5カ国で同時に発表された3ページの声明文には、特定の企業名やAIモデル名は明記されていなかった。しかし、その文言は明確だった。「高度なAIモデルは、現在のテクノロジー業界の予測をはるかに凌駕し、サイバー空間における攻撃力と防御力の両方を根本的に変えると予測されている」。そして、その直後に最も広く引用された声明文が続いた。「タイムラインは年単位ではなく、月単位で測られる」。
AIとサイバーセキュリティに関する警告は今回が初めてではない。しかし、今回は合意のレベルが異なる。ファイブ・アイズ同盟を構成する5つの主要なサイバーセキュリティ機関――オーストラリア・サイバーセキュリティセンター、カナダ・サイバーセキュリティセンター、ニュージーランド・ナショナル・サイバーセキュリティセンター、英国・ナショナル・サイバーセキュリティセンター、そして米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)とNSA――は、通常は共同声明を発表しないが、今回は同じ緊急性を強調した文書に署名した。「サイバーリスクはもはや純粋に技術的な問題として捉えることはできない」と声明には記されている。「これらは中核的なビジネスリスクであり、リーダーシップの責任である」。
この緊急性の直接的な理由は、AIが攻撃のペースをどのように変えるかにある。従来は、ソフトウェアの脆弱性が発見されてから悪用されるまでには時間差があり、セキュリティチームがパッチを適用するのに十分な時間があった。AIはこの時間差を前例のないレベルまで短縮する。モデルは自動的にスキャンを行い、エクスプロイトコードを作成し、人間が反応するよりも速く攻撃を拡散することができる。この発表のわずか12日前、CISAはすべての連邦政府機関に対し、最も重大な脆弱性に3日以内に対処するよう命じた。これは、通常数週間かかる従来のパッチ適用サイクルよりもはるかに短い期間である。
影響は均等に分布しているわけではない。サイバーセキュリティ専門家は、長年にわたり防御システムに投資してきた大企業はより迅速に対応できると考えている。最も脆弱なのは、サイバーセキュリティ予算が限られ、技術チームの規模も小さい中小企業(SME)である。アジアで最も急速に成長しているデジタル経済の一つであるインドでは、2026年の最初の数か月でランサムウェア攻撃が165%増加した。AIがハッカーによる標的のより正確な選択と、本物と区別するのがますます困難になっているフィッシングメールの作成に役立っていると考えられている。
しかし、この声明は別の現実も示唆している。リスクについて警告しつつも、これら5つの機関は、AIは脅威の源であるだけでなく、解決策の一部でもあると主張している。声明によれば、AIツールをセキュリティ運用に統合した組織は、脆弱性をより早期に検出し、ソフトウェアの品質を向上させ、異常な動作を監視し、インシデント発生時に迅速に対応できるという。これは偶然の矛盾ではない。これは、デュアルユース技術の本質を正確に反映している。AIが攻撃者にもたらすスピードは、防御者にもたらすスピードと同じなのだ。問題は、誰が最初にAIを導入し、誰がより効果的に導入するかということである。
この警告は、皮肉なタイミングで発せられた。わずか数日前、米国政府は国家安全保障上の懸念を理由に、外国機関による最先端AIモデルへのアクセスを厳格化したばかりだった。これは、西側諸国においてすら、最も強力なAIモデルのリスクとメリットについて完全な合意が得られていないことを示している。一方では、アクセス制限をリスクの拡散を抑制する手段と捉えている。他方では、ファイブ・アイズ声明自体が示すように、AIをより広範な防衛に活用することこそが、攻撃者のスピードに追いつく唯一の方法だと考えている。
声明に示された具体的な推奨事項は、目新しいものではありません。パッチ適用の迅速化、機密システムへのアクセス制限、必要のない限りデバイスをネットワークから切り離すことなどです。これらは、長年にわたり幾度となく繰り返されてきた基本的なサイバーセキュリティ対策です。新しいのは、解決策そのものではなく、それらを実行しなければならない期間です。かつては重大な脆弱性を修正するのに数ヶ月の猶予があった組織も、今では数日しか猶予がありません。もはやどの組織が標的になるかではなく、攻撃者に時間的優位が完全に移る前に、どの組織が適応できるかが問われているのです。
出典: https://cand.vn/cuoc-dua-an-ninh-mang-tinh-bang-thang-post814834.html
