投稿者 global-ai-media 
Anthropicが発表した新プロジェクト「Project Glasswing」は、AIによるサイバー攻撃の脅威に対し、AIを用いて重要インフラやソフトウェアを防御する取り組みです。本記事では、生成AIがもたらす新たなセキュリティリスクと、日本企業が事業やプロダクトを守るために取るべき実務的なアクションを解説します。
AIの進化がもたらす「攻撃の高度化」とAnthropicの新たな一手
大規模言語モデル(LLM)をはじめとする生成AIの発展は、ビジネスに多大な恩恵をもたらす一方で、サイバー攻撃者にとっても強力な武器になりつつあります。例えば、自然な言語を操るAIを用いることで、標的型フィッシングメールの大量生成や、ソフトウェアの未知の脆弱性(ゼロデイ脆弱性)の自動探索などが、かつてないスピードと規模で行われる懸念が高まっています。
こうした中、AI開発企業のAnthropic(アンソロピック)は、AI主導のサイバー攻撃を防ぐための新プロジェクト「Project Glasswing」を発表しました。この取り組みは、世界の最も重要なソフトウェア(重要インフラや基幹システム)を保護するため、防御側にも高度なAIを活用しようというものです。攻撃側がAIを駆使する「オフェンシブAI」の時代において、防御側もAIを活用した「ディフェンシブAI」で対抗することは、もはや不可避のトレンドと言えます。
日本企業が直面するセキュリティリスクと組織文化の課題
日本国内に目を向けると、製造業や社会インフラなど、グローバルなサプライチェーンに深く組み込まれた企業が多く存在します。これらの企業が提供するプロダクトやシステムがサイバー攻撃の標的となれば、その影響は国内外に広く波及します。
しかし、日本の組織文化においては、「セキュリティ=コスト」と捉えられがちであり、最新のAIセキュリティツールの導入に対して慎重な姿勢をとる企業が少なくありません。また、稟議プロセスやコンプライアンス(法令遵守)の観点から、従来型のルールベースのセキュリティ対策や、人間の目視による監査プロセスに過度に依存しているケースも見受けられます。AIが自動的に脆弱性を突いてくる状況下では、人間の対応スピードだけでは後手に回るリスクが非常に高いという限界を認識する必要があります。
プロダクト開発とガバナンスにおける「AI防衛」の組み込み
今後、日本企業が新規事業としてAIを用いたサービスを立ち上げたり、既存プロダクトにAIを組み込んだりする際には、開発の初期段階からセキュリティを意識する「セキュリティ・バイ・デザイン」の考え方がより重要になります。これには、ソフトウェアのコードを書く段階でAIを活用して脆弱性をリアルタイムに検知・修正する仕組みの導入が含まれます。
同時に、AIを利用すること自体のリスク評価も欠かせません。AIモデルが誤ったセキュリティ判断を下す可能性(ハルシネーション)や、防御用AIの判断根拠がブラックボックス化する懸念があるため、最終的な意思決定のループには人間が介在する「ヒューマン・イン・ザ・ループ(Human-in-the-loop)」の体制を構築するなど、日本的な丁寧なガバナンス体制とAIの瞬発力を組み合わせることが現実的な解となります。
日本企業のAI活用への示唆
Anthropicの「Project Glasswing」の動向は、AIが単なる「業務効率化のツール」から、「システムや事業を守るための必須インフラ」へと役割を拡大していることを示しています。日本企業の実務者および意思決定者は、以下の要点を踏まえて対応を進めることが推奨されます。
第1に、「防御手段としてのAI」への投資検討です。攻撃手法がAI化・自動化する中で、旧来の防御手法の限界を認識し、セキュリティオペレーションセンター(SOC)の高度化や、脆弱性検知プロセスへのAI導入など、防御能力のアップデートに向けた投資を検討すべきです。
第2に、サプライチェーン全体でのセキュリティ基準の見直しです。自社だけでなく、開発パートナーや委託先も含めたサプライチェーン全体で、ソフトウェアの脆弱性管理にAIをどのように活用し、サイバーハイジーン(サイバー空間の衛生管理)を保つか、新たなガイドラインを策定することが求められます。
第3に、AIの限界を理解したガバナンスの構築です。AIは万能ではなく、誤検知や未知の攻撃に対する見逃しリスクも存在します。AIにすべてを委ねるのではなく、経済産業省などが定めるAI事業者ガイドラインなどを参照しつつ、インシデント発生時の責任分界点を明確にするなど、実務に即したAIガバナンス体制を整備することが不可欠です。