AI「ミトス」で増す攻撃力…サイバー防衛、米国はなぜ「全部守るのは無理」と認めたか

防御が追いつかない…NISTの重大決断

　NIST（米国立標準技術研究所）は、NVD（国家脆弱性データベース）に登録された世界の主要ソフトウェアの脆弱性について、深刻度スコアや影響製品などの情報を付与し、企業や政府機関がリスクを容易に判断できるように分析・整理する機関だ。NISTとNVDの役割は、「脆弱性を直すこと」ではなく、「脆弱性情報を評価・整理し、リスク判断に使える形にすること」である。

　NISTは、2026年4月15日の発表で、NVDに登録されるソフトウェア脆弱性について、従来のようなすべてのCVEを詳しく分析する全件分析を改めた。緊急性や社会的影響の大きいもの、重要ソフトウェアに関わる脆弱性と、悪用が確認された脆弱性などを優先する運用に転換した。

　このCVEとは、「Common Vulnerabilities and Exposures」の略。日本語では、「共通脆弱性識別子」、または「共通脆弱性情報」と説明される。ソフトウェアやシステムの脆弱性に付けられる共通の管理番号で、この番号を用いることによって、ベンダー企業、ソフトウェア利用企業、政府機関が、同じ脆弱性を同じ名前で指し示すことができる。

　NISTが上記の方針転換を行ったのは、2020年から2025年にかけて、CVE提出数が263％に増えた背景がある。

　脆弱性が増えすぎて、人間の対応力を超えてしまったために、すべてを処理しきれず、脆弱性の高いものを優先して対応することになってしまったのだ。こうした事態がいずれ来ることは予想されていたとはいえ、あらためて、それが現実のものになった深刻さを再認識せざるをえない。

　防御側が不具合を発見したとしても、それに対応する時間が少なく、攻撃側が有利であるという事情もある。だから、当然と言えば当然のことなのだが、しかし、「こんなことがあって良いのか？」という率直な感想を持たざるを得ない。今後、サイバー攻撃が生じる確率が劇的に上昇してもおかしくない。

過去最高ペースの脆弱性、問題はミトスだけではない

　日本経済新聞は、5月4日にNISTの方針転換を報じた。その背景について、米アンソロピックのMythos（ミトス）のような高度なAIを悪用すれば、システムの欠陥を容易に発見でき、そこからサイバー攻撃ができることを指摘している。脆弱性の検知が急増し、分析が追いつかなくなっている実態があるという。

　AI時代のサイバーセキュリティにおいて、「すべての欠陥を把握する」ことが不可能になり、緊急性の高いリスクをいかに見極めて優先対応するかという戦略の転換が企業にも求められていることを示唆している、というわけだ。この見方は重要だ。

　ただし、NISTの方針転換は、ミトスという単独のAIだけによるものではない。事実、NISTの4月15日の報告においては、「ミトス」という名は登場しない。NISTが指摘しているのは、CVE提出数が2020年から2025年に263％増え、過去最高ペースで処理しても増加に追いつけないということである。

　つまり、問題は特定のAIモデルの登場ではない。AIによって脆弱性を発見する能力が一般的に高まっているが、その半面においても、防御側の分析・修正能力がそれに相応しただけ増強されていないという非対称的な動きが生じていることなのである。この意味において、サイバー防衛全体の構造変化が起きている。

　NISTの方針転換とミトスの登場は、同じ構造的変化、すなわち「脆弱性の発見速度が防御側の処理能力を上回りつつある」ことを示している。 【次ページ】【AI武装】ミトス級AIが国家ハッカーに渡ると何が起きるか