戦争における自律型AIの台頭により、サイバー紛争は速度から規模へとシフトし、確率論的・適応的防衛に焦点を当てた新たなドクトリンが求められている。
セキュリティオペレーションを長年担ってきた私のキャリアにおいて、サイバー紛争の形は「どちらが相手より速く動けるか」によって定義されてきた。脆弱性の特定が速いか、パッチ適用が速いか、検知が速いか、対応が速いか。しかしここ数ヶ月で、私はそのフレームを見直さざるを得なくなった。速度は依然として重要だ。ただ、それだけでは全体像を捉えられなくなった。スケールと自律性が速度と並んで重要性を増しており、この三要素の比重については今後も調整を続けることになるだろう。米国政府による高度AIのサイバー作戦への活用深化、AnthropicのClaude Mythos Previewの開示、そしてそれに対抗して構築されつつある防衛AIの波に関する最近の報道を読んだとき、私はあるパターンを認識した。それはドクトリンが形成されつつあるパターンだ。
この分野では、ドクトリンが正式な発表を通じて到来することはほとんどない。繰り返される行動を通じて、作戦的プレッシャーの下での選択を通じて、能力を持つアクターが誰にも止められることなく行動することを通じて、ドクトリンは姿を現す。私が思うに、今まさにその段階にある。
私はサイバー作戦がスクリプトの中に存在していた頃を覚えている。それはフレームワークへ、次に自動化パイプラインへ、そして私たちが多少楽観的に「オーケストレーション」と呼んでいたものへと移行した。各ステップは時間を圧縮し、必要な専門知識を低下させた。フロンティアAIは私の目には、その延長線上にある次のステップというよりも、まったく異なる何かに見え始めている。
これまで見てきた範囲では、フロンティアAIを従来の自動化と区別するものは、効率性よりも独立性にある。無限の攻撃対象にわたって偵察を実施し、事前定義されたシグネチャなしで脆弱性を特定し、エクスプロイトのチェーニングを支援し、フィードバックに基づいて適応できるモデルは、アナリストのワークフローを強化するものというよりも、人間の制約を低減した状態で動作するものに近い。これは攻撃の経済学を、ほとんどのセキュリティプログラムが今も静かに依拠している前提を覆す形で変えてしまう。
Mythos Previewの開示はその変化を具体化した。このモデルは、すべての主要OSとウェブブラウザにおける発見を含む数千の高深刻度脆弱性を発見し、限られた人間の指示で複数の脆弱性を連鎖させて新たな攻撃を生み出したと報告されている。多くの読者の心に残った具体的な例は、FreeBSD NFSサーバーにおける17年前のリモートコード実行の欠陥(CVE-2026-4747)であり、Mythosが単一のプロンプトを受けた後に自律的にこれを特定し悪用した。AnthropicがProject Glasswingのもとに組織した防衛連合には、AWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksが含まれ、重要なソフトウェアインフラを担う40以上の組織への拡大アクセスも実現しており、約1億ドルの使用クレジットと400万ドルのオープンソースセキュリティへの寄付が支援している。これはマーケティング活動ではない。すでに動き出した脅威モデルへの協調的な反応だ。この連合が今や独占禁止法の審査を受けているという事実自体がシグナルだ。これはもはや実験的なものではない。
Anthropic自身の説明で私の記憶に残った一文は、このモデルが脆弱なネットワークに対して多段階攻撃を実行し、脆弱性を自律的に発見・悪用でき、人間の専門家が数日かかる作業を数時間で完了できるというものだった。これに加え、OpenAIの複数のフロンティアモデルがPreparednessフレームワークの下でサイバーセキュリティ「高」閾値で動作しており、認証されたセキュリティチーム向けに構築された防衛者許可型バリアント(5.4-Cyber)もある。さらに2025年11月にAnthropicが公式に帰属を明らかにした中国の国家支援アクターGTG-1002の開示済み事案——同アクターはClaude Codeをジェイルブレイク(タスクを細分化し、正規のサイバーセキュリティ企業の防衛テスト担当者を装うことで)し、世界約30のターゲットに接触して4件の侵害に成功した作戦の80〜90%を自動化した——を合わせると、その軌跡はもはや投機的なものではない。観測可能なものだ。2025年11月のGTG-1002開示は金融機関や化学製造業を含む規制対象セクターにすでに及んでおり、AIを活用した重要インフラへの事前配置が国家レベルの活動報告において文書化されている。取締役会にこれを具体的に示す、名指しされ帰属が明らかにされた高影響インシデントはまだ公表されていない。しかしパターンはもはや仮説ではない。
白日のもとで形成されるドクトリン
政策フレームワークはまだ追いつこうとしている段階だ。ここ数週間のDefense Oneの報道から、米国政府がAI対応の脆弱性スキャン、エクスプロイト開発、脅威データ分析、秘密サイバーインフラを積極的に調達していることが明らかだ。シグナルは調達から成文化された政策へと移行した。2026会計年度の国防権限法は、国防総省にAIサイバーセキュリティフレームワークを策定し、DFARSとCMMCプログラムに組み込むよう指示している。NSAの元幹部がAIが攻撃作戦をどう変えるかをオープンに議論している。ホワイトハウスのサイバー姿勢はより明示的な攻撃へとシフトしており、その姿勢に能力が追いついてきている。実験段階は終わった。今は運用段階だ。
国家レベルのアクターが新たな種類の能力を実際の作戦に統合するとき、ドクトリンがそれに続く。発表されることはない。どのターゲットがどれほど速く、どの規模で、どの程度の人間の監視のもとで攻撃されるかを通じて明らかになる。AIサイバードクトリンの初期の輪郭は、シグナルを総合して読めばすでに見えている。
第一は、ステルスよりも速度だ。エクスプロイトの窓が数週間から数時間に圧縮される環境では、防衛者が対応できる前に動くことの方が、検知されないことよりも価値がある場合が多い。これは、20年にわたるAPT思考を形成したステルス優先の作戦モデルを逆転させる。
第二は、静的コントロールよりも適応型システムだ。攻撃者の行動が繰り返されることを前提としたプレイブックはすでに脆弱だ。フィッシングはダイナミックになる。マルウェアはシグネチャよりも速く変異する。攻撃チェーンはインシデント対応会議をスケジュールするのに必要な時間内に実行される。防衛は学習して適応するか、でなければ被害を受け続けるかだ。
第三は、確率論的防衛だ。ゼロ損失のセキュリティは常に作戦上の目標というよりマーケティング上の理想だったが、そのミスマッチは今や深刻だ。現実的な目標は損害の制限だ。継続的な低レベルの侵害試行が常に発生していると仮定し、検知、封じ込め、爆発半径の最小化に最適化する。この会話を同僚とした回数は、この四半期だけで過去3年間の合計よりも多い。
これらは私が政策文書から持ち込んだ構成概念ではない。環境が別の選択肢を提供しないため、他のセキュリティリーダーたちが静かに採用しているのを見ている作戦原則だ。
これらの原則の根底には、私が繰り返し立ち返る経済的シフトがある。歴史的に、攻撃者は時間、コスト、専門知識の三つによって制約されていた。AIはこの三つを同時に圧縮する。NCSCの最新分析は、その変化を具体的な言葉で示している。2026年初頭、最良のフロンティアモデルは現実的な模擬エンタープライズ攻撃において、18ヶ月前の最良モデルのほぼ6倍の攻撃ステップを完了し、現在一回の試みにかかるコストは約65ポンドだ。偵察は断続的ではなく継続的になった。脆弱性の発見は人間のチームの能力を超えてスケールする。攻撃の生成は反復的で安価だ。一方、防衛は依然として人間の速度と意思決定にインデックスされている。攻撃はマシンの速度とスケールで動いているのに、防衛はインシデント発生時にアナリストを呼び出している。これが不均衡だ。私が見ているものは、ツールのギャップというよりもモデルのミスマッチに見える。
英国国家サイバーセキュリティセンターのフロンティアAIに対する防衛優位性に関する最近の分析は、私が自分の経営幹部ステークホルダーに対して説明するのに苦労してきたことを捉えている。防衛優位性は静的な条件ではない。ほとんどのガバナンス構造が対応できる以上の速さで動くケイパビリティフロンティアに対して、積極的に維持し続けなければならない。AIを強化レイヤーとして扱う組織は、AIをセキュリティ設計の構造的変化として扱う組織に追い抜かれる。
リーダーが実際に取るべきアクション
三つのことがある。そのどれも任意とは考えていない。
1. AIエージェントをセキュリティプリンシパルとして扱う
機密システム、データ、ワークフローへのアクセスを持つ自律または半自律のAIシステムは、特権ユーザーに適用されるガバナンス姿勢が必要だ。ID、アクセス制御、行動監視、監査。AIエージェントが行動できるなら、害を引き起こす可能性があり、それに応じて管理されなければならない。「ツール」と呼ぶことは誰の免責にもならない。この問題の最も恐ろしい形態は、広範なアクセス権を持ちながらもプリンシパルとしてスコープされていない、内部で承認されたAIエージェントだ。この推奨はもはやコンセンサスの外にない。NISTのAI標準・イノベーションセンターは2026年2月にAIエージェント標準化イニシアティブを正式に発足させ、NCCoEはソフトウェアとAIエージェントのIDと認可に関するコンセプトペーパーを発行し、Okta、Microsoft、Googleを含むIDベンダーがファーストクラスのエージェントIDプリミティブを提供している。線は引かれた。問題は、今それを越えるか、インシデントによって強制されてから越えるかだ。
2. 段階的な検知ではなく適応型防衛に投資する
攻撃者がマシンの速度で反復する環境に、もう一つの静的シグネチャレイヤーを追加することは、この時点ではほとんど見せかけに過ぎない。複利的なリターンをもたらす投資は、学習する防衛にある。これには、かつて人間のレビューサイクルが存在していた隙間でAI駆動の検知と対応を実行する能力も含まれる。それはアナリストの負担をどこで軽減するか、どこで確率論的アウトプットを受け入れるか、どこで人間の判断が依然として適切なボトルネックであるかについての困難な選択を必要とする。
3. リスクモデルを再構築する
継続的な低レベルの侵害試行が例外ではなく通常の運用条件であるという前提でプログラムを構築する。稀な高影響イベントのフレームは、私たちがもはや生きていない脅威環境の残滓だ。予算、指標、経営幹部との会話はそのシフトを反映すべきだ。年間損失期待値を中心に構築された取締役会報告は、時間単位のサイクルで動く敵対者との実際の接触に耐えられない。
長年、私はチームに「サイバーにおける優位性は、より優れたツールを持つ者に行く」と言ってきた。私は間違っていた、少なくとも不完全だった。今や優位性は、より速く適応する者に行く。各国政府はすでにこれらの能力を実際の作戦に統合している。ドクトリンはやってくるのではない。静かに、作戦的に、そして白日のもとで形成されつつある。問題は、防衛者がその形成に自らの側から影響を与えられる時間的余裕を持って、それを認識できるかどうかだ。
この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加を希望しますか?
