高性能AIは、便利な道具であると同時に、攻撃者にとっても強力な道具になり得る。経済産業省が電力分野の重要インフラ事業者24社に緊急点検を求めたのは、その現実が社会基盤の安全に直接つながり始めたためだ。
対象になったのは、大手電力会社と送配電事業者だ。経産省は各社に対し、自社のIT基盤や資産の把握、状況確認を行い、1か月を目途に担当部局へ報告するよう要請した。単なる注意喚起ではなく、電力という社会基盤を止めないための早期確認である。
なぜ今、電力分野に緊急点検なのか
きっかけの一つは、米Anthropicが開発した高性能AIモデル「Claude Mythos Preview(クロード・ミュトス・プレビュー)」だ。Anthropicは、このモデルが主要なOSやウェブブラウザに存在する未発見の脆弱性を見つけ、悪用につながる手順を組み立てる能力を持つと説明している。
脆弱性とは、ソフトウェアやシステムにある弱点のことだ。なかでもゼロデイ脆弱性は、開発元や利用者がまだ十分に把握していない、または修正が行き渡っていない弱点を指す。攻撃者に先に見つけられると、防御側はほとんど準備時間のない状態で対応を迫られる。
これまで、こうした弱点を見つけて実際に攻撃へつなげるには、高度な専門知識と時間が必要だった。だが高性能AIがコードを読み、弱点を探し、攻撃手順まで補助できるようになると、攻撃のスピードも規模も変わる可能性がある。経産省が早めの点検を求めた背景には、この「時間差」が縮まることへの警戒がある。
電力が止まると、影響は画面の中で終わらない
サイバー攻撃というと、個人情報の流出や企業サイトの停止を思い浮かべやすい。しかし電力分野では、影響は画面の中だけで終わらない。
発電所、送配電網、制御システム、通信ネットワークが攻撃を受ければ、停電や供給不安、設備の誤作動につながるおそれがある。電気が止まれば、工場、病院、交通、通信、金融、家庭生活まで広く影響を受ける。電力は、それ自体が産業であるだけでなく、ほかの産業を動かす土台でもある。
特に重要なのは、電力分野では通常のITシステムだけでなく、発電や送電設備を動かす制御系システムも関わる点だ。社内のパソコンやメールだけを守ればよいわけではない。実際の設備運用に関わる仕組みまで含めて、どこに弱点があるかを見直す必要がある。
経産省が示した3つの対策とは何か
今回の意見交換で、経産省は対応に向けたキーワードとして3点を挙げた。組織のトップによる主導、脆弱性情報の早期把握と対応、そしてゼロトラストへの移行である。
トップ主導とは、サイバー対策を情報システム部門だけに任せず、経営上の最優先課題として必要な人員や予算を確保することを意味する。経産省の赤澤亮正経済産業大臣も、問題が起きた場合は経営トップの責任であるとの認識を示している。
脆弱性情報の早期把握と対応は、AI時代には特に重要になる。攻撃者が弱点を見つける速度が上がるなら、防御側も自社のシステムや機器の状態を早く把握し、修正や回避策を急ぐ必要がある。
ゼロトラストは、社内ネットワークだから安全だとみなさず、アクセスのたびに確認する考え方だ。境界の内側に入られたら終わりという設計ではなく、侵入される可能性も前提にして被害を広げない仕組みを作る。経産省は、こうした対応を徹底することで相当程度リスクを抑えられるとの考えを示している。
問題は「AIが危険か」ではなく「誰がどう使うか」だ
今回のニュースを、AIそのものへの警戒だけで読むと少し見誤る。AIは攻撃にも使われ得るが、防御にも使えるからだ。
たとえば、攻撃者がAIを使って脆弱性を探すなら、防御側もAIを使って弱点を早く見つけ、修正し、監視を強める必要がある。新しい技術を遠ざければ安全になるわけではない。むしろ、攻撃側だけが新しい道具を使う状態のほうが危うい。
経産省も、高性能AIは未知の脆弱性の早期発見や是正によりセキュリティ向上に役立つ一方、悪意ある者に使われればサイバーセキュリティ上のリスクが一気に高まるおそれがあると説明している。論点は「AIを使うか使わないか」ではなく、「AIを前提にどう守るか」に移っている。
重要インフラ防衛は経営課題になった
電力、ガス、化学、クレジット、石油などの重要インフラ分野では、サイバー対策の遅れが事業継続に直結する。システム障害や供給停止が起きれば、利用者への影響だけでなく、企業の信用や規制対応にも関わる。
そのため、今回の要請は「新しいAIが出たので注意しよう」という技術ニュースにとどまらない。企業経営にとって、AI時代のサイバーリスクをどう管理するかという問題である。
特に重要インフラを担う企業では、攻撃を受けた後に対応するだけでは遅い。どのシステムが外部とつながっているのか、古い機器や未更新のソフトウェアが残っていないか、委託先やサプライチェーンに弱点がないか。こうした確認を、経営判断として継続的に行う必要がある。
一般の利用者にも関係があるのか
電力分野への緊急点検と聞くと、一般の利用者には遠い話に見えるかもしれない。だが、実際には生活にかなり近い。
電気はスマートフォンの充電や家電だけでなく、交通信号、病院、決済端末、通信基地局、工場の生産設備を支えている。どこか一つの大きな仕組みが止まれば、日常の別の場所にも影響が広がる。
また、投資や企業分析の面でも、サイバー対策は見過ごしにくい要素になっている。AI関連企業や半導体、クラウド、サイバーセキュリティ企業への需要が高まる一方で、重要インフラ企業には防衛投資や管理体制の強化が求められる。AIの進化は成長テーマであると同時に、守る側の備えの重要性を高めるテーマでもある。
次に見るべきなのは「点検したか」だけではない
今後の焦点は、電力分野の24社が1か月を目途にどのような報告を行うかだ。ただし、見るべき点は「点検したかどうか」だけではない。
重要なのは、点検で見つかった課題に対して、どの程度の速度で対策が進むかである。脆弱性の修正、監視体制の強化、訓練、経営層の関与、委託先を含むサプライチェーン管理まで踏み込めるかが問われる。
高性能AIの登場によって、攻撃側の手間が減るなら、防御側も従来の速度では足りなくなる。これは、AIが社会を便利にするという話の裏側にある、もう一つの現実だ。
AI時代のインフラ防衛では、「危険だから使わない」だけでは答えにならない。攻撃にも防御にも使える技術を前提に、どこまで早く弱点を見つけ、どこまで責任を持って直せるか。その備えが、これからの社会基盤の強さを左右しかねない。
(本稿は各種公開情報をもとに作成した。一部数値は記事掲載時点の情報である)
