ここ数週間、IT業界の話題は米Anthropicが発表したセキュリティ特化型エージェント「Claude Mythos」一色と言ってよい状況です。Mythosは、対象システムに対して自律的に脆弱性スキャンと攻撃シナリオの検証を回し、結果をレポート化するAIエージェントとされており、これまで人間のセキュリティエンジニアが時間をかけて行っていた診断作業を、大幅に高速化・低コスト化する性質を持ちます。
イメージ画像(Adobe Stock)
政治・社会への影響も大きく、チームみらいの安野たかひろ氏はBloombergの取材に「日本政府はAnthropicに働きかけ、初期アクセスを得る努力をすべきだ」と答えました。SNSでは「これでペネトレーションテスト会社は終わる」「ホワイトハッカーは失職する」といった単純化された言説が拡散。一方で「いや、本当に危ないのは別の場所だ」という反論も飛び交っています。
盛り上がりの中身を冷静に分解すると、Mythosそのものの性能というより、「攻撃側のコストが下がる」という構造変化に対する漠然とした不安が議論の正体といえるでしょう。
これまで脆弱性発見には、それなりに熟練した人間の時間が必要でした。AIエージェントが24時間スキャンと検証を回し続けるのが当たり前になれば、攻撃側の経済合理性が大きく変わります。本稿ではMythosのようなAIスキャナーの普及がセキュリティ業界の構造にどんな変化をもたらすのか。IT組織作りに携わってきた筆者の視点から分析してみたいと思います。
著者プロフィール:久松 剛(エンジニアリングマネージメント 社長)
合同会社エンジニアリングマネージメント社長。博士(慶應SFC、IT)。IT研究者、ベンチャー企業・上場企業3社でのITエンジニア・部長職を経て独立。大手からスタートアップに至るまで約20社でITエンジニア新卒・中途採用や育成、研修、評価給与制度作成、組織再構築、ブランディング施策、AX・DXチーム組成などを幅広く支援。