SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • Security Online
  • DB Online
  • 財務・会計Online
  • ニュース
  • 新着記事一覧
  • イベント

    IT Strategy Summit 2026
    2026年7月16日(木)東京・JPタワーホール&カンファレンスで開催

  • 特集
    • 待ったなし!「新リース会計基準」対応への一手

      待ったなし!「新リース会計基準」対応への一手

    • 2025年のトップランナー35人が見据える今と未来 年末特別インタビュー presented by EnterpriseZine

      2025年のトップランナー35人が見据える今と未来 年末特別インタビュー presented by EnterpriseZine

    • Next エンタープライズAI

      Next エンタープライズAI

    • 酒井真弓の『Enterprise IT Women』訪問記

      酒井真弓の『Enterprise IT Women』訪問記

    • コミュニティ型勉強会「情シス塾」

      コミュニティ型勉強会「情シス塾」

    • IT部門から“組織変革”を~気鋭のトップランナーを訪ねる~

      IT部門から“組織変革”を~気鋭のトップランナーを訪ねる~

  • ブログ

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

IT Strategy Summit 2026

2026年7月16日(木)東京・JPタワーホール&カンファレンスで開催

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2026年冬号(EnterpriseZine Press 2026 Winter)特集「AI時代こそ『攻めの経理・攻めのCFO』に転じる」

Security Online Press

フロンティアAIで攻撃が高度化/国家間のサイバー戦もAIで激化 企業が構築すべき「動的防御」の姿とは

攻撃者による時間制約が消えた今、企業は「見えない状態」を作り出す必要がある

 米国時間2026年6月8日〜11日に開催された「Zenith Live 2026」。2日目の基調講演では、「GPT-5.5」などに代表されるフロンティアAIモデルの脅威などが紹介された。また、AIは国家間のサイバー戦でも悪用されており、企業が見るべき観点は実に多様化している。本記事では、イベントの基調講演の内容や個別取材、最新の地政学リスクに焦点を当てたセッションのレポートなどを通じて、企業が備えておくべきセキュリティ対策のヒントをお届けする。

AIエージェントによる高度なサイバー攻撃は、もはや現実のものとなっている

 2026年、生成AIの技術革新はサイバーセキュリティの勢力図を根底から塗り替えつつある。「Zenith Live 2026」2日目の基調講演において、CSOのDeepen Desai氏が発表した最新の脅威動向は、大企業のIT部門に大きな衝撃を与えるものだった。特に、「Mythos」や「GPT-5.5」に代表される最新のフロンティアAIモデルは、単なるテキスト生成の域を完全に超え、高度なマルチステップの論理思考を実行する能力を獲得している。

 講演では、高性能な自律型AI攻撃エージェントを用いた攻撃プロセスの一例が、デモンストレーション形式で紹介された。まず、エージェントは標的企業が公開している脆弱性報奨金プログラムを悪用する。自律的に研究者として偽装登録し、そのプログラムの行動規範をインテリジェンスとして取得。このルールに基づいて検知アラームを回避する閾値を計算し、SOCの監視をかいくぐる。

 次に、インターネットに露出しているGrafanaサーバーを標的に定め、2つの「中レベル」の脆弱性(CVE)を自動でチェイニングすることにより、サーバーのルート権限を奪取した。そこから、サーバー管理者であるA氏の資格情報を盗み出し、開発チームが利用しているコーディングアシスタントの開発スキルファイルを改ざん。バックドアとなるPowerShellスクリプトを挿入した。

 他の開発者がこのファイルにアクセスした瞬間にマルウェアが実行され、開発者アカウントの認証トークンやAPIキー、ソースコードが奪取、攻撃者側のリポジトリへ送信されるのだ。さらに、自律エージェントは標的企業の顧客向けソフトウェアアップデートにバックドアを仕込み、下流の全顧客を巻き込む大規模なサプライチェーン攻撃の準備までをも整えた。

 この全工程で、AIが消費したトークン数は4700万トークン、攻撃者が支払ったインフラコストは486ドルだった。これは、極めて安価かつマシンスピードで、どんな企業もターゲットにされる時代に突入したことを物語っている。

Deepen Desai, EVP, Chief Security Officer, Zscaler, Inc.

 「このようなマシンスピードの攻撃に対し、大企業IT部門が従来通りのパッチ適用を繰り返す防御モデルは、構造的限界に直面している」と、個別取材にてZscaler Swamy Kocherlakota氏は語った。

 大企業は、歴史が長ければ長いほど無数のレガシーアプリケーションを抱えており、そこには絶えず未知の脆弱性が生まれつづけている。しかし、企業のIT部門がパッチを安全に適用するために設定されているメンテナンス時間は年間52回(週1回)程度にすぎない。何百ものアプリケーションに対して、テストと適用を毎週繰り返しても、自動でチェーン化される脆弱性の発見・悪用スピードには追いつけないのが実情だ。

 したがって、企業が最初に取り組むべきは、パッチ適用に依存するのではなく、アプリケーションそのものを外部から「不可視(Invisible)」にすることだという。スワミー氏は、企業が整えるべきシステム構成を「強固な鍵やドアノブで武装した豪華な邸宅」に例えながら説明する。

 「どんなに扉に鍵をかけても、攻撃者は扉をノックしつづけ、いずれ破る方法を見つけ出す。その中で、Zscalerが提供するゼロトラスト・アーキテクチャの本質は『邸宅そのものを周囲から完全に消し去ってしまうこと』にあります。正当なアクセス権限をパスしたユーザーだけに邸宅への道が開かれ、それ以外のAIエージェントを含むすべての攻撃者からは、そもそもターゲットとなるサーバーやポートが認識すらできない状態を作り出すことで、企業の安全を守ることができます」(Kocherlakota氏)

Swamy Kocherlakota, EVP, Agentic AI Security Engineering, Zscaler, Inc.

次のページ
AIによって地政学リスクも高度化 湾岸戦争を起源に考える

この記事は参考になりましたか?


広告を読み込めませんでした

広告を読み込み中...

  • Facebook
  • X
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

奥谷 笑子(編集部)(オクヤ エコ)

株式会社翔泳社 EnterpriseZine編集部

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/24694 2026/07/17 09:00

Job Board

AD

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング