投稿者 global-ai-media 
生成AIの急速な進化は、サイバー攻撃の高度化を招く一方で、防御側にも強力な武器をもたらしつつあります。米Anthropic社の新イニシアチブ「Project Glasswing」を契機に、日本企業がAI時代のセキュリティリスクとどう向き合い、組織やプロダクトを守るべきかを解説します。
AIがもたらすサイバーセキュリティの非対称性
大規模言語モデル(LLM)をはじめとする生成AIの普及は、サイバーセキュリティの領域に大きなパラダイムシフトを起こしています。攻撃者はAIを活用することで、高度なフィッシングメールの生成、マルウェアの開発、あるいはシステムの脆弱性探索をかつてないスピードと規模で自動化できるようになりました。こうした脅威に対抗するため、米国の主要AI企業であるAnthropicは「Project Glasswing」という新たなイニシアチブを発表しました。これは、世界中で利用される重要なソフトウェアをAIの力で保護し、サイバー防衛側(ディフェンダー)に持続的な優位性をもたらすことを目的とした取り組みです。
防御側におけるAI活用の重要性と日本の商習慣
攻撃側がAIを駆使する以上、防御側もAIを高度に活用しなければ太刀打ちできない時代が到来しています。とくに期待されているのが、ソースコードの監査や脆弱性の自動修正におけるAIの活用です。日本企業のIT開発においては、システムインテグレーター(SIer)との協業や多重下請け構造が一般的であり、長年の改修によってシステムがブラックボックス化したり、ドキュメントが不足したりするケースが少なくありません。LLMの優れたコード理解能力を活用すれば、人間では全容把握が困難なレガシーコードの解析や、開発の初期段階でセキュリティ上の欠陥を発見する「シフトレフト(開発プロセスの早期段階でのセキュリティ対策)」の強力な後押しとなります。
AI導入に立ちはだかるガバナンスの壁とリスク
一方で、日本企業がセキュリティ領域でAIを活用する際には、特有のハードルが存在します。最も大きな懸念は「自社の機密情報であるソースコードを、外部のAIモデルに送信してよいのか」というデータガバナンスの問題です。社内のコンプライアンス部門や法務部門の稟議を通すためには、入力データがAIの再学習に利用されない(オプトアウト)契約形態の選択や、経済安全保障の観点からのデータ保管地域の確認が不可欠です。さらに、AIはもっともらしい嘘をつく「ハルシネーション」を起こすという技術的限界も理解する必要があります。AIが脆弱性ではない部分を誤って指摘する「誤検知(フォールス・ポジティブ)」や、真の脆弱性を見逃すリスクがあるため、セキュリティ診断を完全にAIに丸投げすることは現時点では危険です。
日本企業のAI活用への示唆
以上の動向と課題を踏まえ、日本企業がサイバーセキュリティや自社プロダクト開発においてAIを活用するための実務的な示唆を3点に整理します。
第1に、「防御におけるAIの標準化」を見据えた戦略立案です。セキュリティベンダーが提供する製品へのAI組み込みが進む中、自社のIT部門やCSIRT(セキュリティ対応チーム)の業務プロセスに、いかにAIによる効率化を組み込むかをロードマップとして描く必要があります。
第2に、ガバナンスとデータ保護の両立です。情報漏洩リスクを過度に恐れてAI利用を一律禁止するのではなく、機密レベルに応じたガイドラインを整備し、セキュアな閉域網でのAI利用や、エンタープライズ向け契約を活用するなど、安全にツールを活用できる環境を経営主導で整えることが重要です。
第3に、専門家(人間)を介在させるプロセスの構築です。AIは膨大なコードの中から怪しい箇所を洗い出す「副操縦士(コパイロット)」としては非常に優秀ですが、最終的な脆弱性の判定や修正方針の決定には、コンテキストを理解できるエンジニアの判断が欠かせません。「AIによる圧倒的な効率化」と「人間による品質・安全性の担保(Human-in-the-loop)」を組み合わせたハイブリッドな組織能力を構築することが、今後の企業競争力を左右するでしょう。