Claude Mythosがもたらすセキュリティビジネス激変の可能性 二極化していく“業界のこれから”(3/5 ページ)
IT業界の話題をさらう、Anthropicのセキュリティ特化型エージェント「Claude Mythos」。MythosのようなAIスキャナーの普及がセキュリティ業界の構造にどんな変化をもたらすのか。IT組織作りに携わってきた筆者が視点から分析する。
Mythosを牽制しても情勢は変わらない――守り手にできること
ここまでの整理を踏まえると、政策的にMythosを規制する、初期アクセスを国家が押さえるといった動きには一定の意味はあるものの、それを以て「攻撃力の総量」をコントロールすることはできない、という結論にならざるを得ません。言い換えれば、政府がMythosをけん制できたとしても、守り手側の負担が大きく減ることはない、ということになります。
守り手側にできることは大きく2つです。1つ目は、報告された脆弱性に対する修正サイクルをAI駆動で高速化すること。攻撃側のスキャンが速くなる以上、防衛側の修正が遅ければ差分はそのまま攻撃にさらされる時間になります。
課題起票からPR(Pull Request)修正、テスト、デプロイまでをAIエージェントに任せられる範囲を広げ、人間は方針判断とレビューに集中する──これは数年前から言われていますが、Mythos以後は「やらない理由が消える」段階に入ったと考えるべきでしょう。
2つ目は、開発サイクルそのものにスキャナーを組み込む「DevSecOps」の徹底です。リリース後の監査ではなく、コミット時点・PR時点・ビルド時点で多層的にスキャンを走らせ、人間のレビューはAIが「これは判断が要る」とフラグを立てたものに絞る必要があります。
日本企業の現場感としては、ソースコードを静的解析する「SAST」、依存ライブラリを点検する「SCA」、稼働中のアプリに外部からテストを投げる「DAST」といった各種スキャナーを部分的に導入しているところは多いものの、開発フローに本当に溶け込んでいる例はまだ少数です。Mythos以後の議論は、この膠着(こうちゃく)を動かす好機になり得ます。
加えて、攻撃者の視点を借りる「アタックサーフェス管理」(ASM)の重要性も上がっています。自社のドメイン、IP、APIエンドポイント、SaaSテナント、子会社や買収先の資産まで含めて、外から見える攻撃面を継続的に棚卸しする取り組みです。
AIスキャナーの登場で、この外部から見える領域は攻撃者にとっても「探しやすい場所」になりました。守り手側も、攻撃者と同じ視点で自分たちを見られるかどうかが、被害の有無を分けるラインになっていきます。
本当に危ういのは誰か――未上場ベンチャーSaaSという死角
サイバー攻撃のターゲットも変化するかもしれません。個人的な考えですが、今後はスタートアップや未上場ベンチャーの被害が狙われだすのではないかと見立てています。
これまでのサイバー攻撃を見ていると、攻撃者は「話題性」と「金銭性」で対象を選んできました。大手企業や金融機関は標的としては魅力的ですが、既存のセキュリティベンダーがコンサルティングに入っており、攻撃ハードルは決して低くありません。
一方、無名なスタートアップや未上場ベンチャーは、攻撃ハードルが低いものの話題性と金銭性を欠く構図でした。こうした企業──特にB2B SaaSの領域は、扱っているデータの機微度に対してセキュリティ体制が追いついていないことが多く、AIスキャナーの普及によって攻撃のコストが下がった瞬間に、費用対効果の合う標的群に躍り出ます。
それなりの顧客基盤を持ち、上場やM&Aを射程に入れた段階の企業群は、経営の最優先課題が「時価総額の積み上げ」や「イグジット前の“お化粧”」になりがちで、セキュリティ投資の優先順位はどうしても下がります。社内に専任のセキュリティエンジニアが居らず、SRE(サイト信頼性エンジニアリング)担当が片手間でアラートを眺めているだけというケースも珍しくありません。
攻撃者から見れば、大手より突破しやすく、それでいて顧客企業の機密情報が入っており、ランサムウェアや情報窃取のレバレッジが効くことになります。Mythos以後、セキュリティリスクの再評価が真っ先に必要なのは、皮肉なことに「攻撃される自覚が薄い」未上場SaaSになる、というのが筆者の見立てです。
監査法人や引受証券会社、ベンチャーキャピタルといった、未上場SaaSをイグジットに送り出す側の関係者にとっても無視できない事態になるでしょう。デューデリジェンスの中でセキュリティ体制をどこまで確認するか、IPO審査においてセキュリティガバナンスをどう評価するか──という制度面の議論を進めておかないと、イグジット直後に重大インシデントが起きるリスクが高まります。
具体的なシナリオで考えるとイメージしやすいかもしれません。例えばIPO申請直前のSaaS企業が、自社プロダクトのAPIに対しAIスキャナーで継続的に攻撃を受け、既存顧客の機密情報が外部に流出。発覚と対応の遅れから上場時期がずれ込み、時価総額にも影響が出る、というシナリオは十分にあり得ます。
あるいはM&A直前にデューデリジェンスでセキュリティ債務が発掘され、買収価格が大きく引き下がる、というケースも想定されます。経営者にとっては、セキュリティはコストセンターではなく、イグジットのバリュエーションを左右する変数になりつつある、という認識の更新が必要です。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
AI生成の「ゴミ報告」が殺到、対応追い付かず疲弊……脆弱性発見の懸賞金制度に異変
オープンソースソフトウェア(OSS)の脆弱性に懸賞金をかけて発見を促し、対応を支援してきた米セキュリティ企業のHackerOneが、新規の報告受け付けを停止している。AIで生成された質の低い脆弱性報告の激増が原因といい、影響は主要OSSプロジェクトに及ぶ。同様の懸賞金プログラムを提供してきたGoogleも対応を強いられるなど、AIの影響が深刻化している現実が浮き彫りになった。
最新AI「Claude Mythos」がSFすぎる件 研究者の作った”牢”を脱出、悪用懸念で一般公開なし──まるで映画の序章
すでに“AI界隈”では注目の的になっている「Claude Mythos Preview」。性能や安全性に関する情報をまとめた「システムカード」には、開発初期のテスト過程も記載されており、その内容はまるでSF小説さながらだ。
高度AIによるサイバー攻撃、片山金融相「今そこにある危機」 官民連携作業部会で対策
高度化するAIによるサイバー攻撃の脅威を巡り、片山さつき金融担当相が、日銀や3メガバンク、日本取引所グループの幹部との会合を開き、金融システムに対する危険性を協議した。セキュリティ対策強化の必要性を確認し、官民連携で対策を図る作業部会の設置に合意した。
「Claude Mythos」に“許可を得ていないユーザーがアクセス”か 海外報道
米Anthropicの新しいAIモデル「Mythos」に、許可を得ていない少数のユーザーグループがアクセスした──米Bloombergが関係文書や事情に詳しい関係者の話としてこう報じた。
話題の「Claude Mythos」、なんて読む? 「ミトス」か「ミソス」か、はたまた「ミュトス」か
米Anthropicが4月7日に発表し、そのセキュリティ性能などから世間をにぎわす次世代大規模言語モデル「Claude Mythos」。日本では「(クロード)ミトス」「ミソス」「ミュトス」などと書かれ、日本政府や大手報道機関でも読みや表記が揺れている。正しい読み方はどれか。