最高情報セキュリティ責任者が語る、最新AIの登場で通用しなくなった「セキュリティ 5つの誤解」
著者:Quincy Castro (CISO:最高情報セキュリティ責任者 )
本稿は Chainguard 公式ブログ「5 security myths that Mythos ended (as told by a CISO)(May 27, 2026)」の和訳記事です。
最近、Anthropic社の「Mythos」に関するあらゆる噂を耳にしてきました。 Mythosは、脆弱性の発見をあまりにも急速に加速させるため、セキュリティの基礎となっている前提の一部は、一夜にして時代遅れになると主張しています。しかし、AIによる脆弱性の発見とは、単一のモデルや、何か格好いい名前を付けるといったことよりも、はるかに大きな意味を持っています。今後数ヶ月の間に、AIは、私たちがセキュリティの専門家として長年抱いてきた信念や慣行を、根本から覆していくことになるでしょう。
私は、セキュリティチームがこれまで拠り所にしてきた『メンタルモデル(固定観念や前提)』について考えてきました。プロセスに組み込まれている前提、ツールの選択、そしてリスクを受け入れる際のアプローチや考え方などについてです。そのほとんどは、私たちが『人間のスピード』という限界の中で動いていた時代には、合理的で妥当なものでした。しかし、これからの未来においては通用しません。
ここで、私が考え直した5つの『前提』をご紹介します。皆さんも、古い前提を今すぐ捨て、新たにアップデートすることをお勧めします。
誤解 1:脆弱性が公開されてから、修正パッチを当てればよい(その「猶予時間」がある)と思っている
かつての論理はこうでした。「新しいCVE(共通脆弱性識別子)が公開されてから、実際にサイバー攻撃が始まるまでには、少なくとも数日、長ければ数週間の猶予がある。その間に影響の大きさをアセスメントし、修正プログラムをテストし、本番環境へ展開すればよい。」というものです。この対策は常に時間との戦いでした。しかし、Mythos のようなAIモデルは、この猶予時間を瞬時に「ゼロ時間」に縮めてしまいます。
このことは既に証明済みです。「Zero Day Clock(ゼロデイ・クロック)」 のデータセット(CISA KEV、VulnCheck KEV、XDBから抽出した3,529件の『CVEと攻撃コード』のペア)によると、脆弱性が公開されてから実際に悪用されるまでの平均時間は、2018年には「2.3年」でしたが、2026年には「約20時間」へと短縮しています。この脅威的な数値は、CSA CISOコミュニティ、SANS、そしてOWASP GenAI Security Projectによる合同ブリーフィングでも引用されました。
さらに、Anthropic社の専門チーム「Frontier Red Team」の報告によると、同社のAIモデル「Mythos Preview」は、CVEの識別番号とGitのコミットハッシュを入力するだけで、わずか1日未満、2,000ドル(約30万円)以下のコストで、実際に動作する攻撃コードを作り出せることが実証されています。あるサードパーティがFreeBSD NFSの脆弱性(CVE-2026-4747)を使って行った再現実験では、わずか約4時間しかかかりませんでした。
従来の「検知してパッチを当てる(detect-and-patch)」というモデルは、公開から悪用コード化までの間にタイムラグがあることを前提としています。しかし、そのタイムラグは今や「時間単位」で測定されるものになりました。もし、皆さんのセキュリティ体制が「攻撃者が行動を起こす前に対応する」ということに依存しているなら、それはもはや確実には存在しない猶予期間に賭けていることになります。これに対する正しい策は、「パッチ適用を高速化する」ことではありません。「プロアクティブな排除」すなわち、「そもそも脆弱性を本番環境に持ち込ませない」ことです。
誤解 2:ゼロデイ攻撃は滅多に起きないので、対策の優先度を下げてもいい
ゼロデイ攻撃には、かつてはそれなりに高いコストを要するものでした。高度なスキルと専門知識が必要だったため、歴史的に見てもゼロデイ攻撃を扱えるのは、潤沢な資金を持つ洗練された攻撃者に限られていたのです。具体的には、国家レベルの諜報機関や、報酬目的のサイバー傭兵企業、あるいはハイレベルな犯罪集団などです。このようにゼロデイ攻撃自体が「滅多に起きない希少なもの」であったことが、実は多くの組織にとって、一種の防波堤として機能していました。
しかし MythosのようなAIモデルは、従来の仕組み、つまりコストの常識を完全に変えてしまいます。Anthropic社の Frontier Red Teamの報告によると、同社のAIモデル『Mythos Preview』は、あらゆる主要なOSやブラウザにおいて、未知のゼロデイ脆弱性を数千件も特定しました。中には、人間による数十年にわたるレビューや、何百万回もの自動テストをくぐり抜けて生き残ってきた脆弱性もあります。
例えば、非常に安全性が高いとされる「OpenBSD」を対象に行われた検証では、約1,000回のスカフォールド(探索を効率化する足場プログラム)の実行にかかったコストは、わずか2万ドル(約300万円)程度でした。Anthropic社自身も、「ソフトウェアの脆弱性を発見し、それを悪用して攻撃コードを作るために必要な費用、労力、そして専門知識レベルは、すべて劇的に低下した」としています。
さらに同社は、他社からも同等の能力を持つAIが「今後6〜18ヶ月以内」に次々と登場すると予測しています。そして、必然的にオープンソースのAIモデルも、その後に続くことになるでしょう。
そのため「ゼロデイ攻撃は、国家レベルの機関やハイレベルな犯罪集団によるものだけ」という前提に立っていたこれまでの「脅威モデル」は、今すぐ見直す必要があります。攻撃対象領域には、ライブラリやパッケージなど皆さんが利用しているすべてのオープンソースの依存関係が含まれるからです。
これらのオープンソースコンポーネントに潜在的な脆弱性がある場合、AI搭載ツールは、人間の擬似攻撃チームがこれまで成し得た最速のスピードよりもはるかに速く脆弱性を検知します。
誤解 3:「危険度:中・低」の脆弱性を何千件も本番環境に放置して「リスク受容」し続けても問題ない
未修正の脆弱性だらけの重要環境を守る責任者であるCISO(最高情報セキュリティ責任者)たちの、状況を正当化するための屁理屈とも言える発言を私はこれまでに何度も聞いてきました。彼らは決まってこう言います。「会社がリスク受容をしているだけ。私は意思決定をサポートしたに過ぎない」「私はビジネスにおけるリスクのアドバイザーに過ぎないから」と。
そもそも、昨今のセキュリティ業界において、単なる「リスクのアドバイザー」でいることにどれほどの存在価値があるのか疑問ですが、それはさておき、MythosのようなAIが存在する世界において、何千もの未修正の脆弱性を抱えたまま重要環境を運用することを決めることは、もはや「リスク受容」ではありません。ただの「怠慢」です。
確かにこれまでは、危険度の低い脆弱性をいくつも組み合わせて(チェインさせて)ターゲットに到達する「実効性のある攻撃ルート」を作り出すには、攻撃者側にも非常に高いスキルが必要でした。しかし現在ではスクリプトキディ(他人の作ったツールを真似して使うだけの初心者ハッカー)レベルの攻撃者であっても、自律型の侵入テストツールに対して「危険度の低い複数の脆弱性を突くコードを組み合わせて、効果的な攻撃ルートを作って」と指示をするだけで、それが可能なのです。このような方法での運用を許されている環境を承認するなど、どんなCISOであっても容認すべきではない時代に突入したのです。
誤解 4:外部ライブラリなどオープンソースの依存関係の安全性を確保するのは、自分の仕事ではない
「アップストリームからプログラムを取り込み、スキャンを走らせ、危険度の高いCVEをブロックすればいい」――かつて、脅威が既知のマルウェアや公開済みの脆弱性のみだった時代には、これも十分に通用する防御姿勢でした。しかし、今は状況が異なります。
ここには2つの問題が絡み合っています。1つめは、脆弱性スキャンは「後追い」であるという点です。スキャンが検知できるのは、既知の脆弱性のみです。そして2つ目は、依存関係の供給元であるアップストリームのレジストリには、中身の正当性を検証する仕組みが組み込まれていないという点です。現に2026年2月には、OpenClawのコミュニティレジストリである「ClawHub」において、AIエージェントに指示を出して認証情報(パスワードなど)を盗み出すマルウェアをインストールさせる、300以上の悪意ある「スキル」が特定されました。スキャナーの検知アラートが鳴る頃には、その成果物(悪意あるファイルなど)はすでにユーザーの環境に入り込んでしまっています。
そこで、唯一の永続的な解決策となるのは、取り込むプログラムが「検証済みのソースコード」からビルド(構築)されたものであると保証することです。信頼性があるかどうかも分からないバイナリ(実行可能ファイル)を、盲目的に信じて使うような方法から脱却することです。
「Chainguard Containers」と「Chainguard Libraries」は、こうした不確実性を完全に排除します。すべての成果物は、隔離された環境でソースコードから再ビルドされるため、元のソースコードに存在しなかった悪意あるバイナリが、完成品に紛れ込む余地はありません。これこそが、悪意を構造的に排除するアーキテクチャ・エクスクルージョンなのです。
誤解 5:コンプライアンス(法令・基準の遵守)をクリアしていれば、セキュリティ体制は万全である
このトピックは、前述の「誤解 3」よりもさらに耳が痛い話かもしれません。私たちの多くは、そんなわけがないと分かっているはずですが、未だに多くのセキュリティプログラムとそして経営陣は、コンプライアンスを満たすことと、実際のリスクを低減することを混同しています。FedRAMP(米連邦リスク授権管理プログラム)の監査に合格したり、SOC 2認証を維持したり、SBOM(ソフトウェア部品表)作成のチェックボックスを埋めたりすれば、確かに「書類上のセキュリティ体制」は証明されます。しかし、書類が揃っていることと、脆弱性が存在しないことは同義ではありません。
Mythosの登場によって、この「書類と現実のギャップ」は命取りになります。悪用可能な脆弱性を超高速で発見できるAIシステムにとって、監査に合格したか否かは問題ではないからです。AIが気にするのは、そこに「脆弱性があるかないか」だけです。
そういえば皆さんは「3ヶ月に1度のアクセス権限レビューのおかげで、差し迫ったサイバー脅威を検知できた」なんて経験はありますか?……そうですよね、私にもありません。こうしたコンプライアンスの管理フレームワークは、まるで海外ドラマ『セヴァランス』に出てくる不条理な作業マニュアルのようです。
そもそもコンプライアンスの枠組みは、これほどのスピードで動く敵を想定して作られていません。むしろその大半は、従来の高度なサイバー攻撃者と戦うためにすら設計されていないのです。たとえばSOC 2は、もともと「会計基準」として開発されたものです。この先、最終的に勝ち残るのは、単に見せびらかすための「お墨付きの紙切れ」を手に入れることではなく、実際に効果のあるセキュリティ対策とプログラムの構築に真剣に取り組む組織だろうというのが私の見解です。
まとめ
今回ご紹介したすべての「誤解」に共通する1つの落とし穴があります。それは、いずれも「人的リソースという限界の中で、人間のスピードで動く人間の攻撃者を前提にしている」という点です。MythosのようなAIモデルは、その前提をあらゆる面で完全に破壊します。
この大転換期を生き残ることができるアーキテクチャとは、後からセキュリティを発動させるのではなく、コードが環境に入り込む前段階、つまり「最初から」セキュリティがシステムやプロセスに組み込まれているものです。
それは、内容を検証済みのソースコードから構築され、マルウェアやグレーウェア(不審なプログラム)の分析をパスし、攻撃手法に対して強固に耐性を持たせた「本質的に安全なコンポーネント」を使ってアプリケーションを開発する、ということです。これは、脆弱性をただ追跡して管理するのではなく、根本から「排除」することを意味し、皆さんのエンジニアやAIエージェントが依存するすべての成果物に対して、等しく厳格な基準を適用することを意味します。
「作ってからパッチを当てる(ship-and-patch)」時代は終わりました。最初から正しく安全に構築すること。これこそが、私たちに残された唯一の防御策なのです。
ChainguardがどのようにAIの脅威からお客様の環境を守っているか…詳細はこちらをご覧ください。
クリエーションラインでは:
Chainguardの導入・運用の支援を行っております。お気軽にお問い合わせください。
