AIサイバーセキュリティと取締役の注意義務|2026年最新の脅威に日本企業が備えるべき防衛基準
2026.06.12UP!
- blog
- AIサイバーセキュリティ
- Claude Mythos
- Project Glasswing
- セーフハーバー
- 内部統制
- 取締役責任
- 注意義務
- 経済安全保障
- 金融庁
防御能力は「買える商品」ではなくなった——Mythos後、日本はどの配分テーブルに座るのか
防御能力が、公共財でも通常商品でもなくなった
AIによるサイバー防御能力は、これまで通常のソフトウェア製品の延長線上で語られてきた。優れた診断ツールがあり、それを買うかどうかは各社の判断だった。Anthropicが2026年4月に開始したProject Glasswingと、その中核に置かれたClaude Mythos Previewは、この前提を壊した。
Mythos級の能力は、ソフトウェアの脆弱性を発見するだけでなく、それを攻撃に転用することもできる。攻撃と防御の両面に使えるがゆえに、Anthropicはこれを一般提供せず、約50の参加組織に限定して使わせている。重要ソフトウェアの保有者、防御の実装者、主要なセキュリティ企業が対象だ。
ここで日本が直面する問題は、「そのモデルを買えるか」ではない。最高水準の防御能力にアクセスできる企業とできない企業の間で、合理的に予見可能な攻撃水準だけが共通化し、防御手段だけが非対称に配分される——これが本質である。
最初に、混同しやすい二つの制度を分けておく。一つはProject Glasswingで、これはAnthropicの私的選定により現に稼働している限定アクセスだ。もう一つは、2026年6月2日の米大統領令が示したtrusted partners枠で、政府主導の任意協力・情報共有(clearinghouse)・選定の枠組みであり、なお構築途上にある。後者は強制的なライセンスでも事前承認制でもなく、日本企業に取得権を生む制度ではない。両者を一つの「配分制度」として語ると、議論の精度が最初の段落で崩れる。
Mythosは「発見能力」ではなく、脆弱性処理の前提を変えた
Glasswingの初期成果は、単に「多くの脆弱性が見つかった」という話ではない。
Anthropicが5月22日に公表した中間報告によれば、約50のパートナーはMythos Previewを使い、世界で最も基幹的なソフトウェアの中から1万件を超える高・重大度の脆弱性を発見した。同社自身が認めるとおり、制約はもはや発見の速度ではない。検証し、優先順位をつけ、開示し、修正し、パッチを適用し、証跡化する人間側の処理能力に、ボトルネックが移った。
数字はこの移動を裏づける。オープンソースの精査では、独立した6社のセキュリティ企業等が査定した約1,750件のうち、事後トリアージの結果として真陽性率は90.6%に達した。ただしこれは査定済みの部分集合についての値であり、未トリアージのまま残る膨大な出力の偽陽性率は依然として公表されていない。この留保は重要だ。検証された範囲では精度が高い、というのと、出力全体が信頼できる、というのは別の主張である。
処理が制約であることは、別の数字にも表れている。高・重大度のバグ一件を修正するのに平均でおよそ二週間を要し、オープンソースの保守者の一部は、パッチを設計する時間が足りないとして開示ペースを落とすよう求めている。発見は安くなったが、修正は安くなっていない。
したがって、希少資源の所在が変わった。従来は発見能力が希少だった。今後は、AIが大量に吐き出す高・重大度脆弱性を、どの順番で、誰が検証し、誰が修正し、誰が証拠として残すかが希少資源になる。
そしてもう一つ、配分の境界そのものが動き始めている。Anthropicは、Mythosで用いてきたハーネス、スキル、脅威モデルビルダーを、一定の要件を満たす顧客のセキュリティチームに開放し始め、Claude Securityも公開ベータに入れた。ゲートされ続けるのはモデル本体に収縮しつつあり、それを取り巻く能力スタックの周辺層は、すでに拡散の側に回っている。 この事実が、後述するとおり、日本の打ち手の重心を「アクセスできるか」から「受け取ったものを国内で回せるか」へ移す根拠になる。
従来型の経済安全保障とは、問題の型が違う
この問題を、半導体や防衛装備と同じ枠組みで扱うと外す。
半導体は、国内で作れなくても買える場合がある。防衛装備には、FMS(対外有償軍事援助)のような制度化された政府間調達の経路がある。Mythos級能力は、現時点でそのどちらでもない。通常購入の市場もなければ、明確な政府間調達制度もない。私的選定と、trusted partnersとしての適格性と、重要ソフトウェア保有者であることが重なった、未成熟なクラブ財である。
だから、この問題は「供給途絶」ではない。より正確には、防御能力の配分テーブルに日本がどう参加し、その結果を国内にどう再配分するかという、一段手前の問題だ。日本が長年積み上げてきた経済安全保障の枠組みは供給の途絶を想定して設計されているが、ここで問われているのは、供給以前の参加権である。
二つのリスク面が、一つの能力の中で衝突している
Mythos級能力には、性質の異なる二つの規制論理が同居している。
第一は、安全・信頼性の面だ。誤検知、検証の困難さ、選定の恣意性、トリアージしきれない出力量が問題になる。この面には、航空安全に確立した制度が移植できる。リリース前の型式証明、個別組織を晒さずに集計の安全統計を集めるASRS型の無過失・保護付き報告、そして欠陥の類型が見つかれば機体全体に修正を強制する耐空性改善命令(AD)型の横断的な修正命令である。要点は、危険な知識そのもの、すなわちエクスプロイトは拡散させずに、統計・検証手続・開示状況・修正状況という制度的信頼性だけを確保することだ。Anthropicが集計統計と開示ダッシュボードを公表していることは、この原型の自発的な実装と見てよい。欠けているのは、第三者による監査と、国別・業種別にどう配分されているかの透明性である。自発的な開示と、制度として義務づけられた開示の差が、ここにある。
第二は、敵対・拡散の面だ。この面では、銃のように一つの物体を免許で管理する発想は成立しない。Mythos級能力は、モデル単体ではなく、モデルとハーネスと脅威モデルと検証フローとパッチ運用と開示手続が組み合わさって初めて能力になる。モデルの重みを複製することと、能力スタックを複製することは同じではない。 現実に絞り込めるチョークポイントは、計算資源の側に偏る。
この二面が衝突する。拡散を防ぐためにアクセスを絞ることは合理的だが、絞られた側にも「その攻撃能力は合理的に予見可能だった」という評価が及んでしまう。ここから、次の不公平が生じる。
攻撃水準は共通化し、防御手段だけが限定配分される——日本に固有の罠
Mythos級能力が存在すること自体によって、攻撃者が使い得る能力水準の想定は引き上げられる。日本企業がMythosにアクセスできなくても、監査、内部統制、取締役会、保険引受、委託先管理の場面では、「AIによって発見・悪用され得る脆弱性を、どう管理していたか」が問われる。
参加企業は、この能力で防御水準を引き上げられる。非参加企業は、同じ攻撃水準を前提に、説明責任だけを負う。とりわけ医療機器、産業制御、地域金融、組込み、レガシーシステム、地方インフラといった領域では、最も支援を必要とする主体ほど、クラブの外側に置かれやすい。
ここで、日本に固有の罠が立ち上がる。日本の取締役の責任は、結果を回避できたかではなく、世論やマスメディアは「最高水準の防御手段がなければ防げなかった」という結果ベースの弁明は、それ自体では受け付けられない。Mythos級能力の公知化は、「相応の内部統制」が前提とすべき攻撃水準を繰り上げる。一方で、その水準に応える防御手段はクラブの外に遮断されている。
結果として、米国企業の私的判断による遮断と、日本のプロセス審査による弁明不能とが、掛け算になる。 義務の水準だけが上がり、それを満たす手段を最も得にくい側に、負担が落ちる。攻撃能力が拡散し防御能力がクラブ財化するという構図は、米国でもドイツでも書ける。だが、遮断された手段の不在を弁明しにくいという罠(加害者としての側面が強調されやすい)は、日本の構造に固有のものだ。
したがって、本稿の主張は「日本企業にも平等にMythosを使わせろ」ではない。限定的に配分された防御能力を、国内の非参加企業へどの粒度で還元し、どこまで対策すれば相応と評価されるかを、検討することである。
日本の手札——ないものとあるものを分ける
ないもの:フロンティアモデルそのもの、学習基盤としての計算チョークポイント、そして米国AI企業に参加を要求する強い法的根拠。この三つを日本は持っていない。手札を誇張しても始まらない。
あるもの:第一に、同盟国としての政府間交渉の枠。第二に、すでに国内に存在する参加ノードである。2026年6月3日、トレンドマイクロ(東証プライム4704)の法人向けブランドTrendAIがGlasswingへの参加を公表した。第三に、重要インフラ運用、OT、地域金融、医療、組込みの現場知。第四に、能動的サイバー防御法制によって整備されつつある官民連携の受け皿だ。
つまり日本の打ち手は、「モデルを作ること」ではない。参加ノードを増やし、国内還元の制度設計を先に作ることにある。
日本の動き方——獲得・配分・基準の三層
獲得は、官民の二経路で取る
民間経路では、重要ソフトウェアの保有者、重要インフラ事業者、セキュリティベンダー、OT・組込み領域の中核企業が、Glasswingやtrusted accessの適格性を個別に取りに行く必要がある。金融では、これはすでに動き始めている。報道では、3メガバンクがMythosへのアクセス権取得したとされる。
政府経路は、陳情ではない。Anthropicは中間報告の中で、今後は米国および同盟国の政府を含む重要パートナーと連携してGlasswingを拡大する、と公式に述べている。同盟国政府枠は、すでに開かれた制度的入口だ。日本政府が取りに行くべきは、この扉である。
国内配分は、政府が受け皿になる
個別企業がそれぞれ参加するだけでは足りない。それだけなら、米国の私的配分構造を、日本国内でそのまま再生産することになる。参加ノードが得た集計情報、修正情報、脅威モデル、推奨対策、仮想パッチ、優先順位付けの情報を、非参加企業へ展開する役割は、正統性と法的基盤の両面から、政府にしか担えない。
この受け皿は、経済安全保障推進法に無理に載せるべきではない。同法の四本柱、すなわち重要物資の安定供給、基幹インフラ役務の安定提供、先端重要技術、特許非公開のいずれにも、この問題はきれいに収まらず、「物資でも設備導入審査でもない」という反論を招く。
そして重要なのは、これがもはや提案ではないことだ。配分の受け皿は、すでに二層で動き始めている。横断のバックボーンとして、内閣官房・国家サイバー統括室が5月18日に重要インフラ15分野を対象とするProject YATA-Shieldを決定した。その分野別の実装が、金融に現れている。金融庁は、4月24日に片山金融相のもとで日銀・3メガバンク・日本取引所グループ首脳らによる官民連携会議を開き、5月14日には36団体が参加する作業部会を初めて開催、その議論を踏まえて5月22日に日銀と連名で「フロンティアAIによる脅威変化を踏まえた金融機関等の短期的な対応」を要請として公表した。
この作業部会の参加組織は、金融庁が実名で開示している。みずほ・三井住友・三菱UFJの3メガバンク、日本取引所グループ、セブン銀行、楽天銀行に加え、ITベンダー等としてAnthropic Japan、OpenAI Japan、グーグル、日本マイクロソフト、アマゾン ウェブ サービス ジャパン、NEC、日立、富士通、NTTデータ、野村総研などが、政府機関等としてAIセーフティ・インスティテュート、国家サイバー統括室、財務省、日本銀行が名を連ね、事務局を金融庁が務める。配分の現実の回路もここに埋まっている。〈大手金融機関+AIベンダー+AISI+国家サイバー統括室の作業部会〉から、〈金融ISAC・金融情報システムセンター・全国銀行協会・全国地方銀行協会・信金中央・第二地銀協・損保協会・生保協会・日証協といった業界団体〉を経て、〈作業部会に入っていない地域金融機関・中小金融機関〉へと流れる。本稿が抽象的に「配分層」と呼んできたものの、具体的なアーキテクチャがそのまま実装されている。
ただし、ここで一線を引いておく必要がある。金融庁は参加組織を実名で開示する一方、作業部会の詳細はサイバーセキュリティに関する内容を含むとして非公表にしている。誰が部屋にいるかは事実だが、何が議論され、ベンダーとの再共有がどう処理されているかは、外からは分からない。同席という事実から中身を推認してはならない。むしろこの「参加者は開示し、内容は非公表」という構造自体が、前節で述べた粒度の線引き——統計と修正は流すが、エクスプロイトは止める——を、会議体の運営レベルで操作化したものだと読める。
要するに、新しい制度を作る話ではない。既存の受け皿に「何を、どの粒度で流すか」を決める設計問題へと、論点を変換する。接続先は、横断ではサイバー対処能力強化法制の官民協議・情報共有の枠組み、分野別ではこの金融庁の器であり、後者は仮説ではなく稼働中だ。
基準は、民間専門家が先に供給する
政府が動く前に、民間の専門家が基準を出す番がある。少なくとも四つを先に設計する必要がある。
参加企業が国内で共有すべき情報の範囲。協議会等に流す情報の粒度——統計、修正情報、検証済みの緩和策は流すが、エクスプロイトは止めるという線引き。そして、非参加企業がどの情報を受領し、どの標準対策を採用すれば、相応の注意義務を尽くしたと評価されるか。この三つ目は、先に挙げた航空のAD型、すなわち修正の受領をもって機体全体の安全水準を満たしたとみなす仕組みの、制度的な応用である。前例のある設計であって、思いつきではない。これが、義務水準だけが上がる前節の不公平に対する、直接の解になる。
ただし、この「受領をもって相応とみなす」セーフハーバーは、非公表の任意作業部会からは生まれない。注意義務の水準を法的に確定できるのは、監督指針・告示・検査運用といった監督ルートだけだ。金融には、その車両がある。5月22日の金融庁・日銀要請は、既存のサイバーセキュリティガイドラインをAI脅威の前提で再整理し、「すべてを守る」から「重要サービスを優先して守る」へと、相応とされる対応の標準を実際に動かし始めた監督上の一手だった。つまり金融なら、AD型セーフハーバーは監督要請と検査運用で組める。ここに、見落としてはならない第二の非対称がある。クラブのゲートが参加企業と非参加企業を分けるのに加えて、国内のセクター間でも器の厚みが違う。金融は、金融ISACやFISCという濃い配分インフラと、単一の監督庁という車両を併せ持つ、最も恵まれたセクターだから回る。電力、医療、製造、地方インフラ、組込みのように、配分インフラも監督車両も薄い分野では、同じ器は組めない。最も曝露している面が、最も器を持たない——これが、金融の実装事例を裏返したときに見える本当の課題である。
四つ目は、検証、トリアージ、パッチ展開、仮想パッチ、ログ、証跡化を含む、国内の吸収力の基準だ。配分のゲートがモデル本体に収縮し、周辺層が拡散しつつある以上、最終的な制約はアクセスではなく吸収力に移る。受け取っても回せなければ、配分されても意味がない。
想定される反論への応答
第一に、そもそもAnthropicの判断に日本が口を出せるのか、という反論がある。直接の参加権を要求することは難しい。だが、同盟国政府枠、重要インフラ防護、trusted partners、国内の受け皿設計を通じて、配分を取り巻く周辺の制度には参加できる。配分そのものを動かせなくても、配分の前後は設計できる。
第二に、能力を拡散させるのは危険ではないか、という反論がある。これは正しい。だからこそ、共有するのはエクスプロイトではなく、統計、優先順位、修正情報、緩和策、証跡化の基準である。二つのリスク面のうち、敵対・拡散の面を悪化させずに、安全・信頼性の面の情報非対称だけを緩める——これが設計の眼目だ。
第三に、日本企業は通常のセキュリティ対策を強化すればよいだけではないか、という反論がある。半分は正しい。だが不十分だ。能力の公知化が義務の水準を繰り上げ、しかも日本法は結果ベースの弁明を許さない。問われるのは「追いつくか」ではなく、「追いついた証跡があるか」である。従来のパッチ管理、脆弱性診断、委託先管理を続けるだけでは、この証跡の水準には届かない可能性がある。現に「フロンティアAIによる脅威変化を踏まえた金融機関等の短期的な対応」に係る要請が行われている。
結論——配分テーブルに座る前に、配分の前後を設計する
国営化か民営化かという問いは、すでに古い。Mythos後の本当の問いは、防御能力の配分テーブルに誰が座り、その成果を国内の非参加主体にどう還元するか、である。
日本が避けるべきは、Mythos級能力を「すごいツール」として追いかけることでも、米国企業の選定を単に不公正だと批判することでもない。問題は、限定的に配分された防御能力を、国内の重要インフラ、地域金融、医療、産業制御、組込みの領域にまで、どの粒度で、どの責任配分で、どの証跡をもって還元するか、にある。
配分のテーブルは、他国の一民間企業の私的判断を起点に設営された。それでも、同盟国政府枠、trusted access、官民協議、そして参加ノードという扉は、現に開いている。手札を誇張せず、その扉の先にある国内配分の設計を先に書く者が、次の基準を取る。
AIによる脅威の公知化が、企業に求められる対策の前提を引き上げつつあると見ています。特に、最新の防御手段を持っているかよりも、新たな脅威を前提にどこまで備えたかを記録に残せているかについては、事情によって対応が異なるため、早めの確認をお勧めしています。
【チェックリスト】
以下に1つでも該当する場合は、専門家への確認をお勧めします。
- AIによって弱点が見つけやすくなっているという変化を、自社の問題として話し合ったことがない
- 「これまで大きな問題は起きていない」ことを、対策が足りている理由にしている
- 何かあったとき、「ここまで備えていた」と社外に示せる記録を残せていない
- 守るべき業務やシステムに優先順位をつけ、最初に守る対象を決められていない
1つでも該当した方は、まずは『自社が今どこまで備えられているか』の確認だけ、ご相談ください。
「うちは今のところ大丈夫」——そう判断した数か月後、取引先や監査の場で「AIで見つかるような弱点に、どう備えていたのか」を問われ、答えに使える記録が手元にない。対策そのものより、備えを示せないことが損失につながります。
弁護士への相談は、何か起きてからだと思われがちだ。だが実際には、問題が起きる前に「どこまで備えれば足りるか」を確認しておくことが、最もコストの小さい打ち手になります。
まずは「自社の備えが説明できる状態かどうか」の確認だけ、問い合わせフォームからご相談ください。