こんにちは、VLCセキュリティグループ CISO 兼 VLCセキュリティラボ 代表の中本です。
今回から全3回にわたり、当社の顧問にお迎えしている西本逸郎氏と川口洋氏を交えた鼎談の内容を、コラムとしてお届けします。テーマは「AI時代のサイバーセキュリティ」。Claude Mythosの登場、攻撃の民主化、能動的サイバー防御、そして人材の未来まで、業界の第一人者であるお二人と1時間にわたって率直に語り合った内容を、私の解説を交えながらお届けします。
[鼎談日:2026年5月14日]
西本 逸郎(にしもと いつろう)
VLCセキュリティ 顧問
元 株式会社ラック 代表取締役社長。日本のサイバーセキュリティ業界を黎明期から牽引してきた業界の第一人者。政府・業界団体の各種有識者会議でも要職を歴任し、技術と経営の両面から多くの議論をリードしてきた。
川口 洋(かわぐち ひろし)
川口設計 代表取締役 / 経済産業省 情報セキュリティ対策専門官
セキュリティエンジニアとしての豊富な現場経験と、政府の情報セキュリティ政策に関わる立場を併せ持つ。事業会社・ベンダー・官の三つの視点を実務レベルで往還できる、稀有な専門家のひとり。
中本 有哉(なかもと ゆうや)
VLCセキュリティグループ CISO 兼 VLCセキュリティラボ 代表
VLCセキュリティグループの情報セキュリティ責任者、同グループ事業会社の代表取締役を兼務。ペネトレーションテスト、DFIRなどのプロフェッショナルサービス事業の責任者。今回の鼎談ではファシリテーターを担当した。
2026年4月のAnthropic社による「Claude Mythos」の発表以降、AIによる脆弱性発見の高速化が、業界の議論を席巻しています。金融庁が地域金融機関にAI攻撃への備えを求め、自民党が日本版「Project Glasswing」を提言するなど、政策・規制サイドの反応も急ピッチです。
鼎談の冒頭、私はこの過熱気味の世論をどう読むか、お二人にずばり伺いました。
中本「Claude Mythosについては、金融庁も含めて経産省や自民党で日本版の『Project Glasswing』が提言されたり、金融庁が地銀に対してAIの攻撃に対し何らかの対策をせよと求めたりと、いろいろ始まっています。これを過剰反応と見るのか、それともパラダイムシフトが始まったと捉えるのか。私個人的にはアンソロピックのマーケティング要素もあるんじゃないかと思ったりもしていて……お二方の率直なご意見を伺いたいです。」
口火を切ってくださったのは、西本顧問でした。
西本顧問「今回の件で一番面白いのは、これまで数兆円という巨額の投資をしてきた人たちが、その矛先をサイバーセキュリティ市場に向け始めたという事実なんですよ。『ここをちゃんとやっておかないと、自分たちの市場が危うくなる』という、彼ら自身の危機感から来てるんじゃないかと思っています。」
西本顧問「そもそも、毒にもならないものは薬にもならないと言うじゃないですか。元来テクノロジーというものは相当な毒なんですよ。最初のテクノロジーが石器だとして、叩くと便利な武器になるぞ、さらに石を削ると、鋭い武器にも便利な生活用品にも加工できるぞと進化してきた歴史がある。AIも当然、攻撃側・悪用側が先行するのは歴史から見て分かりきっていること。世の中の人は驚いているかもしれないけど、我々セキュリティ業界からするとまあこうなって行くのは当然の帰結で、むしろ世の中的にセキュリティにフォーカスが当たっているのはすごく良いことだと思っています。」
西本顧問のおっしゃるとおり、AI事業者がセキュリティを真剣に語り始めたのは、ここ数年で興味深い変化のひとつだと私も感じています。これまで「もっともっとモデルを大きく、速く」が支配的だったAI事業者が、自らや多くの業界を守るためにセキュリティに注目し始めた。これは、エンドユーザー企業が今後のAI活用戦略を考えるうえでも重要なヒントになると思います。
続いて、川口氏はもう少し技術寄りに、冷静に解きほぐしてくれました。
川口氏「Claude Mythosのようなものが出てきて、脆弱性を見つけるのが早くなりますと言われても、それはそうなんでしょうし、性能には驚きます。でも、新しくて脅威的な脆弱性というものは今までだって見つかってきたわけじゃないですか。事実、脆弱性の発見のスピードは年々進化してきました。いずれそのスピードがゼロに近づくということは、我々はずっと暗に分かっていた。今はそれが目前まで来ているということ。」
川口氏「これによってある脆弱性が1秒で見つかるようになっても、1秒なのか2秒なのかを競い合っても、もはや意味がないレベルに行く。システムを守る側からすると、見つかる脆弱性に対して、直すスピードがいずれにせよ追いつかないというのが現実なんです。脆弱性が明らかにされても直すタスクが溜まっていく。これをどう修正していくかを、皆で考えないといけない」
そして川口氏は、このAIの進化について防御側に活かした場合の期待にも触れてくださいました。
川口氏「そんなにすごいなら、リリース前にすべてのコードをClaude Mythosで検査すれば、世の中に出る脆弱性は原理的にはなくなるということになる。Claude Mythosが本当にそれほどのものなら、我々がいつか目指していた『脆弱性のない世界』が訪れるんじゃないかという期待も、僕にはあったりしますね」
私も組織の情報セキュリティ責任者として、この「リリース前検査での活用」は深く頷くところでした。脆弱性発見の高速化は、攻撃者側だけのものではありません。CI/CDパイプラインの中に高性能AIスキャンを織り込めるかどうかが、これからの開発組織の差になるはずです。
話題がさらに深まったのは、AIが捉える「脆弱性」の輪郭そのものが変わりつつある、という点でした。西本顧問が引いてくださった事例は、印象的でした。
西本顧問「ある大学の先生がFacebookに投稿していた話なんですが、AIが見つけた脆弱性というのが、いわゆるソース上のものじゃなくて、プロセス上の認証の隙間のような、文脈/コンテキストから読み解いた脆弱性だったらしいんですよ。もうそこまで来ているんだなと思いました。もうちょっとすると、エージェントが人を騙して運用上のセキュリティテストをやる未来も近いかも。」
川口氏「ここ最近、AIモデルの進化も重なって、コンテキストを正確に読み解くのが上手になってきている。かなり正確にビジネスロジックを読み解く時代も来ているのかなと感じます。今日は読み取れない文脈も、1年後にはもっと精度が良くなるだろうと簡単に予測が立ちます。」
私も、ペネトレーションテスト提供事業者として、ここは強く同意するところがありました。
中本「実際、ビジネスロジック的な検証は、我々も提供ベンダーとしては去年あたりまで『そんなのAIにはできないよ』という感じでしたが、直近での案件利用や、世の中の研究状況を見ている限り、もう解決してきているのが見えますね」
つまり、AIがハックするのは、コードだけではなくなりつつあります。プロセス、業務文脈、そしていずれは「人間そのもの」――エージェントが運用者を巧みに騙す未来もすでに視野に入っていると言えます。
では、民間企業として、これから何を準備すればよいのか。鼎談の中のでは「やることを根本から変える必要はない」というのが結論です。
中本「個人的には、従来からやることはそんなに変わらないんじゃないかというのが正直なところで、世間的には騒がれすぎだなと思っているところもあります。むしろ川口氏がおっしゃった通り、見つかる脆弱性に対して、脆弱性管理・修正対応プロセスをどうAIで簡略化していくか、焦らず対応できるスキームを作っていくことが重要なのかなと」
脆弱性管理の高速化は、AI時代の防御の基礎です。スキャンだけではなく、影響範囲の特定、優先順位付け、関係者への通知、パッチ適用、検証――この一連のフローを、AIエージェントによってどこまで自動化・半自動化できるか。ここが、これからの企業の対応力を左右する論点になっていくと予想します。
もうひとつ、西本顧問は企業の身構え方そのものを一段上げる必要性を強調されました。
西本顧問「いずれにしても、どういう手段であろうが、重大なサイバーインシデントに陥る時は誰かが遠隔で権限を取っているということなんですよ。権限を取る方法がいろいろとあるだけで、権限を取られた後でも行動の正当性をしっかり問う仕組み作りが重要だと思う。イメージとしては、今言われているゼロトラストのレベルをもう一段上げること。「本人がちゃんと本人として正しく認証されているか?」というのが今のゼロトラストレベルだとすると、「本人がやっていると思われても、その行為自体は正当なのか?」というもう一段上のゼロトラストまで上げる。」
西本顧問「要するに、汚染されることは前提で考えればいいということなんですよ。みんな病気にならないための予防策は一生懸命やるけれど、病気になったら一刻も早く発見して、おとなしくして人にうつさないように行動するという基本も大事、ここを忘れて『病気にならない体を作ろう』ということだけに躍起になるのはおかしいと僕は思っています。」
まさしく、「侵入を完全に防ぐ」から「侵入後の異常をどう早期に押さえ、被害をどう限定するか」へ、サイバーレジリエンスの考え方へ重心が移っていくのを世の中の各種ガイドラインから感じるところであります。
このテーマの最後に、西本顧問は重要な注意を促してくださいました。AIによる攻撃を「技術的脆弱性」の文脈だけで議論すると、視野が狭くなる、という指摘です。
西本顧問「先ほどから話している『プログラム上の脆弱性』とか『新しいゼロデイ』とか、そういう話だけでAIによる攻撃者の進化を考えるとよくない。日本の法律の穴、制度の穴を突くのが、サイバー攻撃者や犯罪者の得意なところでもあるんですよ。だからまずAIに法律を食わせて、穴を探させる、というやり方も当然してくる。それから当然、詐欺、ヒューマンハッキングのほうにAIがどんどん使われていく。攻撃の進化は、技術空間だけでは完結しない」
西本顧問「さらに、AIを騙すAIですよ。学習データから汚染してAIを騙していくようAIの登場も身近になる思う。そういうことを含めて動き出すはずなので、AIを利用してくる攻撃者や犯罪者に対する能動的防御は、視点をもっと広く持つ必要があるんじゃないかと思っているんです」
Claude Mythosというニュースを「派手な脆弱性発見ツール」として消費するか、「サイバー攻防の前提が変わる時代の号砲」として捉えるか。本シリーズの第1回は、お二人の冷静かつ前向きな視座を共有しながら、企業がいま打つべき具体的な手まで話していただきました。次回(第2回)では、こうした技術変化がセキュリティ業界の市場構造と、セキュリティ企業のあり方をどう書き換えるかを掘り下げます。
引き続きお楽しみください。
VLCセキュリティグループ CISO / VLCセキュリティラボ 代表
中本 有哉
西本逸郎 顧問・川口洋 氏・中本有哉 鼎談(2026年5月14日収録) より
