米CISAだけが蚊帳の外？AIサイバーセキュリティの矛盾

国の「サイバーセキュリティの司令塔」だけが、最先端のサイバーセキュリティAIを使えない。この皮肉な状況が、いま米国で起きています。

何が起きているのか

Anthropicが開発した新しいAIサイバーセキュリティモデル「Mythos Preview」をめぐり、米国連邦政府内で奇妙な格差が生じています。Axiosの報道によれば、商務省や国家安全保障局（NSA）はすでにこのモデルを活用してシステムの脆弱性を発見・修正する作業を進めているにもかかわらず、米国のサイバーセキュリティを一元的に管轄する機関であるサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、このモデルへのアクセス権を持っていないというのです。

Mythos Previewは、ソフトウェアやシステムの脆弱性を自動的に検出し、修正案を提示する能力を持つとされるモデルです。Anthropicはこれを「セキュリティ分野における強力なツール」として位置づけており、トランプ政権はより広範な政府機関へのアクセス拡大に向けた交渉を進めていると報じられています。

なぜCISAだけが取り残されたのか

この状況が生まれた背景には、トランプ政権とCISAの関係性が影を落としている可能性があります。CISAは2020年の大統領選挙後、選挙の安全性に関してトランプ前大統領の主張と異なる見解を示したことで、政権との間に緊張関係が生じた経緯があります。当時のCISA長官クリス・クレブスは解任されており、その後もCISAの予算削減や組織縮小をめぐる議論が続いてきました。

今回のアクセス格差が意図的な政治的判断によるものなのか、それとも単なる予算・調達上の問題なのかは、現時点では明らかになっていません。しかし、国内のサイバー防衛の最前線に立つ機関が、最新のAIセキュリティツールを持つ他省庁より後れを取っているという事実は、関係者の間で懸念を呼んでいます。

広告

広告掲載について

[email protected]

広告

日本への視点：他人事ではない構造的問題

この問題は、日本にとっても無縁ではありません。日本では内閣サイバーセキュリティセンター（NISC）が司令塔機能を担っていますが、各省庁や防衛省、警察庁、総務省などが独自のサイバー対策を持つ縦割り構造が長年の課題とされてきました。2022年の防衛費増額方針の中でサイバー防衛力の強化が明記され、2023年には能動的サイバー防御の導入も議論されています。

AIを活用したサイバーセキュリティツールの調達・運用において、「どの機関が何を使えるか」という問題は、技術の問題であると同時に、組織間の権限配分と政治的信頼の問題でもあります。ソニーやトヨタ、三菱電機など、過去にサイバー攻撃の被害を受けた日本の主要企業にとっても、政府のサイバー防衛能力の整合性は直接的な関心事です。

また、日本企業がAnthropicをはじめとする米国AI企業のセキュリティツールを導入する際、そのツールが米国政府機関でどのように、あるいはどの程度使われているかは、信頼性評価の一つの指標になりえます。米国内での運用実績が不均一であれば、日本側の調達判断にも影響が出る可能性があります。

問われているのは技術ではなく「信頼の設計」

今回の報道が浮き彫りにするのは、AIセキュリティツールの性能そのものではなく、政府機関間の信頼と情報共有の設計という、より根本的な問題です。どれほど優れたAIツールがあっても、それが適切な機関に届かなければ、国全体のセキュリティ水準は高まりません。

トランプ政権がAnthropicとの交渉でより広範なアクセスを目指していることは、この問題を認識していることの表れかもしれません。しかし、アクセス拡大が実現したとしても、CISAの組織的・予算的な弱体化が続くならば、ツールを持つことと使いこなすことの間には依然として大きな溝が残ります。