AIで脆弱性探索が進む時代に、中小企業が先に整えるべきセキュリティ運用

AIの進化は、業務効率化だけでなくサイバーセキュリティの前提も変えています。

これまで専門家が時間をかけて探していたソフトウェアの脆弱性を、AIが補助できる範囲が広がっているからです。Anthropicは2026年4月、重要ソフトウェアの防御を目的としたProject Glasswingと、Claude Mythos Previewを発表しました。公式発表では、同モデルが重要インフラ周辺の脆弱性発見に使われ、限定的な研究プレビューとして防御側に提供されていることが説明されています。

ここで大事なのは、特定のモデル名だけを追うことではありません。攻撃側も防御側も、調査・発見・検証の速度が上がる時代に入った、ということです。

IPAの「情報セキュリティ10大脅威 2026」でも、組織向け脅威の3位に「AIの利用をめぐるサイバーリスク」が初選出されています。AIは便利な道具である一方、悪用されれば攻撃の準備や詐欺、脆弱性探索の効率も上げてしまいます。

では、中小企業は何から始めるべきでしょうか。

いきなり高度な診断ツールを入れる前に、まずは自社の運用が見えているかを確認する必要があります。

怖いのは「未知の超攻撃」だけではない

AIによる高度な攻撃の話を聞くと、どうしても未来の大規模攻撃に目が向きます。

しかし、中小企業にとって先に問題になるのは、もっと身近な穴です。

• 使っていない古いWebサイトが残っている
• 管理画面のURLやIDが共有されたままになっている
• CMS、プラグイン、ライブラリの更新が止まっている
• 退職者や外部委託先のアカウントが残っている
• APIキーやパスワードがチャット、メモ、共有フォルダに置かれている
• バックアップはあるが、復旧できるか試したことがない

AIによって攻撃準備の速度が上がるほど、こうした基本的な弱点が狙われやすくなります。つまり、最初にやるべきことは「AIで全部守る」ことではなく、自社の公開資産と運用ルールを棚卸しすることです。

まず棚卸しする6項目

1. 公開資産

自社ドメイン、LP、問い合わせフォーム、予約フォーム、EC、管理画面、クラウドストレージ、外部SaaSを一覧化します。

特に、過去に作ったまま誰も管理していないページや、使っていないサブドメインは要注意です。守るべき対象が見えていなければ、更新も監視もできません。

2. 更新管理

WordPress、CMS、プラグイン、サーバー、Node.jsやPythonの依存ライブラリなど、更新が必要なものを分けます。

Anthropicの技術記事でも、今後はセキュリティ更新を適用するまでの時間を短くする必要性が指摘されています。中小企業では、まず「誰が月1回見るのか」を決めるだけでも前進です。

3. 権限と認証

管理者権限を持つ人、外部委託先、退職者、共有アカウントを確認します。

可能な範囲で二要素認証を有効にし、共有IDではなく個人単位のアカウントに寄せます。全員を最高権限にする運用は、便利ですが事故時の被害範囲を広げます。

4. APIキーと機密情報

AIツールや自動化ツールを使うほど、APIキー、アクセストークン、顧客データ、社内資料を扱う場面が増えます。

チャット欄にAPIキーを貼る、ソースコードに秘密情報を直書きする、共有フォルダに.envファイルを置く。こうした運用は、AI時代には特に危険です。

5. バックアップと復旧

バックアップは「取っている」だけでは足りません。

どのデータを、どの頻度で、どこに保存し、誰が、何時間で戻せるのかまで確認します。ランサム攻撃や誤削除への備えは、復旧手順まで含めて初めて意味があります。

6. ログと連絡手順

異常が起きたときに、誰が気づき、誰に連絡し、どこまで止めるのかを決めます。

ログを何も残していないと原因を追えません。一方で、ログに個人情報や機密情報を残しすぎると、それ自体がリスクになります。必要な範囲で、保持期間と閲覧権限を決めておきます。

AIで守るときの注意

AIは、セキュリティ運用でも役に立ちます。

更新漏れの棚卸し、設定ファイルの確認、ログの要約、公開前チェックリストの作成、社内ルールのドラフト作成などは、AIと相性がよい領域です。

ただし、AIに任せてよい範囲は明確に分ける必要があります。

• 第三者のサイトやシステムを無断で検査しない
• 攻撃コードや侵入手順の生成を目的にしない
• 顧客情報、APIキー、未公開資料をそのまま入力しない
• AIの指摘をそのまま公開判断に使わず、人間が確認する
• 無料ツールや個人アカウントに会社の重要情報を混ぜない

AIで守るためにも、まず人間側のルールが必要です。

Optiensの見方

AI時代のセキュリティは、専門家だけの話ではありません。

中小企業でも、公開資産、更新、権限、機密情報、バックアップ、ログ、AI利用ルールを整理するだけで、かなりのリスクを下げられます。逆に言えば、この棚卸しをせずにAIツールだけを増やすと、便利さの裏で新しい穴を作ってしまいます。

公開前チェックに不安がある場合は、まず AI活用診断簡易版（無料） で、業務上の利用目的と最低限確認すべきセキュリティ論点を整理できます。

御社の状況に当てはめた優先順位、確認観点、概算の対応方針を知りたい場合は、詳細版AI活用診断（¥5,500税込・MTGなし） をご利用ください。ソースコードや実環境を対象にした検査・修正作業は、導入支援またはスポット相談として個別にお見積もりします。

参考情報

• Anthropic: Project Glasswing
• Anthropic Red Team: Assessing Claude Mythos Preview’s cybersecurity capabilities
• IPA: 情報セキュリティ10大脅威 2026
• IPA: 中小企業の情報セキュリティ対策ガイドライン