Mythos以降のAI脆弱性診断と内製化指針
ベストカレンダー編集部
2026年4月28日 21:01
AI脆弱性診断WP公開
開催日:4月28日
📅 カレンダーに追加:Google|iPhone/Outlook
Mythosで変わった「脆弱性発見」の前提
2026年4月28日15時00分、株式会社リチェルカセキュリティは、AIによる脆弱性診断の最新動向と内製化に必要な設計要件を整理したホワイトペーパーを公開した。本稿ではプレスリリースの内容を整理し、Mythos以降に何が起きたのか、企業が何を検討すべきかを具体的に解説する。
2026年4月にAnthropicが発表した「Claude Mythos Preview」は、OpenBSDやFreeBSDなど広く使われているソフトウェアに対しAIが自律的に探索を行い、数千件規模の高深刻度脆弱性を発見したと報告した点が大きな転換点となった。この報告には長年見つからなかったバグや、既存のファジングや人間のレビューをすり抜けてきた問題が含まれており、単なる精度向上を超えた構造的変化を示している。
脆弱性発見の速度と競争
従来、脆弱性発見は限られた専門人材が時間をかけて行うものだったが、Mythos以降は「見つからないもの」から「より早く見つけられてしまうもの」へと性質が変化している。
この変化は防御側だけでなく攻撃側にも影響を与える。攻撃者側も同様に探索を加速できるため、セキュリティは「防げるか」から「どの速度で見つけ、どの速度で対応できるか」という競争へと移行している。
- 発表日:2026年4月(Anthropic「Claude Mythos Preview」)
- 報告内容:数千件規模の高深刻度脆弱性の自律的発見(OpenBSD、FreeBSD等を含む)
- 示唆:従来の検査手法や人手によるレビューでは検出されにくかった問題がAIによって浮き彫りになった
AI診断の実態と「ハーネスエンジニアリング」の重要性
リチェルカセキュリティはオフェンシブセキュリティに特化したプロ集団であり、生成AIを活用した脆弱性検出を早期から実運用してきた実績がある。2025年には生成AIを活用した診断プロジェクトで1週間に13件の脆弱性を発見・報告している。
しかし、AIが脆弱性候補を出力できることと、それが実務で役立つ診断結果になることは同義ではない。実務運用では以下の工程が不可欠であり、これらをどう設計するかによってAI診断の有用性が決まる。
- 偽陽性の排除
- 悪用可能性(実際にエクスプロイト可能か)の検証
- 影響範囲の評価
- 優先度の判断(トリアージ)
これらの工程を含めた設計思想を本資料は「ハーネスエンジニアリング」と定義している。ハーネスエンジニアリングは、モデル単体の能力に依存するのではなく、どこを探索させ、どのように検証し、どのように結果を評価するかといった前後のプロセスを含めて設計する考え方である。
ハーネス設計を行わずにコード全体を無差別にスキャンすると、偽陽性の増加とトリアージ負荷の増大を招き、結果的にAI導入前より運用コストが上がるケースが観測されている。したがって、差を生むのはモデルの性能そのものではなく、モデルの外側に構築されるシステム設計である。
- ハーネスエンジニアリングの主な構成要素
- ・ターゲティング(どの範囲を探索させるか)
- ・検証プロセス(出力候補の自動検証と手動検証の分担)
- ・トリアージ基準(優先度付けのルール化)
- ・フィードバックループ(発見結果の学習・改善)
内製化の可否を判断するための具体的論点と設計要件
ホワイトペーパーは、企業がAI診断の内製化を検討する際に必要な判断基準と、内製化を成立させるための設計要件を体系的に整理している。以下はプレスリリースで示されたすべての検討ポイントである。
内製化を検討する際の主要な論点は次の通りである。
- AIの出力をどの段階で人間が検証するか
- 偽陽性をどのように排除するか
- 診断結果をどのように開発プロセスに組み込むか
- どの範囲を内製化し、どこを外部に委託するか
これらは単独の技術的判断ではなく、組織体制、運用コスト、開発プロセスとの整合性といった実務的要素と密接に結びついている。
ホワイトペーパーでは、内製化の可否を判断するための具体的な視点とステップを提示しており、リチェルカセキュリティはこの考え方に基づいた脆弱性診断の内製化支援サービスも提供すると明記している。
実務上のチェックリスト(要点)
内製化の検討を進める際に最低限確認すべき項目として、以下のチェックリストが挙げられている。
- 現在のセキュリティ体制(人員・スキル・ツール)の棚卸
- AI出力の検証フロー(自動/手動の境界と責任者)
- トリアージおよび優先度付けの基準設定
- 結果の開発プロセス組み込み方法(チケット連携、修正サイクル)
- 失敗事例とリスク(偽陽性過多、運用コスト上昇)への対応策
リチェルカセキュリティの実績・資料・問い合わせ先
リチェルカセキュリティはオフェンシブセキュリティのプロフェッショナルチームであり、政府機関やフォーチュン500企業を含む国内外のクライアントにサービスを提供した実績を有する。所属するメンバーにはゼロデイ脆弱性の発見者やサイバーセキュリティ関連書籍の著者、海外トップスクールや研究機関での研究経験者、CTFファイナリストなどが含まれる。
本プレスリリースに関連するホワイトペーパーは無料でダウンロード可能とされており、企業がAI診断の導入や内製化を検討する際の意思決定材料を提供することを目的としている。
| 会社名 | 株式会社リチェルカセキュリティ |
|---|---|
| 所在地 | 〒101-0061 東京都千代田区神田三崎町3丁目2番14号 GLORKS水道橋5階 |
| 設立日 | 2019年12月4日 |
| 代表取締役社長 | 木村 廉 |
| URL/Tech Blog/note |
|
| お問い合わせ | Email:contact@ricsec.co.jp |
本件のビジネスカテゴリは「アプリケーション・セキュリティ」であり、関連キーワードとして「セキュリティ」「Mythos」「生成AI」「AIエージェント」「Claude」「脆弱性診断」「事業継続」「BCP」が挙げられている。また、プレスリリース内で使用された画像ファイルはダウンロード可能である旨が告知されている。
まとめ(表形式で要点整理)
以下の表は、本稿で取り上げたプレスリリースの主要な情報を整理したものである。企業がAI脆弱性診断を検討する際の判断材料として参照できるよう、発表内容、実務上の注意点、内製化検討の論点などを網羅している。
| 項目 | 内容 |
|---|---|
| 発表 | リチェルカセキュリティがAI脆弱性診断と内製化設計要件を整理したホワイトペーパーを公開(2026年4月28日15:00) |
| 背景 | Anthropicの「Claude Mythos Preview」(2026年4月)でAIが数千件規模の高深刻度脆弱性を自律的に発見した報告が出たことによる構造変化 |
| リチェルカセキュリティの実績 | 生成AIを活用した診断で2025年に1週間で13件の脆弱性を発見・報告。オフェンシブセキュリティの専門チーム |
| 主要示唆 | AIは脆弱性を発見できるが、偽陽性排除・悪用可能性検証・影響範囲評価・優先度判断などの工程設計が不可欠 |
| 重要概念 | ハーネスエンジニアリング:モデル前後のプロセスを含めた設計思想(検証・トリアージ・フィードバック) |
| 内製化の論点 | 人検証の段階、偽陽性対策、開発プロセス統合、内製化範囲と外部委託の棲み分け |
| 資料・問い合わせ | ホワイトペーパーは無料ダウンロード。問い合わせ:contact@ricsec.co.jp |
| 会社情報 | 株式会社リチェルカセキュリティ(設立:2019年12月4日、代表:木村廉、所在地:東京都千代田区) |
上記はリチェルカセキュリティが公開したプレスリリースの情報を整理したものであり、AI診断の技術的可能性と運用上の要件を区別して提示している。AI自体の発見能力は向上しているが、実務で意味ある診断結果とするためのハーネス設計と組織的な運用構築が成否を分ける点が繰り返し強調されている。
