Machine Speed, Human Decisions

技術的能力が新しいだけでなく、そのアプローチも新しい。Mythosの学習が完了した際、開発者は意図的にアクセスを制限し、防御目的に焦点を当てる一部の組織のみに提供した。フロンティアシステムが、その創造者自身によって慎重に扱われているのは、発見・悪用・制御のバランスが変化したことを示すシグナルだ。

これまでのところMythosの出現は慎重に扱われているが、その制限が長続きする可能性は低い。類似の手法・データ・目的で学習されたモデルは、しばしば同等の保護策やアクセス制御なしに急速に追いつくだろう。強力な新興モデルが出てくる文脈では、ポリシー判断による保護はせいぜい一時的だ。

結果として、脆弱性の発見は人間のペースではなく、機械の速度で進む世界になる。

いくつかの基本は変わらない。エンタープライズ環境に脆弱性は常に存在し、完璧なコードは標準ではなかった。変わったのは、発見から悪用までの時間が急速に縮んだことだ。まず数カ月から数週間へ、そして今や数週間から数時間へ。

これは重要だ。脆弱性管理プログラムは、発見が希少で、悪用が人間のペースで進む世界を前提に設計されてきた。AIモデルが重要な欠陥を連続的に特定・検証・文脈化でき、量と速度の両方を劇的に引き上げる状況では、そのアーキテクチャはスケールしない。

今回何が異なるのか：

• 発見の速度が指数関数的に増加した。
• 組織の備えはそのペースに追いついていない。
• 規制当局と取締役会の期待は高まり、説明責任への視線が鋭くなっている。「いつ知ったのか？どれだけ速く行動したのか？」

最新のAIモデルは、数時間で重大な脆弱性とその悪用手段を見つけられる一方、多くの組織では修正に依然として数週間を要している。特定・修正・リスク受容の間のギャップが拡大している領域こそ、今や重大なサイバーリスクが集中する場所だ。

このギャップは洞察の不足ではなく、組織的制約によって生じることが多い。テストサイクル、承認、デプロイの時間窓、脆弱なレガシー環境、不明確な意思決定権限――これらが原因だ。意思決定と実行こそが、リスク低減の制約条件になっている。

その結果、コンプライアンスの態勢と実際のリスク露出は乖離し始めている。人間の速度を前提とした枠組みや運用リズムは、機械速度の世界では苦戦する。昨年まで「許容できる」とされた対応タイムラインが、もはや精査に耐えない可能性がある。

発見の高速化に対する直観的な反応は、より速いツールを手に入れることだ。しかし、AIによって加速する脆弱性発見に対応するには、もっと広範な発想の転換が必要だ。これは人材・プロセス・テクノロジーの総合課題である。

AIが発見をスケールさせるにつれ、希少なタレントの価値は「規模に応じて迅速に、ビジネスの文脈を踏まえて意思決定する」力へとシフトする。セキュリティチームは、大量のトリアージ、ビジネス影響の評価、技術・事業リーダーへの明確な優先順位の伝達ができるように武装しなければならない。

従来の脆弱性管理モデルは、連続的・高ボリュームの発見のもとでは破綻する。四半期サイクルや固定SLAは意味を失う。組織は、連続的な対応を前提に、明確なエスカレーション経路、明示的なリスク基準、重大な発見に対して48時間以内に意思決定できる能力を備えた運用モデルを必要としている。

実務上は、次のシフトを意味する：

• 発見から意思決定へ
• 四半期サイクルから連続対応へ
• スキャンからオーケストレーションへ
  

多層防御は依然として重要だ。フロンティアAIは発見を加速させるが、ディフェンス・イン・デプス（セグメンテーション、境界の堅牢化、アクセス制御）は、高度な手法に対してもなお有効性を示し続けている。

最もレジリエントな組織は、強固な基盤と明確な優先順位に根差して、目的を持って素早く動く。

すべてのシグナルに反応するのではなく、先進的な組織は、脆弱性管理とアタックサーフェス管理のプログラムを戦略的に再設計している。

重要な問い：

• 可視性とインベントリ管理：自組織の環境で何が動き、その中身は何で、誰が責任者かを把握しているか。重要システムの最新のソフトウェア部品表（SBOM）を提示できるか。
• 意思決定の速度：「新たな重大な発見」から「リスク受容または修正完了」まで48時間以内に到達できるか。誰に決定権があるか。プレッシャー下でエスカレーション経路は機能するか。
• 修正の速度：重大脆弱性の真の平均修正時間はどれくらいか。変更やテストのプロセスは、これからの量と速度に耐えうる設計か。
• セグメンテーションとハードニング：迅速にパッチを当てられないシステムについて、補完的なコントロールは影響範囲を十分に抑えられるか。
• パイプライン統合：四半期ごとに後付けするのではなく、AI駆動のセキュリティ評価を開発・デプロイのパイプラインに組み込んでいるか。
• 取締役会と規制対応の準備：姿勢、優先順位、リスク受容の判断を、説明責任の高まりに応じて明確に説明できるか。
• 主導権と統制：最も重要なサイバー能力について、最終的なコントロール（モデル、データ、エスカレーション経路、ガードレール）は誰が握っているか。優先順位がプレッシャー下で乖離した場合、規制やビジネスの期待に沿って独立して行動できるか。

これらの問いは、議論の焦点をツールから運用モデルへ、スピードからベロシティへと移す。

最も効果的なレジリエンス構築アプローチは、実践的かつ段階的で、実際にリスクを低減するものに明確にフォーカスしている。ただし、先進AI能力が広範なリリース、迅速な複製、意図せぬ露出を通じて利用可能になるにつれ、タイムラインは想定より速まる可能性がある。

このセクションで述べる技術的な手順に加え、次の付随的な活動も推奨される。

• 危機対応とレジリエンス計画の見直し
• 業界横断の協調を模索し、ベストプラクティスを共有
• 組織の保険契約を再確認し、適用可能性を検証

また、サイバーインシデント発生時の大規模修正に備えて予算を確保しておくことも検討されたい。

まず全体像を明確化し、基本を引き締める。最初の1カ月の目標は、どこが最も露出しているかを把握し、リスクが急速に拡大しうる問題に対処することだ。

緊急変更手続きを整備し、重大な修正がプロセスの中で滞留しないようにする。ソフトウェアとサードパーティのエコシステムの棚卸しを行い、最重要資産（クラウンジュエル）とビジネスにとって本質的な露出を正確に特定する。AnthropicのProject Glasswingは、インターネットの基盤となる一部のテック企業が自社の脆弱性を修正する結果をもたらすが、他の組織には自社開発、サードパーティ、オープンソースのソフトウェアもあり、これらは別途修正が必要になる。これらはGlasswingの主対象ではない。

アイデンティティの基本を強化し、スタティックな認証情報の排除とMFAの強制を行う。規制・コンプライアンス要件を、自組織の実環境にどのように適用されるかを明確な見取り図に落とし込む。

次の90日以内に、自社コードのプロアクティブなスキャンと修正を進めるとともに、他のソフトウェアおよびソリューションのサプライヤも同様の取り組みを行っていることの理解（可能なら保証）を得る必要がある。AI主導の脆弱性管理ソリューションを取り込むのに、Mythosの広範なリリースを待つ必要はない。すでに利用可能な他のモデルやツールがある。

どこで、どのようにこれを実行するかを最初の30日で優先順位付けし、成功に向けた体制を整えること。

次に取り組むこと（次の90日）可視性を得たら、注力ポイントを修正とスケールに移す。意思をもって取り組めば露出を有意に削減できる領域だ。

脆弱性の発見量が劇的に増えることを前提に、管理プログラムを相応にスケールさせる。重要システムについてソフトウェア構成の可視性を構築し、何が稼働し何がリスクにさらされているかを把握する。セキュリティをより早い段階でCI/CDパイプラインに組み込み、ベンダーのシステムを通じたサードパーティ露出を再評価し、社内コードのプロアクティブなスキャンを開始する。

基本が整ったら、戦略的にリセットし、長期的にレジリエンスを高める能力に投資する。先を見据え、ビジネスにとって重要なインフラとデータを支えうる、隔離性（エアギャップ）を備えた環境の構築を目指す。長期のレジリエンスには、マイクロセグメンテーションの拡張や、「ミニマム・バイアブル・カンパニー」（組織として機能するために必要な最小限の業務）の定義も含まれうる。

セキュリティ運用をAIで拡張し、強力な認証・認可でゼロトラスト・アーキテクチャを補強し、継続的なレッドチーミングと脅威ハンティングを導入する。インシデント対応の準備態勢を更新し、重要性評価や開示の検討を含む、複数の重なる事象に備える。可能な限り、ディフェンス・イン・デプスで影響範囲を限定し、レガシーやサポート終了システムからのリスクを低減する。

この計画の成果は、自組織の真のリスク姿勢の明確化、露出の測定可能な削減、そして組織全体のリスクガバナンスを進化させるための現実的な道筋である。

攻撃者と防御者の構造的非対称性を完全に消すことはできない。しかし、今動く組織は自らの立場を大きく前進させることができる。

発見が組織の外に漏れ出すと、リスクは急速に高まる。偶発的な露出、共有研究、漏えいなど、脆弱性情報は対応チームが動く速度よりも速く拡散しうる。その瞬間、リスクは情報がどれだけ速く広がり、誰が先に手にするかで決まる。

可視性、意思決定の速度、規律ある実行に投資し、敵対者が機械の速度で連続的に動く世界に備えよう。ビジネスに近い現場で、より速く、より明確な意図をもって下す人間の意思決定が、誰が先行し続けるかを決める。

デロイトは、AIがサイバーリスクの速度と影響を変えるなか、組織をエンドツーエンドで支援する。複雑で規制が厳しいエンタープライズでの数十年の経験に基づき、コアとなるサイバーの基本を強化し、最重要資産と依存関係に対する可視性と文脈を高め、技術的な露出を明確なビジネス判断へと移行させる。私たちは、重要な領域でのスケールと自動化、効果的な優先順位付け、より迅速で確信を持った行動による組織のレジリエンス向上に重点を置く。

AIがサイバーリスクを機械の速度へと移し続ける中で、私たちはクライアントとコミュニティを結びつけ、エコシステム全体の協調を強化することにコミットしている。共に、進化し続けるサイバー脅威に対して、レジリエンスと備えを高めていける。