Anthropicが「Claude Mythos Preview」と「Project Glasswing」を発表したことで、企業の取締役会はサイバーセキュリティガバナンスにおいて大きな贈り物を手にした。これはAIを活用した脆弱性発見とサイバーセキュリティにおける重要な業界動向を示すものである。
この取り組みがすでに約1万件の深刻なサイバーセキュリティ上の欠陥を特定したとする先週の発表更新を受け、Anthropicは強力な最先端AIモデル「Claude Mythos Preview」を選別して公開し、防御的サイバーセキュリティの取り組みを開始した。これらのツールを広く一般に公開せず、悪意ある側が利用できないように抑制している。これは脆弱性発見をはるかに超え、サイバーセキュリティの善玉と悪玉の戦いにおける転換点をもたらした。
優位に立つのはサイバーセキュリティの善玉:ただし一時的に
Anthropicはサイバーセキュリティに注力する戦略的・システム的に重要な組織にMythosを提供することで、悪玉の攻撃者と善玉の防御者の間のパワーバランスを一時的に変化させた。
企業の取締役会にとって、その重要性は単なる技術面にとどまらない。AIを活用した脆弱性発見は、善玉の防御側に一時的な戦術的優位を与えるかもしれない。しかし真のガバナンス上の問いは、経営陣がこの診断能力の向上と潜在リスクの可視化を、優先順位付けされた修復、より強固な予防、そして持続的なサイバーレジリエンスへと転換できるかどうかにある。
今月初めの公開に際し、Anthropicはそのリスクについて次のように説明した。
Mythos Previewはすでに数千件の高深刻度の脆弱性を発見しており、その中には主要なOSやウェブブラウザすべてに存在するものも含まれる。AIの進歩の速度を踏まえると、こうした能力が、安全に展開することにコミットしていない主体にまで広がる可能性を含め、増殖するまでそう時間はかからないだろう。その影響は、経済、公共の安全、国家安全保障にとって深刻なものとなり得る。Project Glasswingは、これらの能力を防御目的で活用するための緊急の試みである。[1]
Project Glasswingは、ローンチパートナーを厳選して戦略的に束ねたもので、彼らはClaude Mythos Previewを「防御的セキュリティ業務の一環」として用い、「重要なソフトウェア基盤に焦点を当て、モデルを用いて自社開発システムとオープンソースシステムの双方をスキャンし、保護できるようにする」という。
Glasswingは、ある1社の弱点が他の多くの組織にリスクを生み得るという、サイバーセキュリティにおける分散型リスクの課題に対処している。この問題には集合的セキュリティのモデルが欠けているが、GlasswingによるClaude Mythosの厳選かつ戦略的な提供は、悪用される前にデジタル経済の重要なレイヤーを普遍的に強化していくための一歩として、修復における協働(コレクティブな協力体制)の確立を後押しする。
1万件超の新たな脆弱性、そして増加中
Mythos Previewは、サイバーセキュリティで最も急速に拡大しているリスクの1つに対応している。Verizonの2025年データ侵害調査報告書(DBIR)によれば、攻撃者の初期アクセス手段としてシステム脆弱性を悪用する割合は2025年に34%増加し、侵害の20%を占めた。これは、攻撃者のアクセス手段として22%を占める認証情報の悪用に次ぐものだった。
Mythos以前、この領域のサイバーセキュリティは、「悪玉」による脆弱性の発見と悪用、そして「善玉」による企業の修復の速度と能力との競争だった。このギャップを埋めることは極めて困難であるため、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、既知の悪用済み脆弱性カタログ(KEV)を、これらの脆弱性の特定と修復の市場をあらゆる企業にとってより迅速かつ効率的にすることを目的とした中央リポジトリとして維持している。Mythosは、防御側がシステム内の潜在リスクを大規模に効率よく特定し、修正できるようにすることで優位をもたらすツールである。この取り組みはすでに1万件を優に超える、これまで未知だった脆弱性を特定している。
企業の取締役会は、Mythosを単なる技術的強化としてではなく、長期的な戦略シフトの可能性として監督すべきである。
AIが証明する、取締役会の現状維持では不十分なサイバーセキュリティ
サイバーセキュリティの監督は、財務統制の監督の通常業務の延長として扱うべきではない。監査委員会がサイバーセキュリティの責任を割り当てられるケースで、しばしばそのような扱いが起きている。サイバーリスクは一般的な企業リスクではなく、一般的な企業リスクを統治するために用いられるのと同じ能力やアプローチでガバナンスされるべきではない。
サイバーリスクは、多くの企業リスクと異なり、敵対的で、非対称で、非常にシステミックな性質を持ち、時間軸とスケールのダイナミクスも異なる。Claude Mythosは、これら各特性に対し、防御側に有利な含意を導入する可能性がある(それを生かせるなら)。その結果、取締役会におけるサイバーセキュリティ監督は、静的な統制環境を統治・管理するというより、ルールが常に変化するリアルタイムの能動的な競争、すなわち企業のレジリエンスと敵対者の能力、革新と執念のせめぎ合いを監督することに近づく。
大半の企業リスクと異なり、サイバーリスクには知的で能動的な敵対者が関与する。攻撃者は既存の弱点をただ露呈させるのではなく、弱点を探し、試し、悪用し、防御が変化すれば適応する。Mythosは、防御側に対し、敵対者が発見して悪用する前に自社システム内の潜在リスクについてのツールとより良いインテリジェンスを与える。
Mythosとその限定的な提供は、防御側が直面する非対称な不利を一部相殺し、サイバー防御に一時的な追い風を与える。攻撃者は一般に、防御側に対して長期的な戦術的優位を持つ。攻撃者は単一の弱点を辛抱強く探せばよい一方で、防御側は複雑で動的なシステム全体のあらゆる部分を常に守らなければならないからだ。Mythosは、防御側が多くの脆弱性を、悪用されるよりも速く特定して塞ぐ能力を与える。
サイバーセキュリティでは時間が重要である。リスクは、従来の修復プロセスよりも速く、相互接続されたシステム全体に顕在化し波及し得る。取締役会は、技術的な露出やインシデントが重要な事業イベントへと発展する前に、経営陣が検知、優先順位付け、エスカレーション、対応を求められる速度とスケールで運用できることに確信を持つ必要がある。MythosとAIを活用した脆弱性発見は、その助けになる。AIを活用した脆弱性発見は、攻撃者にも同様にスケールでの優位を提供する。
Mythosはリスクを変えるAIイノベーションではなく、もともと存在していたものを露わにする。複雑なデジタルビジネスシステム内の潜在リスクをより可視化することは画期的な前進であり、サイバーセキュリティシステムが高いレジリエンスを備えたシステムへと変革する前提となる必須の一歩である。
Mythosや同種のツールは、サイバーセキュリティにおけるシステム変革とレジリエンスを加速させる可能性を持つ。しかしそれは、組織が、監督、優先順位付け、修復、予防の仕組みを構築し、より良い発見が明らかにするものに対して迅速に対応し、スケールし、活用できる場合に限られる。より良い診断が変革的になるのは、リスクを生み、検知し、優先順位付けし、修復するシステムを経営陣が強化する助けとなるときである。
リスク診断の大幅な向上が転換点となる
医療は有用なアナロジーを提供する。医療における診断能力の向上は、潜在的な健康リスクの可視性と理解を高めた。より良い診断ツールを得たとき、がんや他の疾患状態の発生率は上昇したかのように見えた。新たな透明性が、これまで特定されていなかったリスクを明らかにしたからだ。最終的には、多くの症状がより早期に発見され、治療の前倒しが進み、より多くの命が救われることにつながった。
ただし、これは直ちに、そして自然に起きたわけではない。検知能力の向上は、過剰診断、過剰治療、患者の不安、不必要な処置、臨床システムの過負荷も生み出した。こうした問題があったとしても、医療システム全体は変革した。Mythosがサイバーセキュリティにもたらし得る機会は、これに似ている。
医療の教訓は、診断が多すぎることが悪いということでも、診断をやめることでもない。診断を、トリアージ、ステージング、治療、監視、予防、測定可能な改善から成る、より効果的で規律ある仕組みをつくる触媒として活用し、診断をより有用なものにすることだった。最終的にそれは医療を改善した。
より良い脆弱性診断は、修復におけるボトルネックをつくり出し、露わにし、焦点と緊急性を生み、リスク特定の新たなスケールによって何が重要で何が重要でないかという理解を高め、その方向へ注意を向けさせる。最高情報セキュリティ責任者(CISO)は、行動の優先順位付けを迫られ、事業価値と整合した、より効果的で有能かつ効率的なリスク管理システムを構築することになる。
企業の取締役会は、サイバーセキュリティの監督を、サイバーセキュリティシステムの戦略的変革に向ける必要がある。さらに、より良い脆弱性特定によって生じる戦術的ボトルネックへの対処がどの程度進んでいるかにも焦点を当てなければならない。
取締役は、経営陣に対し、新たに発見された脆弱性がどのように検証され、順位付けされ、担当が割り当てられ、修復され、監視され、または例外として正式に受容されるのかを示すよう求めるべきである。CISOにとっての重要論点は、露出しており、悪用可能で、重要な業務システムに結びつく多くの新たな脆弱性と、そうではないものとを区別し、組織がそれらに優先順位を付けて迅速に行動できるかどうかである。
取締役にとって戦術的なガバナンス上の論点は、修復能力が適切に優先されているか、発見のペースに追随できているか、そしてこのレベルの潜在リスクの透明性がシステムのレジリエンスについて何を物語っているのかを理解することにある。戦略的には、取締役はサイバーセキュリティシステムの各要素がどのように連動し、レジリエントで適応的な防御能力を維持しているのかについて、より深い理解を得るだろう。
取締役会が先行者利益を生かす方法
Mythosは、防御側に潜在リスク特定の先行を与えるだけのAIイノベーションではない。組織が与えられた機会の窓を生かすなら、サイバーセキュリティシステムとサイバーセキュリティガバナンスのシステム的な強化とレジリエンスにつながり得る戦略的な進展である。
不都合な真実は、AIを活用した脆弱性発見が、多くの組織や取締役会が備えている以上に、企業の隠れたサイバーリスクを露わにするという点にある。その可視化は破壊的になり得るが、価値がある。
企業の取締役会は、Claude Mythos Previewの取り組みに対し、次の対応を取るべきである。
- 経営陣が新たに特定された潜在リスクをマッピングし理解していることを確実にする:これまで未特定だった脆弱性を、事業価値への含意に結びつけたリスクマッピングとともに見直し、議論し、優先順位付けされた修復計画とタイムラインを承認する。
- 脆弱性修復能力、想定される上流の修復ボトルネック、プロセス再設計計画をレビューする:修復のスループットが発見のペースに追随できること、リスクの優先順位付けがプロセス改善計画と整合していることを確実にする。
- 経営陣が、パッチ適用からシステム的レジリエンスへとサイバーセキュリティの戦略転換を行うことを確実にする:大規模なパッチ適用にとどまらず、より良い脆弱性診断を用いて長期的なサイバーセキュリティシステムのレジリエンスと予防的なシステム変革を構築する計画を経営陣が持っていることを確実にする。
AnthropicによるClaude Mythos Previewの公開から最も恩恵を受ける企業は、単に最大数の欠陥を見つけてパッチを当てる企業ではない(攻撃者はいずれ追いつく)。この先行とより良い診断を、持続的なサイバーレジリエンスへと転換できる企業である。
