こんにちは、VLCセキュリティグループ CISO 兼 VLCセキュリティラボ 代表の中本です。
前回(第1回)は、Claude Mythosをめぐる「業界人の本音」と「企業が打つべき手」を、西本顧問・川口氏のお二人と語り合いました。
第一回目:https://vlcsecurity.com/column/19212/
今回はその続編として、話題をセキュリティ市場の構造変化に移します。攻撃側のAI活用が加速する中で、私たちのようなセキュリティ事業者と、お客様である事業会社は、これからどう変わっていくのか。そして、そこに残る人間の価値とは何か――鼎談の流れを、私の所見を交えながらお伝えします。
西本 逸郎(にしもと いつろう)
VLCセキュリティ 顧問
元 株式会社ラック 代表取締役社長。日本のサイバーセキュリティ業界を黎明期から牽引してきた業界の第一人者。政府・業界団体の各種有識者会議でも要職を歴任し、技術と経営の両面から多くの議論をリードしてきた。
川口 洋(かわぐち ひろし)
川口設計 代表取締役 / 経済産業省 情報セキュリティ対策専門官
セキュリティエンジニアとしての豊富な現場経験と、政府の情報セキュリティ政策に関わる立場を併せ持つ。事業会社・ベンダー・官の三つの視点を実務レベルで往還できる、稀有な専門家のひとり。
中本 有哉(なかもと ゆうや)
VLCセキュリティグループ CISO 兼 VLCセキュリティラボ 代表
VLCセキュリティグループの情報セキュリティ責任者、同グループ事業会社の代表取締役を兼務。ペネトレーションテスト、DFIRなどのプロフェッショナルサービス事業の責任者。今回の鼎談ではファシリテーターを担当した。
私自身もペネトレーションテストやインシデントレスポンス等のサービス提供者として、AIの登場がもたらす経済的インパクトはきわめて大きいと感じています。
中本「ペネトレーションテスト、ログ解析、MDRのような監視運用というところも、高い推論能力を持つAIが登場すれば、限界費用[サービス提供/利用にあたってのコスト]は確実に下がっていくと思うんです。必要性は変わらないが、コスト構造は大きく変わる。これからのセキュリティ事業者は、AIをいかに使いこなせるかが勝負どころになる。」
この点について、ラックという日本を代表するセキュリティ企業の経営者を務めてこられた西本顧問の見方は、非常に明快なものでした。
西本顧問「最近、僕の講演でも話しているんですけど、どう考えてもサイバーセキュリティカンパニーであるとすると、AIの先端企業でないとダメだよね。そうでないと、もう話にならない。」
これは、技術トレンドへの追随という意味ではありません。攻撃者がAIを駆使して脆弱性発見、ロジック解析、ヒューマンハッキング、運用ハッキングへと攻撃面を広げてくる時代に、防御を提供する側が同等以上のAI能力を持っていなければ、セキュリティ企業としての存在根拠そのものが揺らいでしまう。「AIを売る」のではなく「AIで戦える」セキュリティ企業でなければ市場から退場を迫られる、という強いメッセージだと、私は受け取りました。VLCセキュリティグループとしても、ペネトレやMDRのオペレーションをAIネイティブに作り直す動きを、すでに本格化させています。
一方で、川口氏は事業会社の側から見える景色を、印象的なエピソードとともに示してくださいました。
川口氏「生成AIが成長してきたことで、ソフトウェアや製品を買わなきゃできなかったことが、エンジニアチームを持っている組織であれば自作できるチャンスが来ています。例えばゼロトラストというキーワードで想像されるような製品やサービス、脆弱性診断のツール、ログを分析するツール、そういうものを、自社のシステムと業務に合わせたオーダーメイドで自作できる時代がきている気がしますよね。」
川口氏「ある企業さんで、セキュリティ担当が役員に言われた話があって。『ログ集積基盤として価格の高い製品の購入予算は、来年積まないでくれ』と。『ログはあるのだから、AIで分析できる能力があるだろう。法律要件を含めて、その高額製品でなければできないのなら考えるけど、そうではなく、我々のビジネスを守るためだけだったら、その高い製品の価値は何なのか。』役員にそう言われたと聞いて、確かにそうだなと思ったんです。」
川口氏「特にClaudeはすごくよくできていて、なんかできちゃう未来が、わりと近いと感じる。エンジニアを抱えている組織なら、自分たちのためのものを作るという選択肢が取り得る。」
セキュリティ製品を「買って導入する」モデルから、「ログとデータはあるのだから、AIに分析させる仕組みを自分で組む」モデルへ。お客様の側に基礎(エンジニアリングチーム)があれば、これは十分に成立し得る選択肢だと、私も実感しています。
では、事業会社にとってAIを業務に組み込む第一歩はどこからにすべきか。ここで西本顧問から示された提案は、非常にシンプルかつ実践的でした。
西本顧問「一般的な事業会社もAIをどう活用するかに、皆さん一生懸命努力しているんだけど、せっかくだから、自社のセキュリティをまずAIで強化することから始めればいい。事業を守るためにAIを活用するかというところで、まずAIの実装をかけるほうが、確実にリターンが見込めるんじゃないかと思うんです。」
セキュリティは、ログ、構成情報、コード、業務記録など、AIが活躍しやすい構造化・半構造化データが集まりやすい領域です。さらに効果(脅威の検知・対応)が比較的測りやすい。AI活用のユースケースとして、自社セキュリティはきわめて現実的な選択肢になります。「事業を守るためにAIを使う」――これは、もっとも確実なリターン得る方法のひとつだと、私もそう思います。
そして話題は、セキュリティ業界全体の競争構造に及びました。川口氏は、モデルそのものの覇権争いではなく、その先にやってくるコモディティ化と価格競争を的確に整理してくださいました。
川口氏「『1分で脆弱性を見つけられる』というのが今のClaude Mythosだとしても、3年後には別のAIも2分で脆弱性を見つけられる世界線には近づくと思われる。この場合、1分と2分の差を議論してもしょうがない。ユーザー企業側にとってはよりコストの安いAIモデルで2分以内に見つかればよくないか、さらに安いモデルで10分以内に見つけられるAIでも良いんじゃない?という話になる。」
川口氏「今はClaudeに注目が集まっているけど、思い返せば1年前はOpenAIが覇者だったようなイメージがあった。それが今はAnthropicに注目が集まり、Geminiも追ってきている。モデルの良し悪しよりも、それ以外の周辺機能や運用・統合のほうで、Anthropicはいろいろやっていて面白い。でも1年後にはまた違うプレイヤーが出てきているかもしれない。とにかく業界は目まぐるしく変わっているが最終的にはどのAIでも似たようなことが出来るようになるのは間違いない。」
差別化のポイントが「モデルの良さ」から「周辺機能・運用・統合」へ、そして最終的に「価格」に降りてくる流れは、過去のソフトウェア産業で何度も目にしてきた経路でもあります。
ここから、人間側のスキルセットの再定義という論点も自然と出てきます。
中本「ペネトレやMDRを提供する事業者として、これからは、AIをいかに使いこなせるかが重要と心得ています。ハーネスエンジニアリング[AIの制御設計]を含めて考えられる、お客様から円滑に課題を聞き出せる、そしてAIと協働でプロジェクトマネジメントができる、そういう人材を組織として増やしていけるかが鍵だと思っています」
AIとAIの制御、そしてセキュリティを語れる人材は、今までの「手を動かすエンジニア」とは別の重みを持つようになるはずです。
そして、川口氏がセキュリティ市場論の締めとして強調されたのが、「責任の所在」というキーワードでした。これは、本シリーズ全体を貫く重要な軸でもあります。
川口氏「市場構造の変化と同じく注目すべきなのは、ちゃんとAIが主導するサービスの責任を取れるかという点にあると思うんですよね。AIが主導をしていても『私の名のもとに、この結果をプロジェクトの成果物とする!』と言えるかどうか。事業会社の中でAI診断ツールを実装できる技術力があったとして、『私がこのAIを使ってこのようにやりましたから大丈夫です』と社内で言い切れる人がいるなら、それでいい。ただ、『お前が作って、お前が調べたものに対して、その仕様で大丈夫なのか』と問われて反論できないなら、やっぱり外の誰か――責任を取れる専門家・組織――が必要になる」
川口氏「結論、責任を取りますという人だけが今後は残ることになるのかなと。AIがどれだけ賢くなっても、『このアウトプットを採用すると決める』と自分の名前を貼れる人物は重要。むしろその役割こそが、これからの『専門家』と呼ばれるべき領域になっていく気がしています」
私もこの「専門家像」は、これからの専門サービス事業者の存在意義の核だと考えています。AIが現場の9割を代替してくれる時代だからこそ、その出力に対して監査して責任を引き受けられる組織と個人の価値が、相対的に大きくなっていく。VLCセキュリティグループでも、お客様に対して「責任を持って届ける」ことを揺らがず磨いていきたいと思います。
鼎談の中で、西本顧問が口にされた一節がとても印象に残っています。
西本顧問「面白いよね。これからは“基礎的な能力+AI“で自分の実力が決まるということだよね。組織によっては、AIなしの裸の実力で人を雇いたいというところもあるかも知れないけど、AIを使える能力もその人の実力として評価することがこれからの標準になると思う。」
日本企業に多い「ノウハウが個人/現場に貼り付いている」属人化の問題も、ここに絡んできます。デジタル化されていない暗黙知をどこまで“組織知=AIが使える知識”に変換していくか、そしてAIに覚えさせる範囲は誰が決めるのか――この論点は、次回(第3回)で改めて掘り下げます。
次回はいよいよ最終回。舞台を「市場」から「国家と人」に広げ、能動的サイバー防御法(ACD関連法)、官民連携と「共助」の現実、そしてAI時代の若手世代に向けた助言について、お二人がどう語ってくださったかをお届けします。
引き続きお楽しみください。
VLCセキュリティグループ CISO / VLCセキュリティラボ 代表
中本 有哉
西本逸郎顧問・川口洋顧問・中本有哉 鼎談(2026年5月14日収録) より
