2026年4月7日、AnthropicはClaude Mythos Previewを発表した。このモデルはゼロデイ脆弱性を自律的に発見・連鎖させる能力を持ち、一般公開前の段階ですでに主要OS・ブラウザで数千件のゼロデイを発見している。現在はProject Glasswingと呼ばれる招待制コンソーシアム(Amazon、Microsoft、Nvidia、Appleなどが参加)に限定されているが、その能力は既存の全セキュリティ前提を根底から覆すものだ。
Claude Mythosの登場は、単なる「より賢いAIツール」の追加ではない。セキュリティの世界における時間軸と技術バリアの両方を同時に崩壊させる出来事だ。
これまでの脆弱性対応は「発見→CVE登録→パッチ開発→適用」というサイクルが成立していた。攻撃者がゼロデイを武器化するには高度な専門知識と時間が必要だったため、多くの組織はこの窓を活用して対処できていた。
Mythosはこの「猶予期間」を事実上ゼロにする。モデルは自律的に脆弱性を発見し、それを連鎖・組み合わせて攻撃チェーンを構築する。専門知識のないアクターでさえ、AIに指示するだけで高度な攻撃が可能になる世界が到来しつつある。
「脆弱性発見から兵器化までの窓が数週間から数時間へ——これは量的変化ではなく、質的変化だ。防御側はもはや後追いではなく、リアルタイムの対応能力を持たなければならない。」
— Dynatrace Security Research, 2026年5月
コードスキャナー、静的解析、パイプラインチェックといった従来ツールには根本的な問題がある。それは本番環境で実際に何が動いているかを見られない点だ。数千件の結果を生成しても、どれが実際に悪用可能かを判断できず、アラート疲れと対応の遅れを招く。さらに、本番環境は静的ではない——毎日複数回デプロイが走り、コンテナが起動・停止し、依存ライブラリが変わる。「数時間前のスキャン結果」はMythos時代において無意味に等しい。
⬡
①リアルタイム・ランタイム脆弱性検知への移行
静的スキャンを補完または置き換える形で、本番環境をリアルタイムで監視するランタイムセキュリティを導入する。「実行中のコンポーネントにのみ存在する脆弱性」「実際にネットワークから到達可能な脆弱性」に絞ったリスク評価が不可欠。Dynatraceなどのランタイム検知プラットフォームはこの方向に特化した機能強化を急速に進めている。
②パッチ適用サイクルの劇的な短縮
従来の「月次パッチ」モデルは機能しない。CVE公開から数時間以内に攻撃コードが生成されうる環境では、クリティカルパッチの適用を24〜48時間以内に完了させるプロセスと組織体制が必要だ。自動化されたCI/CDパイプラインにセキュリティゲートを組み込み、パッチ適用を人的依存から切り離す。
③ゼロトラスト・アーキテクチャの徹底
AIによる攻撃は侵入後の横展開を加速させる。「内部は安全」という前提を捨て、すべてのアクセスを検証するゼロトラストモデルへの移行が急務。ネットワークセグメンテーション、最小権限原則、継続的な認証・認可検証を組み合わせ、侵害の爆発半径を最小化する。
④AI-vs-AIの防御体制構築
攻撃がAI駆動になる以上、防御もAI駆動でなければ追いつかない。SOC(セキュリティオペレーションセンター)へのAIアシスタント導入、AIによる異常検知・インシデントトリアージ、自動化された脅威インテリジェンス収集と相関分析を組み合わせる。人間のアナリストはAIが絞り込んだ高優先度案件に集中できる体制を目指す。
⑤オープンソース依存のリスク管理強化
Mythosが急増させるのはゼロデイだけでなく、既存OSS(オープンソースソフトウェア)の脆弱性発見スピードでもある。サプライチェーン攻撃への耐性を高めるため、SBOMの整備と自動更新、依存パッケージの継続的な脆弱性モニタリング、OSS利用方針の厳格化が必要になる。
⑥サードパーティ・ベンダー管理の強化
Mythos Preview自体の最初の不正アクセスが「サードパーティベンダー環境」経由だったことは示唆的だ。自社のセキュリティを固めても、委託先・ツール提供事業者の穴から侵入されるリスクが高まっている。ベンダーセキュリティ評価の定期実施、最小権限アクセス付与、異常アクセスの監視が求められる。
⬡
- □本番環境のランタイム脆弱性スキャン体制の評価・導入検討 緊急
- □クリティカルCVEのパッチ適用SLAを72時間以内に短縮 緊急
- □ゼロトラスト移行ロードマップの策定・経営承認 緊急
- □SOCへのAI支援ツール導入検討(SIEM/XDRのAI強化) 3ヶ月以内
- □全システムのSBOM(ソフトウェア部品表)整備 3ヶ月以内
- □サードパーティベンダーのセキュリティ評価実施 3ヶ月以内
- □インシデントレスポンス計画のAI脅威前提での見直し 6ヶ月以内
- □従業員向けAIフィッシング対策研修の実施 6ヶ月以内
- □セキュリティ予算の対AI脅威シフトを取締役会へ提案 計画的に
⬡
銀行・保険・クレジットなど金融セクターの大規模システムを運用する組織は、規制対応という追加的なプレッシャーを抱える。PCI DSS、金融庁ガイドライン、FISC安全対策基準はいずれもAI脅威の台頭に追いついていない面があるが、「規制が要求していないから対応しない」という判断は今後通用しない。
メインフレームや長期稼働基盤系システムは、パッチ適用サイクルの短縮が難しい。この現実を踏まえ、ネットワーク分離・マイクロセグメンテーションによる被害局所化を優先すべきだ。完全移行の前に、侵害されても爆発半径を最小化できる設計を先行させる。
Mythosの能力は外部攻撃者だけでなく、内部不正のリスクも増幅させる。AIによる異常な内部アクセスパターンの検知、UBA(ユーザー行動分析)ツールの強化が、金融系組織では特に重要になる。
Claude Mythosが示したのは、AIが防御の道具であると同時に、これまでにない攻撃能力の源泉になりうるという現実だ。この変化は不可逆的で、Mythos相当の能力は遅かれ早かれ広く使われるようになる。
重要なのは、パーフェクトな防御を目指すことではなく、「攻撃された時に被害を最小化し、迅速に回復できる組織」を作ることだ。リアルタイム検知、ゼロトラスト、AI防御、パッチ高速化——これらは選択肢ではなく、Mythos時代を生き抜くための必須インフラとなった。
投資判断は今が臨界点だ。インシデントが起きてから動くのでは、もはや間に合わない。
コメントを残す