「防御側は今、圧倒的に不利」AIミュトスにセキュリティー専門家が警鐘
米新興企業アンソロピックが開発した新型のAI(人工知能)モデル「クロード・ミュトス」。ソフトウェアの弱点を見つける能力が飛躍的に向上し、サイバー攻撃に悪用される危険性が高いことから、同社が一般公開を保留している。どんなリスクがあるのか、システムを守る方法はあるのか。ITセキュリティー企業「タニウム」技術担当副社長の小松康二氏に聞いた。
専門家27年分の作業を数時間で
アンソロピックによると、ミュトスは専門家が27年間発見できなかった脆弱性をわずか数時間で見つけ出すなど、従来のAIをはるかに上回る能力を示した。小松氏は「劇的だ。人間がこれまで行ってきたレベルの脆弱性発見能力を大きく超えている」と評価する。
技術的な詳細は公開されていないが、ミュトスはもともとサイバーセキュリティー専用ではなく、幅広い用途を持つ言語モデルとして設計されたという。「コーディング能力や推論能力を向上させた結果、サイバーセキュリティーで非常に高い能力を発揮することが判明した」と小松氏は説明する。
「産業革命」になぞらえる変化
小松氏は、ミュトスの登場を産業革命に例える。従来の脆弱性発見は「熟練工」が手作業で行うようなものだったが、ミュトスは「工場」のように大量・高速に処理する。これにより、防御側は「圧倒的に不利な立場」に立たされたという。
具体的には、ミュトスはコードを解析し、人間には見つけにくい論理的な欠陥やセキュリティーホールを自動で特定する。攻撃者はこれを悪用してシステムに侵入し、データを盗んだり、サービスを停止させたりする可能性がある。
防御策の模索
では、どうやってシステムを守ればいいのか。小松氏は「防御側もAIを活用するしかない」と指摘する。具体的には、ミュトスと同じようなAIを使って自社のシステムを常時スキャンし、脆弱性を事前に修正する方法が考えられる。また、AIの行動を監視し、異常を検知する仕組みも重要だ。
しかし、AIを使った攻撃と防御のいたちごっこは激化すると予想される。小松氏は「猶予は1~2年。その間に防御体制を整えなければ、深刻な被害が出る可能性がある」と警鐘を鳴らす。
国際的な警戒も
ミュトスの危険性は日本でも認識されており、金融業界のトップらが初の官民会議を開くなど、対策が急ピッチで進められている。アンソロピックは軍事利用にも強い危機感を示しており、米国防総省と対立する場面もあった。
AI技術の進化は止まらず、その影響はサイバーセキュリティーにとどまらない。社会全体で、AIの能力をどう制御し、活用するかが問われている。
