ニュース

ミュトスがあれば安全なのか LayerXが語るAIサイバー防御

  • 浅井 淳志

2026年6月5日 18:16

LayerXは5日、AIによるサイバーセキュリティ環境の変化をテーマとした報道関係者向け勉強会を開催した。Anthropicのフロンティアモデル「Claude Mythos(ミュトス)」の登場に象徴されるAIモデルの進化により、サイバー攻撃に応用可能なAIの能力が高まっている現状と、防御側がとるべき対策について解説された。

同社は4月、AIエージェントを活用した全自動ペネトレーションテストツール「AgenticSec Pentest」を開発した企業のAgenticSecをグループに迎え、新たにセキュリティ事業を開始した。同ツールは、インターネット経由での侵入から内部アクセス獲得までの初期侵入プロセスの自動化を世界で初めて達成している。

AgenticSec Pentest

勉強会では、AgenticSec 代表取締役CEOの中谷翔氏が登壇。同氏は、AIによる脆弱性検知能力が2025年頃から実用レベルに達したと説明。さらに、ミュトスの登場により、脆弱性検知だけでなく、これまで高度な専門知識を持つ人間のみが行なえていた攻撃コードの作成もAIが行なえることが明らかになり、AIによる攻撃能力を大きく変えたと述べた。

こうした懸念から、ミュトスは一般公開されておらず、一部の金融機関やセキュリティ企業に限定して提供し、サイバーセキュリティの「準備」のための活用を開始しているのが現状だ。

AgenticSec 中谷翔CEO

しかし、ミュトス以外のフロントティアモデルにおいても、脆弱性情報をもとにフロンティアモデルを活用して攻撃を準備できてしまう。攻撃準備に要する時間は大幅に短縮され、脆弱性公開当日から攻撃が始まる一方、企業側の修正には平均で約2カ月を要するといい、脆弱性の悪用と修復の間で、防御側に不利な「時間差」が拡大していると指摘した。

中谷氏はこうした状況への対応策として、特定の脆弱性対応からシステム全体を包括的に守る「点から面への転換」、攻撃の高速化にあわせて継続的に自動検証する「検証の高頻度化」、パッチ適用のためにシステムを停止させない「止めずに直せる基盤」、自動で攻撃を仕掛ける相手との速度差を埋めるため、AIで自動化し人間の介入を減らす「検知から修正までの自動化」の4つを提示した。

ミュトスがあれば安全なのか

ミュトスの登場以降、最先端フロンティアモデルにアクセスできなければ防御側として非常に危険ではないかという見方がある。中谷氏はこれに対し、重要なのはフロンティアモデルへのアクセスそのものではなく、その能力を引き出す仕組みを構築できるかどうかだと指摘した。

AIエージェントは、LLMなどの「モデル」と、その周辺でモデルの出力を検証・補正する「ハーネス」によって構成される。サイバーセキュリティの分野では脆弱性を発見することと、実際に攻撃を成立させることは要求されるレベルが異なり、モデルをそのまま使うだけでは不十分で、ハーネスが揃って初めて高い能力が発揮される。

同氏は、ミュトスがベンチマークで突出したスコアを記録しているのも、モデル単体の力ではなく、ハーネスとの組み合わせによる結果だと説明。そのため、特定のフロンティアモデルの有無に過剰に反応するのではなく、自社のシステムにあわせてハーネスを構築し、AIモデルの能力を引き出すことが、防御側にとっての勝負の分かれ目となるとした。

また中谷氏は、サイバーセキュリティでは攻撃側が有利になる構造的な非対称性があると指摘。攻撃者は1つでも脆弱性を見つければ、それを多数のターゲットに試すことができ、どこか1カ所でも成功すれば目的を達成できる。一方、防御側は自社の資産全体をさまざまな攻撃から守り続ける必要があり、この非対称性が防御を難しくしているという。

これは、防御側がミュトスのようなフロンティアモデルを活用できたとしても、攻撃側が有利な状況は変わらないと同氏は語る。

AIサイバー攻撃時代の国内動向

国内では、メガバンクがミュトスのアクセスをいち早く確保するなど、AIを用いたセキュリティ対策で金融インフラが先行している。中谷氏はその理由として、金融機関が金銭目的の攻撃の標的になりやすく、社会インフラとしての重要性も高いことを挙げた。

金融機関に対しては、金融庁と日本銀行が5月22日に、フロンティアAIによるサイバー攻撃の脅威を踏まえた要請文書を公開している。同文書では、経営トップの関与のもと、1カ月程度を目途に資産管理や脆弱性管理の態勢を点検し、重要システムへのリソース配分やパッチ適用対象の把握、ベンダー対応力の確認などを進めるよう求めている。

官民の連携も加速しており、自民党を中心に立ち上げられたサイバーセキュリティ対策に向けた企業連合「日本版Project Glasswing」や、内閣官房を中心とした政府公式パッケージ「Project YATA-Shield」などを展開。政府の動きと並行して、企業もフロンティアモデルを活用した防御体制の構築が進みつつあるとした。

企業が取るべき対策は

中谷氏は、企業が取るべき対策についても説明。AIの登場によって攻撃速度は加速しており、あらゆる攻撃を完全に防ぐことは難しい。そのため、攻撃を受けることを前提に、検知・封じ込め・復旧を迅速に実施できる体制を構築することが重要だとした。

また、サイバーセキュリティにおける企業の生存策として、十分な予算や人員を継続的に確保する「経営アジェンダ化」、AIによる継続的な自動検証を行なう「検知・修正の自動化と高頻度化」、自社での開発や外部の専門的なツール導入を進める「内製またはセキュリティ製品の活用」、最新のAIを取り込み続けるハーネスを備えた「AI進化に追従する体制」の4点を挙げた。