投稿者 global-ai-media 
生成AIの能力向上は業務効率化を推進する一方で、サイバー攻撃の高度化という新たなリスクを生み出しています。Anthropic社がハッキング能力の高さを理由に新型AIモデル「Mythos」の完全公開を見送った事例をもとに、日本企業が直面するセキュリティ課題と、攻防両面でのAI活用のあり方を解説します。
生成AIが到達した「サイバー攻撃能力」の現実
近年、大規模言語モデル(LLM)をはじめとする生成AIの進化は目覚ましく、企業における業務効率化や新規サービス開発の強力な推進力となっています。しかし同時に、AIが持つ高度なコード推論能力や論理的思考力は、サイバー空間において予期せぬ脅威を生み出しつつあります。米Anthropic社は先日、同社の新型AIモデル「Mythos」について、サイバー攻撃を実行する能力が極めて高いことを理由に、完全版の公開を見送る決定を下しました。
研究者たちの指摘によれば、特定の一つのモデルに限らず、AI全般がハッキングや脆弱性(システムの安全上の欠陥)の発見において脅威的なレベルに達しつつあります。これまで高度な専門知識と膨大な時間を要していたシステムへの侵入経路の特定や、エクスプロイト(脆弱性を突く攻撃コード)の作成が、AIの支援によって大幅に効率化・自動化される可能性が高まっているのです。AI開発企業が自ら公開を制限する事態は、AIの能力が社会実装のスピードを超えて「実戦レベル」の脅威になり得ることを示唆しています。
「攻撃の民主化」がもたらす日本企業へのリスク
AIによるサイバー攻撃の高度化は、単に「凄腕のハッカーがさらに強力な武器を手に入れた」というだけにとどまりません。最大のリスクは、技術的な専門知識を持たない悪意ある人物であっても、AIとの対話を通じて洗練された攻撃を実行できてしまう「攻撃の民主化」にあります。
日本企業に目を向けると、この脅威は決して対岸の火事ではありません。特に日本では、SIer(システムインテグレーター)を中心とした多重下請け構造や、複雑なサプライチェーンが広く存在しています。攻撃者は、AIを用いてこれらのサプライチェーンの中からセキュリティが手薄な関連企業を自動的に洗い出し、そこを足がかりに本命の大企業へ侵入する「サプライチェーン攻撃」を容易に計画できるようになります。また、日本の組織文化においてしばしば見られる「縦割り組織」や「ITリテラシーのばらつき」を突く、AI生成の極めて自然で巧妙な日本語を用いた標的型フィッシングメールも、今後ますます増加・高度化することが予想されます。
防衛側における「AIの積極活用」というパラダイムシフト
AIを用いた自動化された攻撃に対抗するためには、防衛側である企業もまた、従来の手動ベースや静的なルールベースのセキュリティ対策から脱却する必要があります。攻撃のスピードと規模に追いつくためには、自社のセキュリティオペレーションセンター(SOC)やCSIRT(セキュリティインシデント対応チーム)の業務にAIを組み込み、脅威検知や脆弱性診断を高度化・自動化することが不可欠です。
たとえば、膨大なアクセスログの中から通常とは異なる微細な異常(アノマリー)をAIに検知させたり、自社開発のソフトウェアやプロダクトをリリースする前に、AIを用いた疑似的な攻撃テスト(レッドチーム演習)を実施して未知の脆弱性を洗い出したりするアプローチが有効です。これにより、慢性的なセキュリティ人材不足に悩む日本企業であっても、限られたリソースでより強固な防衛網を構築することが可能となります。
AIガバナンスとコンプライアンスの再定義
また、自社内でAIプロダクトを開発・導入する際のリスク管理も重要です。プロダクトに組み込んだLLMが、ユーザーの悪意あるプロンプト(指示)によってシステム内部の情報を漏洩させたり、意図せず攻撃コードを生成してしまったりするリスクを想定しなければなりません。
日本の個人情報保護法や、政府が定めるサイバーセキュリティガイドラインなど、法規制・コンプライアンス要件は年々厳格化しています。企業はAIを導入する際、単なる「便利なツール」としてではなく、「新たなリスクを伴うシステム基盤」として捉え直す必要があります。技術的なガードレールの実装だけでなく、AIの利用に関する社内ガイドラインの策定、従業員教育の徹底、そして万が一インシデントが発生した際の責任分界点と報告プロセスの明確化といった、包括的なAIガバナンス体制の構築が急務となっています。
日本企業のAI活用への示唆
AIのサイバー攻撃能力の進化という現実を踏まえ、日本企業が今後AIを活用、あるいはAIの脅威から自社を守るために押さえておくべき実務的な示唆は以下の通りです。
第一に、AIのリスクを正しく評価し、過剰に恐れることなく「防御の武器」として取り入れることです。攻撃側がAIを駆使する以上、防御側もAIを活用したログ監視や脆弱性診断を導入し、セキュリティ運用の自動化・効率化を進める必要があります。
第二に、サプライチェーン全体でのセキュリティ水準の底上げです。自社だけでなく、取引先や関連会社を含めたネットワーク全体が攻撃対象となり得ることを認識し、AIを用いた自動化された攻撃に耐えうる体制をステークホルダー全体で構築することが求められます。
第三に、組織横断的なAIガバナンスの確立です。IT部門やセキュリティ部門だけでなく、法務、コンプライアンス、事業部門が連携し、自社プロダクトへのAI組み込み時や社内利用時のガイドラインを継続的にアップデートしていく柔軟な組織文化の醸成が、安全で競争力のあるビジネス展開の鍵となります。