Anthropic の最新モデルがサイバーセキュリティの未来を明らかにする

AIはかつてないスピードで脆弱性を検出することができますが、発見だけではサイバーリスクは低減しません。私たちは、サイバーエクスポージャーの優先順位付け、コンテキストに基づくリスク分析、AI主導の修正を行い、検出結果をセキュリティの成果に変える必要があります。 

Anthropic社の最新の人工知能（AI）モデルであるClaude Opus 4.6、そして十分にテストされたオープンソースのコードベースに発見された500もの深刻度の高い脆弱性について、おそらく耳にしたことがあるでしょう。 

新モデルの脆弱性発見能力に関する暴露は、開発者、セキュリティアナリスト、脆弱性リサーチエンジニアだけでなく、米国の機関投資家（特にソフトウェアセクターをカバーする投資家）にも大きな反響を呼びました。Opus4.6のニュースは、AIがソフトウェア開発とセキュリティ・テストを根本的に変革する瀬戸際にあることを彼らに告げました。 

実際、Opus 4.6 は長年続いてきた潮流をさらに加速させています。 セキュリティ業界では毎年、より多くの脆弱性をより迅速に発見する新しいツールが発表されています。 Google Project Zeroを含む、AI主導の脆弱性発見における先行的な進歩と組み合わせることで、Anthropicチームは大きな一歩を踏み出し、Opus 4.6の脆弱性発見機能に興奮しています。 

脆弱性を迅速に多く検出することは、サイバーリスクを減らし、アタックサーフェスを縮小するための第一歩です。脆弱性の発見後、次のステップでは、脆弱性をビジネス、ネットワーク構成、脅威のコンテキストと関連付け、本当に重要な脆弱性に優先順位をつける必要があります。 ディスカバリー後の重大なステップを踏まなければ、組織のセキュリティは向上しないかもしれません。しかし、セキュリティチーム、修正チーム、DevSecOpsチームは、より大きな負担を強いられることになるでしょう。 

要点を言えば、文脈と正確さがなければ、件数が増えても、ノイズが増えるだけです。

AIはリスクを理解する必要がある

アイデンティティのCVSSスコア付けが同じ2つの脆弱性が、環境のどこに、どのように存在するかによって、リスクのレベルが大きく異なることがあります。 実際、脆弱性の実際のリスクは、コードリポジトリのはるか外側にある要因に左右されます。セキュリティチームは次のようなことを考慮する必要があります。

• ネットワーク構成のコンテキスト- 脆弱性資産がインターネットに到達可能か、またはインターネットに露出しているか？
• 脅威の文脈- デプロイメントされたセキュリティコントロー ルやガードレールにもかかわらず、特定の環境や状態において悪用される可能性があるか？
• ビジネスインパクトの状況- 組織の最も機密性の高いシステムやデータにリードする高リスクの攻撃経路の一部になっていないか？ 

リスクベースの優先順位付けと組織化された修正は、脆弱性管理のライフサイクルにおいて譲れないものです。 Opus 4.6 のようなモデルは、極めて高い精度で問題を検出できます。セキュリティチームは、ビジネスインパクト、脅威、ネットワーク構成のコンテキストを含む関連データとシグナルの関連付けと推論を行い、それらを実際のリスクとエクスポージャーに変換し、修正を指揮するためのエージェントシステムを追加する必要があります。 このような本質的な機能がなければ、AIは、すでに過大な負担を強いられているセキュリティチーム、ITチーム、DevSecOpsチームのための仕事を増やすことになるでしょう。 

好機: AI 主導のエクスポージャー管理

AIが真に変革をもたらすのは、脆弱性をより早く発見することだけでなく、設定ミスや過剰なアクセス許可など、他のセキュリティ上の弱点との関連において、攻撃者が脆弱性をどのようにエクスプロイトしうるか、また、それらのエクスプロイトが組み合わさったときに生じるビジネスリスクを理解することです。 これがこれこそが AI 主導のエクスポージャー管理の真価です。リスクの優先順位付けと、連携された予防的な対策を可能にする実用的な判断材料となります。

脆弱性発見のペースが加速する中、AIを活用したプロアクティブ・セキュリティ・プラットフォームの重要性はかつてないほど高まっています。

• リスクをほぼリアルタイムで包括的に把握。
• 工場現場からIT、コード、クラウドに至るまで、組織の資産全体にわたるサイバーエクスポージャーに優先順位をつける。
• 人間とAIエージェントを動員し、攻撃者よりも先に行動するオーケストレーション・レイヤーを構築する。

これからどうするか

AIがサイバーセキュリティの将来において中心的な役割を果たすことは間違いありません。 しかし投資家は、調査結果の多さとセキュリティの高さを同一視するような語り口には注意すべきです。 

AIによる変革の次のフェーズで勝者となるのは、AIによってより多くの問題を発見するだけでなく、膨大なデータセット、統合された知識、および忠実度の高いコンテキストをAIに活用することで、摩擦を排除し、発見から行動までのギャップを縮める企業です。 

そうすることで、ネイティブおよびサードパーティのスキャナー、センサー、脅威インテリジェンス、脆弱性リサーチなど、より多くのソースからのより多くのデータが、より多くのコンテキストを提供する好循環の仕組みを生み出します。 そして、人間やエージェントによるフィードバック・ループとともに、より正確な優先順位付けと修正を行い、リスクを軽減します。 

AIはサイバーセキュリティの可能性を大きく広げています。問題は、その可能性をどのように結果に結びつけるかにあります。 そこに本当の価値が生まれるのです。