「ミュトス」の出現が、日本の能動的サイバー防御を変える──図らずもつかんだ“世界先行”のシナリオ

ミュトスが突きつけた「能動的サイバー防御」の現実

　Claude Mythos（ミュトス）の登場は、サイバーセキュリティの前提をあらためて問い直している。ミュトスは、オペレーティングシステム（OS）やブラウザに潜む未知の脆弱性を人間とは比較にならないレベルで、高精度かつ圧倒的なスピードで洗い出す。これを受け、日本政府は金融機関や重要インフラ事業者、ソフトウェア開発企業に対して、異例のスピードで対策を要請するなど対応を急いだ。

　これまで議論されてきた「能動的サイバー防御（Active Cyber Defense）」は、どちらかといえば人間主体のセキュリティチームが攻撃者を追跡し、先手を打って脅威を排除する枠組みとして捉えられる。しかし、ミュトスの出現は、防御の主戦場を「AI対AI」のスピード勝負へと大きくシフトさせつつある。

　米ゼットスケーラーでAPJ（アジア太平洋・日本）地域の政府関係部門を統括するアダム・ドベル氏は、日本の現状について次のように指摘する。

　「歴史的に日本は、言語の壁によってサイバー脅威から一定守られてきた側面がある。しかし、攻撃者が機械翻訳や高度な生成AIを駆使しはじめたことで、その防壁は急速に崩壊しつつある。フロンティアAIによる脅威の加速は、アジア太平洋地域全体の重要インフラ事業者にとって重大なリスクであり、日本も例外ではない」（ドベル氏）

　ドベル氏が指摘するように、これまでもゼロデイ攻撃は存在していた。しかし、ミュトスが突きつけるのは、人間中心のタイムスケールに基づいた防御モデルの限界である。AIを前提とした超高速なサイバー空間に即した、新たな防衛戦略へのシフトが急務となってきた。

日本の「能動的サイバー防御」とは何か

　日本を取り巻くサイバー脅威が深刻化する中、国内では「能動的サイバー防御」の法制化と運用に向けた議論が急速に進んだ。日本政府は、国家安全保障戦略などを柱に据えて、サイバー攻撃の兆候を事前に察知し、必要に応じて相手側のインフラに技術的な措置を講じる枠組みの構築を目指している。この動きは、従来の「専守防衛」的な事後対処から、サイバーインフラへの事前介入も視野に入れた大きな戦略的転換を意味する。

　欧米や豪州といった諸外国のアクティブ・ディフェンスと比較したとき、日本の取り組みには独自の特徴と慎重さが見られる。米国や豪州では、国家安全保障機関がより直接的かつ強力な権限を行使する傾向にあるが、日本は憲法上の制約や「通信の秘密」への配慮から、民間との合意形成や法的な説明責任を重視した、“民主的なアプローチ”を採用している。いわば国内の通信全体を一律に監視するのではなく、メタデータなどの活用を中心としたルールベースの運用と、権限のエスカレートを防止するための厳格なガバナンスが議論の前提となっている。

　こうした日本のサイバー政策の進展について、ドベル氏はポジティブに評価した。

　「日本では伝統的に、業界の自主的なガイドラインや官民の自発的な協力といった、コンセンサスに基づいた政策を採用してきた。現在の能動的サイバー防御を巡る法制化の動きは、それを国家規模の運用へと進化させる戦略的な転換点といえる。何より、このアプローチが民主的なフレームワークとルール、官民の合意形成に基づいて慎重に設計されている点は、国際的にも注目に値する」（ドベル氏）

　日本の政策は他国と比べて、一見すると控えめで進展が遅いように映るかもしれない。しかし、法的な透明性とレジリエンス（回復力）に深く根ざした日本型のアプローチは、長期的な信頼性と安全性を担保するための強固な土台ともなり得るようだ。