2026年5月26日
AIWGメンバー 諸角昌宏
本ブログは、CSAジャパンとしての正式な見解ではなく、あくまで筆者の個人的な意見としてまとめたものである。しかしながら、この問題はクラウドセキュリティに関わる人に幅広く関係することとして、このCSAジャパン・ブログに掲載させていただく。皆さんの屈託のないご意見をいただければ幸いである。
はじめに
2026年4月7日、AnthropicがClaude Mythos Previewを公式発表した(出典:red.anthropic.com)。このモデルは汎用LLMであり、セキュリティ専用ツールとして設計されたわけではないが、コーディングと推論能力の向上から「自然に発生した」として際立ったセキュリティ能力を示した。代表的な成果として、Firefox 147 JavaScriptエンジンを対象とした特定のテストハーネスで181件の動作するexploitを生成した(同条件でClaude Opus 4.6は2件)。また約1,000回の試行・約2万ドルの計算コストをかけたキャンペーンで、27年間専門家の審査・ファジング・自動スキャンをくぐり抜けてきたOpenBSDのTCP SACK実装の脆弱性(DoS)を発見した。
「AI脆弱性の嵐」(CSA/SANS/OWASP/[un]prompted 緊急戦略ブリーフィング)
Mythosの発表から6日後の2026年4月13日、CSA, SANS, OWASP, [un]promptedの共同により「AI脆弱性の嵐(AI Vulnerability Storm):Mythosレディなセキュリティプログラムの構築」が緊急公開された(現在v1.0、日本語版はV0.4)。60名以上の寄稿者・250名以上のCISOがレビューしたこの文書は、Mythosの登場を「最初の波に過ぎない」と位置づけ、CISOがすぐに実行できる具体的な行動指針を提示している。CSAジャパンでは、2026年5月25日にWGセミナーを行い、この文書の内容、CSAI foundationのミッション等について参加者とディスカッションを行った。
本ブログはこの文書の内容およびWGセミナー(2026年5月25日)でのディスカッションに基づいている(注:WGセミナーの資料およびビデオ録画はこちらの「WGセミナー:ビデオ録画、資料」のウエブページより参照)。
「AI脆弱性の嵐」の文書が明確にしている点は、Mythosの登場で生じた「AI脆弱性の嵐」は単一モデルへの対応問題ではないということである。AIが脆弱性発見のコストとスキルの敷居を、組織がパッチを適用できる速度よりも速く引き下げており、発見から武器化までの時間が数時間レベルに短縮されるという構造的な変化である。従来のパッチサイクル・対応プロセス・リスク指標はこのような環境を前提として設計されていない。
したがって、Mythosの登場が示したのは、「Mythosというすごいツールにどう対抗するか」ではなく、AIが攻撃サイクル全体を自律実行できる時代の到来という構造的な転換点である。この転換は、セキュリティの問題を超え、事業継続・安全工学・オペレーションレジリエンス・危機管理にまたがる社会システム全体の設計問題を提起している。
1.Mythosレディとは何か:ツール対抗ではなく構造的リスクへの認識
「Mythosレディ」という概念は、しばしば誤解されている。それは「Mythosというすごいハッキングツールに対抗する体制を整える」ということではない。つまり、脅威論として捉えるべきではない。Mythosレディとは、機械速度の攻撃が常態化した世界において、組織が生存できる状態を継続的に維持することである。重要なのは「Mythos」という特定のモデルへの対応ではなく、その背後にある構造的リスクを認識することである。防御と攻撃が同じ能力空間に存在し、高度なコード理解能力は、自然に攻撃構造理解へと接近する。これは特定ベンダーの問題ではなく、技術進化の構造的必然であるといえる。
「Mythosレディ」は以下の例のように考えられる。
| Mythosレディではない状態 | Mythosレディな状態 |
| 四半期ペネトテストを実施している | 継続的・自動化されたスキャン |
| CVSSスコアでパッチ優先度を決めている | 自環境での実際の悪用可能性で判断 |
| 月次でセキュリティレポートを出している | リアルタイムのリスクダッシュボード |
| インシデント対応は人間チームが担当 | AIエージェントが初動・人間が監督 |
2.なぜ従来のセキュリティモデルは機能しなくなるのか:非対称性の構造
AIが攻撃サイクル全体を自律実行できる世界では、従来のセキュリティモデルは根本から機能しなくなる。その理由は「非対称性」にある。
機械速度 vs 人間速度の非対称性
| 攻撃側(AI) | 防御側(人間) |
| 脆弱性発見 → exploit生成 → オペレーション実行を機械速度で自律完結 | 検知→分析→対応→修復を人間速度で処理 |
| 発見から武器化まで:数時間(2026年) | 四半期ペンテスト・月次パッチサイクル |
| 複数システムへの同時並行攻撃 | インシデントは1件ずつ対応(直列処理) |
| 攻撃者は「一箇所突ければいい」 | 防御側は「全部守らなければならない」 |
この非対称性は技術的なものだけではない。文化的・組織的な非対称性でもある。AIを活用しない防御チームは、技術スキルに関わらず、AI武装した攻撃者のスピードや規模に対抗することができなくなる。
つまり、「機械速度の攻撃に対しては機械速度の防御しか対抗できない」という現実を受け入れ、AIエージェントを例外的ツールではなく防御の基盤として制度化することが求められる。
3.これはサイバーセキュリティの課題を超えた社会システム設計の問題である
Mythosの影響は「サイバーセキュリティの問題」にとどまらない。人間の制御速度を超えた自律システムが存在する世界で、社会システム全体をどう設計・運営・管理するかという根本的な問いを提起している。
安全工学への影響
従来の安全工学は「障害は人間のミスか機械の故障」を前提とし、原因分析が可能で、設計段階でリスクを織り込めるという前提に基づいていた。 Mythosが崩す前提は「静的安全設計」である。昨日まで安全だったシステムが今日から危険になる。設計の思想は「壊れないように作る」から「壊されることを前提に設計する」へ転換しなければならない。
オペレーショナルレジリエンスへの影響
従来のBCP/DRは「障害からの復旧」を想定していたが、Mythos時代では復旧インフラ自体が攻撃対象になる。バックアップシステムの完全隔離、サプライチェーン全体でのレジリエンス評価が必須となる。
危機管理への影響
従来の危機管理は「発生を人間が認識できる」「対応に時間的猶予がある」を前提としていた。しかし複数の重大インシデントが同時発生し、発見した時には手遅れになっている可能性がある世界では、事前承認済みプレイブックとAIエージェントによる初動の自動化が不可欠となる。
これらの3つの領域に共通する点として、「人間の制御・認識・対応速度」を超えた自律システムが存在する世界で、社会システム全体をどう設計・運営・管理するかということであり、これに対する回答が「エージェンティックコントロールプレーン(Agentic Control Plane)のガバナンス」ということになる。
4.次の波に備える:Mythosは最初の波に過ぎない
Mythosの登場は「臨界点」として語られることが多いが、より正確には「能力進化の連続性の中で社会が初めて広く認識した転換点」である。
現在の第一波の正確な姿は、脆弱性発見・エクスプロイト生成・攻撃チェーン構築・オペレーション実行が最小限の人間入力で自律的に完結している。現在のMythosはまだ「人間が介在できる機械速度・規模」にとどまっている。アクセスは限定されており、複雑な標的には人間の方向づけが一部残る。しかし次の波では状況が変わる。
次の波のシナリオ
- 第二波:自律エージェントによる継続・横展開・長期運用の完全自動化
- 第三波:Mythos級能力の民主化(誰でも使える状態への拡散)
- 第四波:電力・医療・金融・水道等の社会インフラへの攻撃
英国AISIの独立評価(2026年5月)では、GPT-5.5とMythosは同一ベンチマーク上のスコアが誤差の範囲内で収束していることが確認された(GPT-5.5:71.4%、Mythos:68.6%)。ただし能力の質・アライメント・セーフガードの強度は異なる。より重要なのは、フロンティアサイバー能力が単一ベンダーに限定されなくなったという構造的収束であり、「Mythosだけを管理すれば良い」という発想は、すでに現実から離れつつある。 だからこそ、「Mythos対応」という短期的・特定モデル対応の発想ではなく、「次の波・その次の波が来ることを前提とした継続的適応体制の構築」という長期的・構造的な視点が必要である。ただし、長期的という行動のために利用可能な時間は縮小している。戦略計画の最長単位は「1四半期」と考えるべきである。ロードマップは四半期単位で継続的に更新される設計でなければならない。
5.今すぐ始めること:基本の強化とコントロール可能な状態の実現
「機械速度の攻撃が来る前に、今できることをやる」。これがMythosレディへの最も重要な第一歩である。
情報セキュリティの目的:コントロール可能にすること
先のブログ「ゼロトラストとCIA(後編) ~ 情報セキュリティはコントロール可能にすること」では、セキュリティの本質的な目的を「コントロール可能にすること」とした。攻撃を100%防ぐことは不可能だが、影響を封じ込め、迅速に回復し、次の攻撃に備えられる状態を維持することはできる。 この「コントロール可能な状態」を実現するための基盤が、まず基本的なセキュリティの強化である。高度な攻撃への対策より、基本の穴を塞ぐことが先決である。攻撃者は最も弱い点を狙う。
今すぐ取り組む基本強化の5領域
1. 資産管理:守るべき対象を把握していない状態で対策はできない
- ITインベントリ:サーバー・PC・クラウドインスタンスの継続的把握
- SBOM:使用しているOSSライブラリ・依存関係の管理
- シャドウIT・未管理資産の自動発見:攻撃者が最も狙う「見えていない穴」
- AIエージェント資産の把握:動作中エージェント・権限・MCPサーバーの新カテゴリ
2. ネットワークセグメンテーション
- 内部ネットワークを機能・リスク別に分離し、横展開(lateral movement)を遮断する
- Mythos時代:攻撃チェーンの連鎖を物理的に切断する最も効果的な手段
3. パッチ管理の継続化
- KEV(既知悪用脆弱性)リストの優先的・継続的対応:CVSSスコアではなく実際の悪用リスクで判断
- クリティカルパッチは24時間以内の適用を目標とする
- パッチdiff分析:パッチ公開が即座にexploit設計図になる逆説を認識する
4. アイデンティティとアクセス管理(IAM)
- 最小権限の原則の徹底:必要最低限のアクセスのみ付与・過剰権限の定期棚卸し
- AIエージェント自体への最小権限適用:エージェントの過剰権限が攻撃のリスクになる
- フィッシング耐性MFA(FIDO2等)の全社的展開
5. 多層防御の再設計
- 単一コントロールへの依存を排除:1つの防御が破られても次の層が機能する設計
- egressフィルタリング:不審な外部通信の自動遮断
- 継続的モニタリング:「見えていない攻撃」を検知する仕組みの整備
時間的余裕がある今のうちにこれらの取り組みを拡大していくことが必要である。Mythos能力の民主化が進む前に基盤を固めることが、組織が生存できる状態を維持するための最優先事項である。
おわりに:Mythosレディは到達点ではなく継続的な状態である
Mythosレディとは、特定の脅威に対応した状態のことではない。機械速度の脅威環境に継続的に適応し続けられる組織状態のことである。 「Mythosレディ」セキュリティプログラムの構築は、1つのモデルや発表に反応することではない。脆弱性が発見される速度と組織が対応できる速度のギャップを恒久的に埋めることである。
Mythosの影響を「サイバーセキュリティの問題」として矮小化してはならない。それは「人間の制御速度を超えた自律システムが存在する世界で、社会システム全体をどう設計・運営・管理するか」という問いであり、セキュリティ担当者だけではなく、経営層・取締役会・社会全体が向き合うべき課題である。 そして、その答えの第一歩は「今すぐ基本を強化し、コントロール可能な状態を実現すること」にある。
補足:CSAIのスタンスとミッション:制度として応答する
CSAは、AIセキュリティ・セーフティに特化した新しい非営利財団「CSAI Foundation」を正式に設立した。そのミッションは以下である。
「エージェンティックコントロールプレーン(Agentic Control Plane)をセキュアにする)」——自律型AIエージェントエコシステムを支えるアイデンティティ・認可・オーケストレーション・ランタイム動作・トラスト保証の層を統治すること。
CSAIのスタンスは明確である。Mythosを「危険なAIの登場」として警戒するのではなく、「エージェントAIが自律的に動く世界において、その制御・監視・信頼の仕組みを社会基盤として確立する」という建設的・制度的に答えることである。
CSAIの6つの戦略プログラム
- AIリスクオブザーバトリー:MCPサーバーエコシステムの継続監視・CVE番号機関(CNA)として認定・RiskRubricによるリスクスコアリング
- エージェンティックベストプラクティス:セキュアなエージェント実装のフルライフサイクルガイダンス・非人間アクターのID管理・権限ガバナンス
- 教育&資格認定:TAISE Agentic(実務者向け)・TAISE CxO(経営幹部向け)・将来的にはエージェント自体を認定するTAISE-Agent
- CxOトラストCレベルリソース:経営層・取締役会がAIリスクを経営判断に変換するための支援
- グローバルアシュアランス&トラスト:NIST AI RMF・EU AI Act・ISO/IEC 42001との整合。STAR for AI Catastrophic Risk Annexによる最悪シナリオの監査可能化
- フューチャーフォワード:既存標準のAIギャップ評価・統合リサーチの開発・CVE/MITRE/OWASPとの連携
以上