高性能AIが、企業のサイバーセキュリティ対策に現実的な影響を及ぼし始めている。
米国のAI企業Anthropicが開発した最新AIモデル「Claude Mythos Preview」をめぐり、国内のセキュリティー会社には、企業から影響や対応方法についての問い合わせが相次いでいるという。背景にあるのは、このモデルがソフトウェアやシステムの脆弱性を見つける能力で高い性能を示していることだ。
今回の話は、「AIがサイバー攻撃を強くする」という単純なものではない。より重要なのは、攻撃側も防御側も、脆弱性を見つける速度が一段上がる可能性があるという点である。企業にとっては、弱点を見つけて直すまでの時間を、これまで以上に短くする必要が出てきている。
Claude Mythosで何が注目されているのか
Claude Mythos Previewは、Anthropicが開発した最新AIモデルである。AnthropicはClaudeシリーズを展開する米国のAI企業で、非上場企業である。
今回注目されているのは、文章生成やプログラミング支援だけではない。ソフトウェアのコードやシステムの構成を調べ、脆弱性を見つける能力が高いとされている点だ。
脆弱性とは、ソフトウェアやシステムにある弱点のことを指す。攻撃者がその弱点を突けば、不正アクセス、情報流出、システム停止などにつながるおそれがある。これまでも脆弱性の発見と修正は、企業のセキュリティ対策の中心だった。
ただし、そこに高性能AIが入ると、状況が変わる。人間の専門家が時間をかけて調べていた弱点を、AIがより速く見つけられるようになる可能性があるためだ。
これは防御側にとっては大きな利点になる。自社システムの弱点を早く見つけ、被害が出る前に修正できるからである。一方で、同じ能力が悪用されれば、攻撃側も未知の弱点を短時間で探せるようになる。ここに、今回の警戒感がある。
「ゼロデイ脆弱性」が問題になる理由
今回のニュースを理解するうえで重要なのが、「ゼロデイ脆弱性」という言葉だ。
ゼロデイ脆弱性とは、開発元や利用者がまだ十分に把握していない未知の弱点のことをいう。通常、ソフトウェアに弱点が見つかると、開発元が修正プログラムを出し、利用者がアップデートする。しかしゼロデイの場合、修正プログラムが出る前に攻撃者が弱点を突く可能性がある。
そのため、ゼロデイはサイバー攻撃の中でも特に危険度が高い分野とされる。
高性能AIがこの領域に入ってくると、問題は「新しい種類の攻撃が生まれるかどうか」だけではなくなる。むしろ、これまで時間がかかっていた弱点探しが速くなることが大きい。
弱点が早く見つかれば、防御側は早く修正できる。一方で、攻撃側が先に見つければ、企業が気づかないうちに攻撃される可能性が高まる。つまり、AI時代のサイバー防衛では、発見から修正までの時間差がこれまで以上に重要になる。
Anthropicは防御目的の取り組みとして説明
Anthropicは2026年4月7日、Project Glasswingを発表した。同社によれば、この取り組みは重要ソフトウェアの安全確保を目的とし、Claude Mythos Previewを防御側のセキュリティ作業に使うものだ。
同社は、Mythos Previewが主要なOSや主要ブラウザーに存在するゼロデイ脆弱性を発見し、場合によっては悪用の実証コードまで構築できたと説明している。AnthropicのRed Teamブログでは、OpenBSDの古い脆弱性やFreeBSDに関する例なども示されている。
ただし、Anthropicはこのモデルを一般公開する予定はないとしている。防御側が先に重要システムを補強できるよう、限定的なパートナーに提供する方針だ。
ここで見落としてはいけないのは、Claude Mythosが「攻撃専用AI」として発表されたわけではないことだ。狙いは、防御側が脆弱性を早く見つけ、早く修正することにある。しかし、同じ能力は悪用されれば攻撃にも使える。そのため、セキュリティ業界や金融当局が警戒している。
金融当局も関心を寄せるテーマに
この問題は、IT企業やセキュリティ業界だけの話にとどまらない。
Reutersは2026年5月18日、Financial Timesの報道として、AnthropicがClaude Mythosで明らかになった金融システム上のサイバー脆弱性について、金融安定理事会、FSBのメンバーに説明する予定だと伝えた。報道では、イングランド銀行総裁でFSB議長でもあるアンドリュー・ベイリー氏の要請を受けたものとされる。ただし、Reutersはこの報道を直ちに確認できなかったとも記している。
FSBは、G20各国の金融当局などが関与する国際的な金融規制調整機関である。つまり、AIによる脆弱性発見能力は、銀行、決済、金融インフラの安定性にも関わるテーマとして扱われ始めている。
金融機関には、古いシステムや複雑に接続された基幹システムが残っている場合がある。そこに高度なAIが関わると、攻撃者が弱点を探す速度が上がるリスクがある。一方で、防御側がAIを使えば、これまで見落としていた弱点を早く見つけられる可能性もある。
問題は、AIそのものが危険かどうかではない。企業や金融機関の防御体制が、AIによって速くなる脆弱性発見のスピードに追いつけるかどうかである。
日本企業に求められる対応
一般企業にとって重要なのは、「Claude Mythosを使えるかどうか」ではない。
むしろ、自社のセキュリティ体制がAI時代の速度に対応できるかどうかだ。国内のセキュリティー会社に問い合わせが相次いでいるのも、企業側がこの変化を現実的な課題として受け止め始めているためとみられる。
まず必要なのは、自社が使っているソフトウェアやシステムを把握することだ。何を使っているのかが分からなければ、どこに弱点があるかも分からない。
次に、古いシステムや放置されたシステムを減らす必要がある。使われていないように見えるシステムでも、外部とつながっていれば攻撃の入り口になり得る。
脆弱性情報が出たときに、すぐ修正できる体制も重要になる。情報を知っていても、社内の確認や承認に時間がかかりすぎれば、その間に攻撃されるおそれがある。
さらに、外部委託先やサプライチェーンのリスクも確認する必要がある。自社のシステムだけを守っていても、取引先や委託先を経由して攻撃される可能性があるためだ。
防御側でもAIを活用し、点検や監視の速度を上げることも選択肢になる。素材に登場するセキュリティー会社も、AIを使ってシステムの脆弱性を点検し、深刻度をスコア化するサービスを提供しているという。
AI時代のサイバー防衛は「早く見つけ、早く直す」へ
今回のニュースが示しているのは、AIがサイバー攻撃を突然まったく別物にするという話ではない。
より本質的なのは、脆弱性を見つける速度そのものが上がり、攻撃側と防御側の時間差が縮まりつつあることだ。
これまでのセキュリティ対策では、弱点を見つけ、優先順位をつけ、順番に修正していく流れが一般的だった。しかし、AIによって弱点がより速く見つかるようになれば、対応の遅さそのものが大きなリスクになる。
企業に求められるのは、過度な不安ではない。自社のシステムを把握し、古い弱点を減らし、脆弱性情報が出たときに素早く修正できる体制を作ることだ。
そして、防御側もAIを道具として取り込む必要がある。AIによって攻撃側の作業が速くなる可能性があるなら、防御の速度も上げなければならない。
Claude Mythosをめぐる警戒は、特定のAIモデルだけの問題ではない。企業のサイバー防衛が、「早く見つけ、早く直す」体制へ移らなければならないことを示すサインといえる。
(本稿は各種公開情報をもとに作成した。一部数値は記事掲載時点の情報である)
