話題の「Claude Mythos」登場で変わるセキュリティ AIエージェント時代の防衛策
AIによる攻撃が、月単位から時間単位で現実化する可能性が高まっている。最新AIモデルの登場で脆弱性発見の能力が広がる一方、企業ではAI利用のルールや管理体制が追い付いていない。AIエージェント時代に求められる新たな防衛策とは何か。
AIが脆弱(ぜいじゃく)性を自律的に発見し、悪用する時代が現実味を帯びてきた。こうした中、企業では生成AIの利用拡大に対して管理体制の整備が追い付いていない実態も浮かび上がっている。サイバーセキュリティクラウド(CSC)とDataSignは、AI時代に求められるセキュリティ対策とガバナンス戦略を明かした。
左からサイバーセキュリティクラウドの渡辺洋司氏(代表取締役CTO)、DataSignの太田祐一氏(代表取締役)、サイバーセキュリティクラウドの山田ケイ氏(プロダクト本部長)(写真提供:サイバーセキュリティクラウド)
Claude Mythosで変わる攻撃リスク、AI活用企業が見直すべき防御
渡辺氏は、セキュリティ企業Intruderの調査結果を引用し、公開状態にある「Ollama API」の31%が認証なしで運用されていることを指摘した。また、AIに機能を追加する「スキル」と呼ばれる拡張機能についても、公開されている2857件のうち341件(約12%)で不正な挙動が確認されたという。
この状況に対し、「十分な検証や管理体制が整わないまま、AIの導入だけが急速に進んでいる」というのが、渡辺氏の見方だ。
こうしたリスクをさらに高めているのが、最新AIモデルによる攻撃能力の向上だ。Anthropicが2026年4月に発表した「Claude Mythos Preview」は、主要なOSやWebブラウザに存在するゼロデイ脆弱(ぜいじゃく)性を自律的に発見し、悪用できる能力を持つとされる。また、AI Safety Institute(AISI)の評価では、専門家レベルの攻撃タスクにおいて73%の成功率を記録した。
渡辺氏は、「脆弱性の発見自体は、これまでも高度な専門知識を持つ攻撃者であれば可能だった。だが、今後は、その能力が一般の利用者にも広がり、脆弱性の発見から悪用までを容易に実行できる時代になるだろう」とみている。
AIの進化によって、脆弱性の発見から攻撃に至るまでの時間は、従来の週単位・月単位から、時間単位・分単位へと短縮されつつある。その結果、攻撃手法のサービス化や低コスト化も進み、これまで以上に幅広い組織がリスクにさらされる可能性が高まっている。
こうした状況を受け、規制当局の対応も進んでいる。金融庁と日本銀行は2026年5月22日、脆弱性の発見から攻撃までの期間が大幅に短縮される可能性があるとして、金融機関に対して注意喚起を行った。その中で、Web Application Firewall(WAF)による「仮想パッチ」の活用など、多層的な防御対策の強化を推奨している。
渡辺氏は、こうした課題は金融業界だけに限らず、あらゆる業種に共通する問題だと強調する。
企業が取り組むべき対策として、渡辺氏は2つの柱を挙げた。1つ目は、WAFによる仮想パッチを活用し、アプリケーションの修正が完了するまでの間も防御を維持すること。2つ目は、外部から攻撃可能な対象領域(アタックサーフェス)を減らし、そもそも攻撃されにくい環境を構築することだ。
CSCは、こうした考え方を基盤にAIセキュリティ事業を本格的に展開する方針を示した。渡辺氏は、これまで培ってきたクラウドアプリケーションセキュリティの知見をAI分野にも応用し、AI・LLM(大規模言語モデル)向けの脆弱性診断やリアルタイム防御、さらにクラウド設定監視に相当するAIシステムのセキュリティ管理サービスへ事業領域を広げていく考えを明かした。
「禁止しても使われるAI」、企業に迫る管理体制の見直し
CSCプロダクト本部長の山田ケイ氏は、生成AIの利用実態に関する自社調査を紹介し、企業におけるAI活用とガバナンス整備の遅れを明らかにした。
同調査によると、「生成AIが突然利用できなくなった場合、業務にどの程度影響するか」という問いに対し、「業務がほぼ止まる」「大きく影響する」「やや影響する」と回答した人の合計は65.3%に達した。山田氏はこの結果について、「生成AIはすでに業務インフラの一部になっている」と分析する。
一方で、組織の統制と従業員の実際の利用状況との間には大きな隔たりも見られる。勤務先で生成AIの利用が禁止された場合については、37.8%が「別の手段を使ってでも利用を続ける」と回答し、さらに7.2%は「利用できなければ転職を検討する」と答えた。業務における生成AIへの依存の強さが浮き彫りとなった形だ。
また別の調査では、勤務先における生成AI利用ルールについて「ルールがない」または「分からない」と回答した人が45%(300人中135人)に達した。生成AIの活用が急速に広がる一方で、利用を管理する体制やガバナンスの整備が追い付いていない実態が浮かび上がる。
山田氏は、「利用者は既にAIを業務の前提として活用している一方で、管理側では十分な統制体制を整えられていないケースが多い。この利用現場と管理体制のギャップが、現在の大きな課題となっている」とコメントする。
さらに、生成AI利用に伴うリスクも顕在化している。業務で生成AIを利用している人の約35%、約3人に1人が「ヒヤリとした経験がある」と回答し、そのうち13.9%は実際に問題へ発展した経験があるという。
生成AIの活用が加速する中、利便性を高めるだけでなく、適切なルール策定や管理体制の構築など、利用とリスク管理を両立する取り組みが求められている。
山田氏は、こうした調査結果を踏まえ、企業が向き合うべきAI活用の課題を3つの経営アジェンダとして整理した。
1つ目は「シャドーAI」の拡大だ。従業員が組織の把握や管理が及ばない形でAIを利用することで、情報管理やセキュリティ面でのガバナンス上の空白が生じる。2つ目は、プロンプトやMCP(Model Context Protocol)の利用による機密情報の漏えいリスクだ。3つ目は、AIによる意思決定に対する説明責任の強化だ。AIの判断根拠や処理プロセスについて、監査や規制対応の観点から透明性がより求められる。
山田氏は、「自社のデータを、自社の判断で、自社のAIによって適切に管理・活用できているか。この問いへの対応が、AI時代における企業の競争力と信頼性を左右する」と述べ、この考え方を「データ主権」と位置付けた。データ主権の対象は、単なるデータ管理にとどまらず、AIエージェントの利用や制御にも広がるという。
こうした課題への対応策として、山田氏が示したのが、米調査会社Gartnerが提唱する「AI TRiSM」(AI Trust, Risk and Security Management)の考え方だ。AIの信頼性とリスク管理、セキュリティを一体的に管理するためのフレームワークであり、同社グループではこれを今後の事業戦略の中核に据える方針だ。
具体的には、AIや情報ガバナンス領域をDataSignが担い、AIの実行環境における防御やインフラセキュリティをCSCが担うことで、AI TRiSMの各領域をグループ全体でカバーする体制を構築していく。
山田氏は、「誰が、いつ、どのデータに対して、どのAIを利用し、どのような処理を実行した結果、その出力が生成されたのか。一連のプロセスを後から検証できる状態を実現することが重要だ」と説明した。
その上で、データ主権の確立は単なる規制対応ではなく、AI活用時代において顧客や社会からの信頼を維持するための重要な経営基盤になるとの考えを示した。
AIエージェント時代の盲点、野放しのデータ連携をどう防ぐか
山田氏が示したグループ戦略の中で、AIと外部データの接続をどのように管理・制御するかという課題について説明したのが、DataSign代表取締役の太田祐一氏だ。太田氏は、AIエージェント時代の重要な基盤技術として普及が進むMCP(Model Context Protocol)に焦点を当て、その利便性と同時に、企業が向き合うべきリスクや管理手法について解説した。
MCPは、AIと「Gmail」「Notion」「Slack」などのSaaSや、業務システムを接続するための共通仕様だ。Anthropicが提唱し、その後OpenAIやMicrosoft、Googleも対応を進めたことで、AIエージェントを活用するための基盤技術として注目されている。
MCPを利用することで、AIはメールの要約や返信、スケジュール調整など、従来は人が担っていた作業を自律的に実行できるようになる。一方で太田氏は、その利便性の裏側にあるガバナンス上の課題を指摘した。
「現在のMCP接続は、十分に管理されないまま利用されているケースが多い。管理部門が利用状況を把握できていない企業がある一方で、リスクを懸念して全面的に禁止する企業も存在する。その結果、『利用を制限する』か『把握できないままリスクを抱える』という二極化が起きている」
MCPによってAIに権限を付与すると、ユーザーがアクセスできるデータや機能をAIも利用できるようになる。例えばGmailと接続した場合、メール本文に含まれる個人情報や機密情報をAIが参照でき、設定によっては取引先へのメール送信まで可能になる。
また、どのAIにどの権限が与えられているのかを管理者が把握しにくく、問題が発生した際にデータの流れや操作履歴を追跡できないことも大きな課題となる。
実際に、AIが生成した返信メールに第三者をBCCとして追加する攻撃や、「GitHub」向けの公式MCPサーバがプロンプトインジェクション攻撃を受け、非公開リポジトリの情報が流出した事例も報告されている。
こうした課題に対応するため、DataSignはAIガバナンス基盤「AI MONBAN」を開発した。同製品は、AIとデータソースの間に配置されるゲートウェイとして機能し、利用するAIやアクセス可能なデータ、利用者ごとの権限を一元管理する。
さらに、AIへデータを渡す際には個人情報を自動的にマスキングし、全ての操作履歴を監査ログとして記録することで、問題発生時に検証可能な環境を実現する。
例えば、「ChatGPT」にはGmailの閲覧権限のみを付与し、メール送信権限は与えないといった細かな制御が可能になる。また、許可したMCPサーバのみ接続対象とすることで、不正な経路からの情報流出や、第三者をBCCに追加するといった攻撃を接続段階で防ぐことができるという。
太田氏は、AI活用を安全に進めるためには、単に利用を制限するのではなく、AIが扱うデータや権限を可視化し、適切に管理できる仕組みの構築が不可欠だと説明した。
もっとも、企業が管理すべき対象はMCP経由のデータ連携だけではない。従業員が生成AIのチャット画面に顧客情報や機密情報を直接入力した場合、MCPを介さず外部のAIサービスへ情報が送信される可能性があるためだ。
こうしたリスクに対応するため、DataSignは今回の発表に合わせて「AI MONBANセキュアチャット」を提供する。同サービスは、ユーザーが入力した個人情報や機密情報を自動的に検知し、マスキング処理施し上でAIへ送信する仕組みを備えている。
企業が本サービスの利用を従業員に徹底することで、MCPを通じたデータ連携と、チャット画面からの情報入力という2つの経路を一元的に管理できるようになる。
太田氏は、「MCPを活用したいと考えていても、社内ポリシー上の制約によって接続できない、あるいはAIエージェントを十分に活用できない企業は多い。AI MONBANを導入することで、そうした環境でもリスクを管理しながらAI活用を進められる。“安全に攻める”ことがコンセプトだ」と説明した。
運用管理は情報システム部門などが担い、販売はCSCとDataSignが共同で展開する。提供形態はSaaSで、2026年6月9日に提供を開始した。
今後は、MCPに対応していない社内システムとAIを接続するためのプロトコル変換機能や、業務用途に応じて複数のAIを選択できるAIマーケットプレースの提供も予定している。
両社は今回の取り組みを通じて、AI活用の拡大を前提としながら、その利用状況やデータの流れを可視化・統制する仕組みを整備し、利便性とガバナンスを両立できるAI活用環境の実現を目指している。
Copyright © ITmedia, Inc. All Rights Reserved.