Anthropicは脆弱性発見と悪用の速度がAIにより急速に高まっていると警鐘を鳴らし、企業向けの防御体制強化に関する指針を発表した。攻撃側だけでなく防御側もAIを活用する必要性が高まっており、パッチ適用の迅速化や出荷前の欠陥検出強化など、複数の実践的対策が求められている。
## 脆弱性発見を加速させるAIの脅威
Anthropicは2026年4月10日(現地時間)、AIの進展によってソフトウェアの脆弱性発見と悪用の速度が急速に高まっているとして、企業の防御体制強化に関する指針を発表した。同社は最新モデル「Claude Mythos Preview」を活用する取り組み「Project Glasswing」を通じ、攻撃側だけでなく防御側にもAIを活用すべき段階に入ったとの認識を示している。
Anthropicによれば、AIは脆弱性の検出や悪用コードの作成に必要な時間や技能の壁を大きく下げている。今後24カ月以内には、長期間見逃されてきた多数のバグがAIによって発見され、実際の攻撃に利用される可能性があるという。既に一般公開されている比較的性能の低いモデルでも、従来のレビューで見逃されてきた深刻な問題を見つけているとのことだ。
## AI加速型攻撃への対抗策:組織が直面する課題と実践的な防御実装
こうした状況に対し、同社は防御側もAIを取り入れることで対抗できると指摘し、具体的な対策を整理した。
### パッチ適用の遅延解消(最優先事項)
既知の脆弱性は公開後すぐに悪用手法が確立されるため、インターネット公開システムでは24時間以内の対応が望ましい。米国の既知悪用脆弱性カタログや確率指標を活用し、適切な優先順位を付けることが重要である。
### 脆弱性報告の急増への備え
報告件数が桁違いに増えることを見込み、受付・分類・修正管理の仕組みを根本から見直す必要がある。オープンソース依存関係の安全性評価やベンダーに対しても同水準の対策を求めることが求められる。AIを報告の重複整理、影響分析、修正チケット作成などに役立てることも有効である。
### 出荷前の欠陥検出体制の強化
静的解析、AIによるコードレビュー、継続的テストの導入によって問題の早期発見を図ることが重要だ。ビルド工程の保護や安全設計の原則を採用し、新規開発ではメモリ安全性の高い言語を利用することも推奨される。
### 既存コードの再検証
長期間運用されているシステムには未発見の問題が残る可能性が高いため、AIによる再分析を実施すべきだ。特に外部入力処理や認証関連など、影響の大きい箇所から優先的に調査することが効果的である。
### 侵入を前提とした設計
侵入を完全に防ぐことは困難なため、ゼロトラストの採用、ハードウェア認証、短期間で失効するトークンの利用などで被害範囲を限定することが重要である。
### 公開資産の把握と削減
接続資産を正確に把握し、不要なシステムを停止して攻撃面を縮小させることが求められる。AIを活用して未使用コードや不要なサービスを特定し、模擬攻撃による検証を実施することも有効である。
### インシデント対応の迅速化
アラートの初期分析や記録作成をAIに任せ、人間が判断に集中できる体制を構築することが重要だ。複数の同時事案を想定した訓練や、検知能力の可視化を重視する必要がある。
### 脆弱性報告の質の確保
AI生成の報告が増える中で、人間による検証、再現手順、修正案の提示を不可欠とし、信頼性を確保することが求められる。
### 専門部門を持たない組織向けの対策
自動更新の有効化、マネージドサービスの利用、ハードウェア認証の導入が推奨される。コードホスティングサービスが提供する無料のセキュリティ機能を積極的に活用することも効果的である。
## 継続的な指針の更新
Anthropicは今後もパートナーとの取り組みを通じて指針を更新するとしており、AI時代における防御戦略の継続的な見直しの必要性を強調している。
