• 2026/06/01 掲載

“最強ミュトス”級AIが来るぞ…企業を狂わせる「アラート地獄」は何がヤバいのか?(2/2)

連載:野口悠紀雄のデジタルイノベーションの本質

Google preferred source
会員(無料)になると、いいね!でマイページに保存できます。

中国も猛追、ミュトス級AIが広がる前に企業が備えるべきこと

 アンソロピックのダリオ・アモデイ最高経営責任者(CEO)は、5月5日、ミュトスの性能に「中国勢が6~12カ月後に追いつくだろう」と述べた。

 アモデイ氏は、ミュトスと同等性能のAIを開発するには、米国のほかのAI企業が1~3カ月、中国企業が半年から1年程度かかると述べた。その間にミュトスを使ってバグを修正し、米国企業や政府機関のソフトウェアの防御力を高めることが必要だと指摘した。

 5日にニューヨーク市で開かれた金融業界向けのイベントで、アモデイ氏がJPモルガン・チェースのジェイミー・ダイモンCEOと対談した際に述べた。

 中国のAIがミュトスに近づけば、サイバー攻撃の可能性は高まると考えるべきだろう。「ただちに大規模攻撃が起きる」とは言えないが、攻撃のコストが下がり、速度が上がり、対象が広がるという意味でリスクが増すことは間違いない。

 問題は、中国に限らない。ほかの国家系、あるいは犯罪系の攻撃者が、すでにAIを攻撃工程に組み込み始めている。中国および北朝鮮の攻撃者は、AIを脆弱性発見に使うことに強い関心を示している。

 2025年時点ですでに、中国、北朝鮮、イランなどの国家系攻撃者が、偵察、フィッシング文面作成、データ窃取など攻撃の各段階で生成AIを使っていると報告されている。

「アラート地獄」に潰されない、脆弱性対応の新常識

 サイバー防御で恐ろしいのは、警告が出すぎて、担当者を圧倒し、真に重大な兆候が雑音の中に埋もれてしまうことだ。これが「アラート地獄」と呼ばれる現象である。

 これを避けるには、すべての警告を平等に扱うのではなく、重要資産への影響、攻撃の連鎖、実害の可能性などに応じて、優先順位をつける必要がある。

 緊急度を判断するために、CVSSとSSVCという指標が作られている。どちらも「脆弱性をどう優先するか」の指標だが、役割が少し違う。

 CVSSは「危険度を点数化するもの」であるのに対して、SSVCは、「今何をすべきか」を決めるものだ。

(1)CVSS

 CVSSは、Common Vulnerability Scoring Systemの略で、「共通脆弱性評価システム」と訳される。FIRSTという国際的なサイバーセキュリティ団体が管理している。

 FIRSTの説明によれば、CVSSはソフトウェア脆弱性の特徴と深刻度を伝えるためのオープンな枠組みだ。CVSSは、ソフトウェア脆弱性について、「どれほど悪用しやすいか」「悪用された場合、どれほど被害が大きいか」を共通の基準で評価し、0.0から10.0までの点数で示す。

 たとえば、ある脆弱性が「遠隔から攻撃できる」「認証なしで悪用できる」「機密情報が漏れる」「システムを停止させる」といった性質を持つ場合、CVSSスコアは高くなる。つまり、CVSSは、脆弱性の一般的な深刻度を数値で示す物差しだ。

(2)SSVC

 ただし、CVSSだけでは十分でない場合がある。なぜなら、CVSSが高いからといって、自社にとって今すぐ危険とは限らないからだ。たとえばCVSSが高くても、自社ではその製品を使っていなければ緊急度は低い。逆にCVSSが低くても、自社の勘定系システムや顧客情報システムで使っており、すでに攻撃が観測されていれば、最優先で対応すべきだ。

 これを測定する指標であるSSVCは、Stakeholder-Specific Vulnerability Categorization の略であり、米カーネギーメロン大学ソフトウェア工学研究所、SEIのCERT/CCが考案した脆弱性対応のための指標だ。

 SSVCは、その組織にとって、今取るべき行動は何かを決める。SEIはSSVCについて、脆弱性管理における行動の優先順位をつける仕組みであり、画一的な解決策ではなく、組織の状況に応じた意思決定のための仕組みだと説明している。

 SSVCでは、たとえば次のような要素を重視する。

 「すでに悪用されているか」、「攻撃が技術的に容易か」、「そのシステムが社会的に重要か」、「安全、人命、公共サービスに影響するか」、「自社にその製品・システムが存在するか」、「外部公開されているか」、「代替策や緩和策があるか」などである。

 そして最終的に、たとえば次のような判断に結びつける。

Defer:後回しでよい。

Scheduled:通常の計画に組み込む。

Out-of-cycle:通常の更新サイクルを待たずに対応する。

Immediate:ただちに対応する。


 CVSSで該当する脆弱性が必ずしも組織に大規模な被害を引き起こすわけではない。そのためにもSSVCによる判定は有効だ。

 日本経済新聞によると、ある企業の脆弱性1124万件をSSVCで判定したところ、即時対応しなければならないものは0.06%に過ぎなかったという。90%超は定期的なメンテナンス時に対応すればよいと判断され、対応する必要がない脆弱性も7%に上った。

 このような指標を活用しつつ、現実の対応を進めることが必要だ。

Googleで見つけやすく

Google preferred source

評価する

いいね!でぜひ著者を応援してください

  • 0

会員(無料)になると、いいね!でマイページに保存できます。

共有する

  • 0

  • 2

  • 0

  • 3

  • 0

AI・生成AIのおすすめコンテンツ

AI「ミトス」で増す攻撃力…サイバー防衛、米国はなぜ「全部守るのは無理」と認めたか

【前提崩壊】採用面接の“裏”を突くAI──“なりすまし面接”6500件超の衝撃

AIに落とされる…総合商社ら大手が続々導入「AI面接」、“お見送り”になる人の特徴

AIの「制御不能」は防げるか?「人間の最終判断」が“限界”を迎えるとき

AIの危険は「暴走」ではない…研究者が恐れる「合理的すぎるAI」が生む、ヤバい未来
関連タグ タグをフォローすると最新情報が表示されます

AI・生成AIの関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

基本情報公開時のサンプル画像
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます

基本情報公開時のサンプル画像