Anthropicが警鐘を鳴らすAI時代のサイバー脅威 企業が採用すべき対策とは：セキュリティニュースアラート

Anthropicは、AIによる脆弱性悪用の高速化を受け、企業の防御指針を発表した。パッチ適用の迅速化やAIによる開発・運用体制の強化、侵入前提の設計、資産削減などの対策を推奨した。

[ITmedia エンタープライズ編集部，ITmedia]

　Anthropicは2026年4月10日（現地時間）、AIの進展によってソフトウェアの脆弱（ぜいじゃく）性発見と悪用の速度が急速に高まっているとして、企業の防御体制強化に関する指針を発表した。同社は最新モデル「Claude Mythos Preview」を活用する取り組み「Project Glasswing」を通じ、攻撃側だけでなく防御側にもAIを活用すべき段階に入ったとの認識を示した。

脆弱性発見を加速させるAIの脅威

　同社によれば、AIは脆弱性の検出や悪用コードの作成に必要な時間や技能の壁を大きく下げている。今後24カ月以内には、長期間見逃されてきた多数のバグがAIによって発見され、実際の攻撃に利用される可能性がある。既に一般公開されている比較的性能の低いモデルでも、従来のレビューで見逃されてきた深刻な問題を見つけているという。

　こうした状況に対し、同社は防御側もAIを取り入れることで対抗できると指摘し、具体的な対策を整理した。

AI加速型攻撃への対抗策　組織が直面する課題と実践的な防御実装とは

パッチ適用の遅延解消（最優先事項）

• 既知の脆弱性は公開後すぐに悪用手法が確立されるため、インターネット公開システムでは24時間以内の対応が望ましい
• 米国の既知悪用脆弱性カタログや確率指標を活用し、適切な優先順位を付ける

脆弱性報告の急増への備え

• 報告件数が桁違いに増えることを見込み、受付・分類・修正管理の仕組みを根本から見直す
• オープンソース依存関係の安全性評価や、ベンダーに対しても同水準の対策を求める
• AIを報告の重複整理、影響分析、修正チケット作成などに役立てる

出荷前の欠陥検出体制の強化

• 静的解析、AIによるコードレビュー、継続的テストの導入によって問題の早期発見を図る
• ビルド工程の保護や安全設計の原則を採用し、新規開発ではメモリ安全性の高い言語を利用する

既存コードの再検証

• 長期間運用されているシステムには未発見の問題が残る可能性が高いため、AIによる再分析を実施する
• 特に外部入力処理や認証関連など、影響の大きい箇所から優先的に調査する

侵入を前提とした設計

• 侵入を完全に防ぐことは困難なため、ゼロトラストの採用、ハードウェア認証、短期間で失効するトークンの利用などで被害範囲を限定する

公開資産の把握と削減

• 接続資産を正確に把握し、不要なシステムを停止して攻撃面を縮小させる
• AIを活用して未使用コードや不要なサービスを特定し、模擬攻撃による検証を実施する

インシデント対応の迅速化

• アラートの初期分析や記録作成をAIに任せ、人間が判断に集中できる体制を構築する
• 複数の同時事案を想定した訓練や、検知能力の可視化を重視する

脆弱性報告の質の確保

• AI生成の報告が増える中で、人間による検証、再現手順、修正案の提示を不可欠とし、信頼性を確保する

専門部門を持たない組織向けの対策

• 自動更新の有効化、マネージドサービスの利用、ハードウェア認証の導入を推奨
• コードホスティングサービスが提供する無料のセキュリティ機能を積極的に活用する

　同社は今後もパートナーとの取り組みを通じて指針を更新するとしており、AI時代における防御戦略の継続的な見直しの必要性を強調している。