Claude Mythosが変える脆弱性管理～フロンティアAI時代の脆弱性管理（1）

生成AIの進化は業務効率化や生産性向上をもたらす一方で、サイバーセキュリティの前提を変えつつあります。これまで人手と時間を要していた脆弱性の発見は、AIによって大規模かつ高速に実施できる時代に入りました。企業にとっては脆弱性を見つける前に、攻撃者に見つけられるリスクが現実のものとなっています。

Anthropic社が2026年5月22日に公表した報告では、Claude Mythos Preview（以下、Mythos）が1,000以上のオープンソースプロジェクトから約2万件の脆弱性候補を検出しました。精査されたものの約9割は実際に脆弱なものであり、深刻なものも多数含まれていました。そのうち500件以上は開発元に通知され、一部はすでに修正・公開されています。

また、2026年6月9日には、Anthropic社から、一般利用が可能なAIモデル「Claude Fable 5」がリリースされました。同モデルは安全性を重視した設計となっており、容易に攻撃者が悪用できる状況ではありませんが、AI技術全体の進展を踏まえた場合、将来的に脆弱性の発見が高速化し、対策に追われることも考えられます。このことから、今後は、脆弱性を「見つけてから対処する」だけでなく、AIによって短期間で発見・悪用されることを前提とした管理体制への転換が求められます。

以下記事の通り、フロンティアAI時代では、過度に脅威に怯えずに、「侵入され得ることを前提とした多層防御」「早期検知」「脆弱性管理の徹底」といった取り組みを、AI時代のスピード感に適合させて高度化していくことが重要です。また、その選択肢の1つとして、防御側でもAIを活用し、検知・分析・対応の迅速化を図ることも有効です。

本連載では、フロンティアAI時代に有効な様々な対策の中から「脆弱性管理の徹底」に着目し、組織のセキュリティ推進部門やセキュリティ担当者向けに、これからの脆弱性管理で特に重要となる5つのポイントを説明します。連載第2回以降では、各ポイントを1記事ずつ取り上げ、具体的な対応例や考え方を連載形式で紹介していきます。連載第1回となる今回は、フロンティアAIがもたらした変革の実態を整理するとともに、フロンティアAI時代における脆弱性管理の課題や、企業に求められる対応の全体像について解説します。

フロンティアAIがもたらす変革

フロンティアAIがもたらす脅威を3つ記載します。スキルの低い攻撃者がフロンティアAIを活用することで、高度化されたサイバー攻撃が増加することも考えられます。

①未公開脆弱性（0-day）の大量発見

フロンティアAIはこれまでのAIと異なり、未公開の脆弱性（0-day）を検出する能力に優れています。

これまで、未公開の脆弱性（0-day）は発見自体が難しく、発見できるのは高度なスキルを持つ一部の研究者や専門組織に限られていました。しかし、Mythosは、従来モデルよりも未知の脆弱性探索や実証の能力が大きく向上していると報告されています。Mythosは利用者が研究者や一部の専門組織に限られており、誰でも利用できるような状態ではありませんが、AI技術全体が進展した場合、脆弱性は「短期間で大量に見つかるもの」へと性質が変化する可能性があります。

②攻撃コード生成の高速化

フロンティアAIは脆弱性を見つけるだけでなく、専門知識が必要とされていた攻撃コード作成の一部も自動化する可能性があります^※1。これにより、発見から攻撃までのリードタイムが大幅に短縮される可能性があります。

※1 Frontier AI: what you need to know | National Cyber Security Centre

先日一般公開された「Claude Fable 5」には攻撃に悪用されないようにAI側にセーフガードが設けられているため、これらの対策により容易に悪用されないように対策が取られていますが、万が一、攻撃者にフロンティアAIが悪用されてしまった場合には、攻撃の量と速度の両面でリスクが高まります。

③AIエージェントによる攻撃の自動化

近年のAIは複数の処理を自律的に実行する「エージェント」として利用され始めています。MythosのようなフロンティアAIと、外部システムやツールを呼び出して実行するMCPなどを組み合わせることで、攻撃の一連の流れの大部分が自動化され、継続的に実行される恐れがあります。

脆弱性管理における新たな課題

こうした変化によって生じる代表的な課題について説明します。

課題① 脆弱性増加による管理負荷の増大

フロンティアAIの影響により、検出される脆弱性の数は今後大幅に増加すると考えられます。しかし、従来の脆弱性対策基準のままでは、対策すべき脆弱性が過剰となり、重要な脆弱性が埋もれてしまうおそれがあります。加えて、担当者の工数にも限界があり、結果として脆弱性管理そのものが機能不全に陥るリスクが高まります。

課題② 発見と修正のスピード差の拡大

フロンティアAIによる「発見」は急速に進む一方で、脆弱性解消のためのシステムの「修正」は依然として人手に依存しています。そのため、発見と修正の間に大きなギャップが生じます。この構造は、攻撃側が優位に立ちやすい状況を生み出します。

課題③ 判断負荷の増大による対応の遅延

脆弱性の増加そのものに加え、フロンティアAI時代では「どれに対応すべきかを判断するプロセス」自体が、対応を遅らせる要因となります。誤検知の確認や影響度評価、対応可否の判断といった作業が増加することで、意思決定に時間を要するようになり、結果として優先度の高い脆弱性に十分対応できない状態に陥る可能性があります。

フロンティアAI時代に求められる脆弱性管理

冒頭に記載した通り、Mythosではすでに危険度の高い脆弱性が500件以上、開発元に通知されています。今後さらに800件以上の確認済み脆弱性について、開発元への開示を速やかに進める方針も示されているため、事前の備えが重要です。

特に直近では、以下3点を優先的に着手しておく必要があります。

• 資産の正確な把握と管理者の明確化
• 優先順位の設定（※ 特に外部公開資産は優先）
• 継続的に対応可能な体制の整備

これらを事前に整備しておくことで、急激な脆弱性増加時にも対応の優先順位を維持し、管理の破綻を防ぐことが可能となります。上記を含め、以下にフロンティアAI時代の変化を踏まえた脆弱性管理のポイントを5つ記載します。

①資産の把握・管理

守るべき対象を明確にすることが、防御の出発点となります。

• 定期および継続スキャンの実施
• Attack Surface Management（ASM）の活用
• 資産台帳の精度向上

資産の把握にあたっては、単に存在を把握するだけでなく、ソフトウェアの種類やバージョンまで含めて管理することが重要です。また、管理外のIT資産（Shadow IT）の存在にも留意し、把握漏れが生じないよう継続的に可視化を行う必要があります。さらに、各資産については、その後の脆弱性対応を視野に管理者を明確にしておくことが不可欠です。

②優先順位付けの高度化

フロンティアAI時代において特に重要なのが優先順位付けです。

• 公開状況や悪用可能性を考慮
• ビジネス影響を加味

「すべて対応する」のではなく、影響の大きいものに集中することが重要です。CVSS以外にも、公開状況や到達容易性、攻撃コードの有無といった観点から、"実際に攻撃に遭いやすいか"を基に判断する必要があります。特に外部に公開されているシステムは悪用されやすいため、優先度を高く設定することが望まれます。

③対応の高速化・自動化

攻撃に対抗するためには、対応のスピード向上が必要です。

• 対策優先度を自動で判断する仕組みの導入
• 仮想パッチの活用
• 自動パッチ適用

現実的には完全な自動化は難しい場合もありますが、対応時間を短縮する取り組みが重要です。特に大量の脆弱性が報告される状況では、「対策の実施」だけでなく、「どれに対応すべきか」を迅速に判断する仕組みが求められます。なお、自動パッチ適用については、適用範囲や運用影響を考慮しながら段階的に導入していくことが現実的です。

④開発段階での検出強化（Shift Left）

本番環境での発見では遅いため、開発段階での検出が重要になります。

• CI/CDにSAST、DAST、SCAを組み込む
• リリース前にセキュリティチェックを実施する

脆弱性を「後から対応する」のではなく、「作り込まない」ことが求められます。近年、ご支援しているお客様でも、CI/CDにSAST、DAST、SCAを組み込む取り組みや、その導入検討を開始する動きが増えてきており、開発段階からセキュリティを組み込むアプローチは着実に広がりつつあります。

⑤運用ルールの明確化・体制の構築

対応のばらつきや属人化を防止するため、ルールの整備が求められます。

• 対応基準のガイドライン
• 脆弱性管理フローの策定（検知〜評価〜対応までの流れ、承認フローなど）

さらに、これらのルールを実効性かつ継続性のあるものとするためには、体制面の整備も不可欠です。判断を仕組み化し、体制として運用できる状態にすることで、対応の遅延や対応漏れを防ぎます。

さいごに

フロンティアAIを巡っては、政府機関^※2からも提言が相次ぎ、その影響は技術的な課題にとどまらず、組織のリスク管理や経営判断にも及び始めています。AIによって脆弱性の発見速度が飛躍的に向上する中、脆弱性管理の観点としては、すべての脆弱性に対応しようとするのではなく「影響の大きいリスクを見極めて対策する」という考え方が欠かせません。

※2 AI性能の高度化を踏まえたサイバーセキュリティ対策の強化について ～Project YATA-Shield～ | 国家サイバー統括室

次回以降は、こうした背景を踏まえ、記載したフロンティアAI時代に求められる脆弱性管理の5つのポイントについて、具体的な対応例や考え方を解説していきます。AIによって変化する脅威環境の中で、組織としてどのような備えが必要なのか、一緒に整理していきましょう。

「今回記載した内容について詳細を知りたい！」「うちの会社の状況を説明するので一緒に対応方法を検討してほしい！」といったご相談がありましたら、ぜひお気軽にお問い合わせください。豊富な経験と知見を持つラックのセキュリティコンサルタントが、お客様の状況に応じた伴走支援型のコンサルティングで、実効性のある脆弱性管理の実現を支援します。

プロフィール