する部分だけでなく、姉歯騒動にみられるように、市場に関わる多くの人が課題意識を持ち「本当に大事なものを守るため」に積極的に業界を変革させていったからに他ならない。しかし、IT業界においては、システムが攻撃を受けて大量の機密情報が漏れようが、サービスが停止しようが、その責任を設計者、開発者、運用者、経営層、委託元／委託先の誰がどこまで持つのか曖昧（あいまい）だ。脆弱性や設定の不備に対しても、検査や修正をいつやるかやらないかについても、各社に委ねられている。責任に対する罰則の面においても、建築業とは比べようもないくらい緩い。

　現状、Mythosは大手金融機関における対策が急がれているが、恐らく今後、規制が強化されると予想される。規制強化というと負担を強いることになり、スピードも損なわれると考えがちだ。しかし、今議論されているものは、規制強化というよりは、業界において当たり前に必要なものを確実に導入する仕組みだ。繰り返すが、ITシステムを成立させるために、規制が必要な時期に来ている。

　そして、金融機関に限らず、社会的な重要インフラを提供する企業であれば業種を問わず確実に対策が求められるだろう。わが国は、「本当に大事なものを守るため」であれば、自分たちで業界を大きく変えられる力を持っている。それは、今までの建築業界の歴史を見れば明らかだ。そして建築であれ、自動車であれ、家電であれ、安全なものを作る、という面においてこれまで日本は世界の先駆けであった。

　一方で、IT業界においては、「日本にはITを専門に所管する省庁がない」期間が長く続いた。デジタル庁が設置されたのも2021年になってようやくのことだ。遅きに失している面は否めない。だからこそ急いで追いついていくためには、一歩先を行く建築業界や他業界の軌跡を積極的に参考にしていきたい。そしてこれは、IT業界に関わる全ての人が真摯に考えなければならないことだ。

　負担は確実に増えるだろうが、必要なのだ。個社ごとの投資や対策も必要だが、それだけで乗り切れる類のものでもない。この大きなパラダイムシフトの中で、IT業界全体として皆で考え、議論を活性にし、互いに協力し、乗り切らなければならない。

　なお、AIというのはIT業界に閉じた話ではない。そしてDXの流れにあるようにIT自体も今後あらゆる業界と融合していく。それも物凄い速さで進んでいく。今後は、人類にとって初体験となる課題や負の側面も次々と出てくるだろう。業界を超えた発想や英知の集結が必要なのではないだろうか。

筆者紹介：三好一久（日本タタ・コンサルタンシー・サービシズ株式会社　最高情報セキュリティ責任者《CISO》兼 サイバーセキュリティ統括本部長）

イリノイ大学アーバナシャンペーン校卒業後、サーバー、ネットワーク、データベースと幅広い領域でエンジニアとしてのキャリアを積む。大手コンサルティングファームにて上流コンサルティングを経験。その後、大手セキュリティ関連企業にてコンサルティング部隊を立ち上げ、CISOを務めたのち、欧米企業2社においてカントリーマネージャーおよびAPAC統括を歴任。2023年、日本TCSに入社。現在はCISOを務めながら、サイバーセキュリティ部門を率いている。