お客様関連
Kyndryl to modernize systems for North Carolina DMV
プレスリリース
2026年4月16日
コリー・マッセルマン(Cory Musselman) キンドリル CISO(最高情報セキュリティ責任者)
トニー・デ・ボス(Tony De Bos)キンドリル バイスプレジデント セキュリティ&レジリエンス
デジタルセキュリティの新時代
アンソロピック(Anthropic)は、新たなAIモデル「ミュトス」の驚異的な能力について、その詳細を明らかにしました。このAIモデルは、私たちを取り巻く機械との関係性を根本的に捉えなおし、さらには世界経済を支えるシステムそのものを変えてしまう可能性を秘めています。
現時点で私たちが把握しているのは、その能力のごく一部にすぎませんが、明らかになっている事実は、興奮を覚える一方で恐怖を感じさせるものとなっています。このモデルは、コードの精査や記述、複雑な問題解決において、これまでにない突出した能力を備えており、過去のあらゆる技術を大きく凌駕する「段階的進化(ステップチェンジ)」であるように見えます。
その圧倒的な能力は、ITやOT(オペレーショナルテクノロジー)のシステムにおけるリスクのあり方を大きく変えます。同社によれば、この新しいAIモデルは「ソフトウェアの脆弱性の発見および悪用において、極めて高度なスキルを持つ人間を除くほぼ全ての人間を凌駕する」とし、すでに数千件もの脆弱性を検出したといいます。これに対抗するため、同社は世界有数のテクノロジー企業を結集した「Project Glasswing」を立ち上げ、悪意ある攻撃者によるモデルの悪用を未然に防ぐ取り組みを開始しました。
グローバル企業にとって、これは、サイバーセキュリティの前提そのものが変わることを示しています。
AIによって強化された攻撃に直面する組織にとって「 “保護までのスピード(Speed-to-protect)”が最も重要な防御能力となるでしょう
グローバル企業への示唆
旧来のコードを高速かつ大規模に精査できるということは、長年見過ごされてきた脆弱性を特定し、悪用する可能性を広げます。理論上、新しいAIツールは、人間のハッカーが数週間かけて見つけていたような脆弱性をはるかに高い頻度とスピードで特定し、攻撃を仕掛けることができます。企業はこれまで、基幹システムの古さやアクセスの難しさにある種の安心感を持つことができました。しかしリスク自体は常に存在していて、攻撃者にとっての機会コストが高かったにすぎません。その前提はすでに成り立たなくなっています。
ここから浮かび上がるのは、これはサイバーセキュリティにおける一つの真理です。すなわち、AIは新たな脆弱性を生み出すのではなく、既存の脆弱性を、より高速、より広範に露呈させるのです。
私たちは今、セキュリティとレジリエンスの新たな時代を迎えつつあります。従来のベストプラクティスは、これらの変化に対応するため抜本的な見直しを迫られます。パッチ適用までのタイムラインは数日から数週間から数時間単位へと短縮される可能性があります。また、新しいソフトウェアのコードには、人間の処理能力をはるかに超える速度でエラーが検出されることを前提に、より厳格な品質基準を満たす必要があります。
AIにはAIで対抗する
こうしたAIの進化は、新たなツールの圧倒的な能力と、企業側の備えとの競争を生み出します。優位に立つのは、AIの力を活用しつつ、全社的に可観測性(オブザーバビリティ)を確保し、安全かつ迅速に変更を運用へ反映できる組織です。
この傾向は、銀行、医療、公共インフラ、保険、運輸といったミッションクリティカルな領域において、より顕著に現れます。重要なのは、これらのシステムは、脅威の調査を行う間も停止できないという点です。AIが迅速に問題を特定できたても、企業が本番環境を維持したまま修復を実装・検証できなければ、リスクは残ってしまいます。
変化の只中にあって、AIへの備えについて、組織が自問すべき基本的な問いがあります。次のような基本的な問いを自らに投げかけてみるべきでしょう。
どうすれば、より速く対応できるか?
AIによって強化された攻撃に対抗するためには、「守るまでのスピード(speed-to-protect)」が中核的な防御能力となります。ここで重要なのはスケールです。適切なガードレールと環境を備えた高度なAIは、その実現を後押しします。AIを活用した自動攻撃テスト(オフェンシブテスト)は有効ですが、それは前提として、企業全体に十分なオブザーバビリティが確保されている場合に限られます。これにより、サイバーレジリエンスは、アラートと対応から、継続的かつ適応的な制御へと進化します。勝者となるのは、攻撃者よりも早く最新のツールを導入できる組織であり、同時に、テクノロジー基盤を戦略的に構築して、レジリエンスと主体性を高められる組織です。
社内のAIエージェントをどのように統制するか?
エージェンティックAIシステムは、脆弱性の検出を加速し、人手によるボトルネックを軽減します。一方で、新たな内部リスクももたらします。すなわち、エージェントに設定ミスがあったり、エージェントが侵害を受けたりすると、外部の攻撃者と同程度の損害をもたらす可能性があるということです。そこで、組織には、アイデンティティ、権限、職務分離を明確に定義したAIオペレーティングモデルが求められます。具体的には、エージェントが何にアクセスできるのか、何を変更できるのか、どの操作に人間の承認が必要なのか、そして行動がどのように記録・監査されるのかを明確にする必要があります。
守るべき最重要資産は何か?
企業は、自社の重要データがどこに保管・処理され、運用するシステムにおいて、自社がどの程度、統制できているのかについて、ますます強い関心を持つようになっています。しかし、すべての領域に同時に最大限のリソースを投入できる企業はほとんどありません。そこで、企業は自社の「クラウンジュエル(最重要資産)」を特定し、セキュリティの優先順位を定める必要があります。例えば、データを安全な領域に隔離・保管すること(ボルティング)、脆弱なシステムから物理的に切り離すこと(エアギャップ)、さらには攻撃の影響範囲(ブラストレディウス)を最小限に抑える構造を検討することが重要です。
これは、テクノロジー分野の経営層がすでに認識している事実を、改めて突きつけるものになります。すなわち、AI技術の進化は加速し続け、新しいAIモデルはますます高性能化し、その進歩が鈍化する兆しは見られないということです。
ここ数年で、AIは「便利ツール」から「現代のビジネスに不可欠な要素」へ、そして今や「企業の存在そのものを脅かしかねない潜在的脅威」へと急速に進化してきました。不確定な新しい現実を迎え、企業にはこれまで以上に、信頼できるパートナーが必要です。ミッションクリティカルなシステムに精通し、可観測性を確保するためのツールと、変化のスピードに対応し得るテクノロジーを備えているパートナーが、この新時代を導く鍵となります。
本記事は、2026年4月9日(米国現地時間)にキンドリルが公開した記事の抄訳です。本記事の正式言語は英語であり、その内容および解釈については英語が優先されます。原文は下記URLをご覧ください。 https://www.kyndryl.com/in/en/insights/articles/2026/04/ai-poses-future-enterprise-cybersecurity-risk
