Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > AIがレッドチームになるとき:NSA-Mythos事件が示すエンタープライズセキュリティへの警鐘

AIがレッドチームになるとき:NSA-Mythos事件が示すエンタープライズセキュリティへの警鐘

by Patrick Spencer updated 6月 23, 2026 サイバーセキュリティー・リスク管理
Reading Time: 11 minutes

1つの文章が、情報機関の長官から上院の演説、雑誌記事、そして世界中のソーシャルメディアへと伝わるうちに、その内容は政策論争から地政学的な警鐘へと変貌しました。「AIがNSAに侵入した」と。

実際の経緯は、バイラル化した話よりも劇的ではない一方で、むしろ深刻な警告を含んでいました。劇的でない理由は、Anthropic社のMythosモデルが、NSAシステムのレプリカ環境で、他のセキュリティツールと共に、エンジニア立ち会いのもとで認可されたレッドチーム演習として動作していたためです。一方、より深刻なのは、複雑な機密環境内の脆弱性を数週間ではなく数時間で発見し連鎖させるという能力自体が、現実に存在し、文書化され、世界中の審査済み組織で利用可能になりつつある点です。

この違いは、企業が自社のセキュリティ体制をどう考えるかにおいて極めて重要です。問題は「MythosがNSAを侵害したかどうか」ではありません。問題は、「AIがNSAのようなシステムのあらゆる弱点を人間のチームよりもはるかに速く見つけられる」という事実が何を意味し、今すぐ自社が何をすべきか、という点にあります。

主なポイント

1. 「AIがNSAをハッキングした」という話は、レッドチーム演習であり、実際の侵害ではない

Anthropic社のMythosモデルは、認可されたセキュリティテストの一環としてNSA環境のレプリカ内で他のツールと共に使用されました。バイラル化した表現は誤解を招くものでしたが、示された基盤技術は現実的かつ重大なものです。

2. AIは機械的な速度で脆弱性を連鎖させる

人間のレッドチームが数週間かけて達成する作業を、AI支援システムは数時間で完了しました。複雑な機密環境のレプリカ全体で、複数の攻撃経路を同時に発見・連結し、攻撃的セキュリティの分野で前例のないスピードを実現しました。

3. 防御と攻撃のAI能力は表裏一体

NSAは、敵対者よりも先に自らの環境の弱点を発見するためにMythosを活用しました。企業のセキュリティ体制を脅かすのと同じAI能力が、統制された管理下で運用されれば防御にも活用できるのです。

4. 管理されていないAIによる機密データへのアクセスこそが実際のリスク

AIシステムに無制限の機密リポジトリアクセスを許可する企業は、まさに認可されたレッドチームが突く「隙」を自ら作り出しています。AIを一律に禁止するのではなく、ゼロトラストAIデータガバナンスこそが本質的な対策です。

5. 防衛分野のコンプライアンスフレームワークはすでに正しいアプローチを示している

FedRAMP認証、CMMC 2.0認証、DFARSコンプライアンスは、リクエスト単位での管理された監査可能な機密データアクセスを求めています。これは、あらゆる企業がAIシステムに対して適用すべきモデルです。

自社のセキュリティを信じていますか。本当に検証できていますか

Read Now

実際に何が起きたのか—なぜこの説明が重要なのか

一連の出来事は、NSA長官兼米サイバー軍司令官のジョシュア・ラッド将軍が、上院議員マーク・ワーナーに「Mythosがほぼすべての機密システムを数週間ではなく数時間で突破した」と語ったことから始まりました。ワーナー議員はこの発言を上院情報委員会で引用し、最先端AIモデルの事前リリーステストの義務化を主張しました。彼の主張は、AnthropicのようなAI企業が厳格な安全管理のもとで能力開発を「全開」で進められるべきだというものでした。

The Economist誌のShashank Joshiは、この発言を2026年6月の米国AI政策に関する記事に掲載しました。そこから文脈を離れ、ソーシャルメディア上では「機密環境レプリカでの認可済みレッドチーム演習」が「AIがNSA本番システムを侵害」として拡散されました。Joshi氏は後にSNS上で、他のツールと併用し特定条件下での成果であることを明記すべきだったと認めています。セキュリティアナリストのKyle Chase氏など、レッドチーム演習の実態を知る専門家は、バイラル化した表現にすぐさま反論しました。

より信頼性の高い再構成(セキュリティ専門家の証言とAxiosによるNSAのMythos活用報道で裏付けられた内容)は、NSAが自らの機密環境レプリカにモデルを配置し、脆弱性の発見と連鎖を指示したというものです。そのスピードは人間のレッドチームを大きく上回りました。これを「本番NSAシステムの侵害」と呼ぶのは、避難訓練後に「建物が火事」と書くようなものです。訓練は、もし本当に火災が起きた場合にどうなるかを明らかにするもの。その「明らかにすること」こそが本質なのです。

本質的な教訓:AIによる脆弱性発見はもはや理論ではない

見出しはさておき、この演習が示すのはセキュリティの現場が本質的に変化したという事実です。持続的標的型攻撃(APT)に対し、これまで防御側が長年かけて検知しようとしてきたものが、AIツールによって攻撃のあらゆるフェーズ(偵察、脆弱性の列挙、攻撃経路の連鎖、ラテラルムーブメント)を人間の分析官の能力をはるかに超える速度で加速させることが可能になりました。

エンタープライズのセキュリティチームにとって重要なのは、以下の3つの能力カテゴリです。

大規模な脆弱性発見。人間のレッドチームは、1台ずつ手作業で脆弱性を列挙しますが、AI支援ツールは環境全体を包括的にスキャンし、数千の資産にわたる設定ミスや未修正CVE、論理的な欠陥を同時に可視化します。このスピードの差は「段階的な向上」ではなく、「カテゴリの違い」です。

攻撃経路の推論。個別の脆弱性を見つけるだけでは不十分です。複数の脆弱性を連鎖させ、多層防御を突破する実行可能な攻撃経路を構築するには、ネットワーク構成やアクセス権限、システム間の依存関係に関する高度な推論が必要です。セキュリティ研究やエクスプロイトDB、システムドキュメントで訓練されたAIモデルは、これまでシニアレッドチームエンジニアにしかできなかった推論を実現します。

統制された環境での反復的テスト。Mythosは本番システムではなくレプリカ環境で動作していました。これは責任ある脆弱性プログラムの基本的な運用方法と一致します。環境を構築し、積極的にテストし、敵対者より先にギャップを特定する。NSA演習で示されたAI能力は、現在AnthropicのProject Glasswingプログラムを通じて15カ国以上、約150の機関で実際に活用され、合計1万件以上の重大または高リスクの脆弱性が自組織内で特定されています。

この最後の数字は特に重要です。政府機関、金融機関、テクノロジー企業は、AI支援による脆弱性発見をすでに自社インフラ強化に活用しています。レッドチーム能力は「将来の話」ではなく、すでに実運用段階にあります。

エンタープライズデータセキュリティへの意味合い

NSA演習は、エンタープライズのセキュリティチームが「将来の課題」として扱ってきたものを明確にしました。AIリスクは、今まさに建築的な対応が求められる現実のセキュリティ課題であり、単なるロードマップ項目ではありません。

本質的な問題は「アクセス」です。脆弱性を発見・連鎖できるAIシステムは、設定データ、ネットワーク構成、コード、ログ、ドキュメントなどのデータを必要とします。AIシステムが企業のデータリポジトリにアクセスできる範囲が広がるほど、誤用や侵害時のリスクも高まります。一方、統制された監査可能なアクセス権を持つAIシステムは、攻撃者より先に自社インフラの脆弱性を特定するために不可欠です。データ分類はその前提条件であり、どのリポジトリに機密データが含まれているか特定できなければ、AIガバナンスに必要なアクセス境界も設定できません。

ここでゼロトラスト・アーキテクチャが実践的に重要となります。従来のセキュリティモデルは、AIシステムが認証されれば広範なアクセスを許可する傾向にありました。しかしNSA演習は、この前提がいかに危険かを示しました。AIシステムが複雑な環境にアクセスできれば、数時間で全体を横断できてしまいます。

ゼロトラスト・データ保護はこのモデルを逆転させます。AIシステムのIDや意図を決して信用せず、常にリクエスト単位で検証します。すべての操作は認証され、ポリシーに照らして評価され、ログ化された上でデータが返されます。重要なのは、「接続時に一度認証されたか」ではなく、「AIが行うすべてのデータ操作が認可され、ポリシーに準拠し、完全な帰属情報とともに監査可能か」です。

規制対象の顧客データ、知的財産、医療記録、防衛情報など機密データリポジトリを持つ企業にとって、建築的原則は明確です。AIシステムには「管理された」データアクセスが必要であり、「管理されていない」アクセスは許されません。AIがレッドチームツールとして危険な理由と、防御に有用な理由は同じ能力に由来します。違いは「コントロール」にあります。

組織に必要なガバナンスAIデータレイヤー

NSAがレッドチーム演習で適用した「管理されたアクセス」「限定された範囲」「監視された操作」といった原則は、ガバナンスAIプラットフォームを通じてエンタープライズ組織でも実現可能です。AIデータガバナンスは、AIシステムが明示的に許可されたデータのみアクセスし、すべての操作が完全な帰属情報とともにログ化され、ポリシー適用が接続時ではなくリクエスト単位で行われることを保証する実践です。

Kiteworks AI Data Gatewayは、AIシステムとエンタープライズデータリポジトリの間にセキュアな橋渡しを提供し、RAGワークフローやその他AI操作をゼロトラストデータアクセスを基盤として実現します。AIシステムからのすべてのデータリクエストは、リアルタイムでABACポリシーに照らして認証・評価・ログ化され、明示的に許可されていないデータにはアクセスできません。データ最小化制御により、AIシステムは特定タスクに必要最小限のデータしか受け取れず、レート制限によってAIシステム自体が侵害された場合でも大量抽出は防止されます。

Kiteworks Secure MCP Serverは、このガバナンスをClaudeやMicrosoft Copilotのような対話型AIアシスタントにも拡張します。業界標準のModel Context Protocolを用い、ファイル管理やドキュメントリポジトリの検索、データワークフローの自動化などを、人間のアクセスと同じポリシー適用下で実行します。OAuth 2.0認証により、認証情報はOSのキーチェーンに保存され、AIモデル自体には決して公開されません。

いずれの機能も、AIを「接続後は信頼できる存在」とは扱いません。ゼロトラスト・アーキテクチャがすべてのアクセスを「未認証・未許可」として扱うのと同様に、AIリクエストも同様に扱います。これは単なる機能ではなく、設計思想の根幹であり、NSA演習がその必要性を示しています。

防衛分野のコンプライアンスがすでに求めていること

防衛分野のコンプライアンスフレームワークは、まさにNSA演習が明らかにしたようなシナリオのために存在します。CMMC 2.0コンプライアンスは、防衛請負業者に対し、CUI(制御されていない分類情報)への管理されたアクセス、完全な監査証跡、すべてのチャネルでの文書化されたポリシー適用を求めています。FedRAMPコンプライアンスは、連邦クラウドサービスに対してリアルタイム監視とゼロスロットルの監査ログによる継続的なセキュリティ管理を要求します。

これらのフレームワークは、現在のAI能力の波よりも前から存在しますが、その要件はMythos演習が明らかにした問題に直接対応しています。CUIリポジトリにアクセスできるAIシステムが数時間で脆弱性を発見・連鎖できるなら、ゼロトラストAIデータガバナンスを持たない防衛請負業者は、同時にコンプライアンスギャップとセキュリティギャップを抱えることになり、モチベーションの高い攻撃者に人間の分析官が異常を検知する前に悪用されるリスクがあります。

DFARS 252.204-7012は、対象請負業者情報システムに対し72時間以内のインシデント報告を義務付けています。ITARは、制御技術データへの地理的アクセス制限を課しています。いずれもAIデータアクセスに関する具体的な義務を生み出しており、多くの組織はまだAIガバナンスポリシーに十分反映できていません。Kiteworks 2026年予測レポートは、AIガバナンスギャップを今後直面する主要なセキュリティ課題の一つと位置付けており、NSAの事例はこの課題を具体的かつ可視化された形で示しています。

この事実をいち早く認識した企業、すなわち「AIガバナンスはAI固有の問題ではなくデータセキュリティの問題であり、最も機密性の高いデータ環境向けに設計されたフレームワークがすでに正しいモデルを提供している」と理解した企業は、競争力・セキュリティ両面で優位に立つことができます。

AIが攻撃に使われる前提で設計せよ

NSA演習は、エンタープライズのセキュリティチームが先送りしてきた議論を強制的に進める契機となりました。インシデント対応の前提が変わったのです。「侵害を前提とする」はゼロトラストの基本原則ですが、Mythos演習はそこに「AI支援攻撃を前提とする」という補足を加えました。

有能なAIモデルと初期侵入経路を持つ攻撃者は、企業の攻撃対象領域を列挙し、脆弱性を連鎖させ、最も機密性の高いデータへの経路を、セキュリティチームが手作業で分析するよりもはるかに速く特定できます。人間の速度を前提としたラテラルムーブメント検知システムでは、AIの速度による偵察や侵害に十分対応できない可能性があります。

実践的な対応は、リアクティブではなく建築的なものです。すべてのチャネルでゼロトラスト・データ交換を実装し、機密データを扱うAIシステムのアクセスを接続時ではなくリクエスト単位で評価することが必要です。完全かつリアルタイムな監査ログを維持し、SIEMに直接フィードすることで、スロットルや遅延、調査時の追加ライセンス不要で即時対応できる体制を整えましょう。

NSAが理解していたのは、「見えないものは守れない」「記録できないものは見えない」ということです。この原則は、企業のAIアクセスにもそのまま当てはまります。AIシステムが1時間で数百の機密文書を検索した場合、何にアクセスし、何を返し、誰の権限で、どのポリシー経路で行われたのかを把握する必要があります。この可視性がなければ、インシデント対応能力は、現在実際に使われている最速カテゴリの攻撃に対して事実上「盲目」となります。

今、ガバナンスAIインフラを構築する企業は、セキュリティイベントによって強制される前に、AIを真の防御能力として活用できる立場を得られます。すべてのコンテンツ通信チャネル(セキュアメール、セキュアMFT、セキュアファイル共有、AI連携)でこれらの制御を徹底するプライベートデータネットワークアーキテクチャにより、どのチャネルもガバナンスの外に出ることはありません。

ゼロトラスト・アーキテクチャでAIアクセスを管理する方法について詳しく知りたい方は、カスタムデモを今すぐご予約ください

よくあるご質問

いいえ。広く拡散された主張は、認可されたレッドチーム演習を誤って伝えたものでした。NSA長官ジョシュア・ラッド将軍は上院議員マーク・ワーナーに「Mythosがほぼすべての機密システムを数時間で突破した」と語りましたが、この発言を掲載した記者は後に、演習はNSAシステムのレプリカ環境で行われたものであり、本番インフラではなく、Mythosは他のセキュリティツールと併用されていたと明確にしています。この違いは重要です。管理された環境レプリカでのレッドチーム演習は標準的な防御セキュリティ実践であり、敵対的な侵害ではありません。AIの速度で脆弱性を発見・連鎖させるという実証された能力は現実かつ重大です。企業は、AI支援による脆弱性発見が何を示唆するかに注目すべきであり、バイラル化した表現の正確性ではありません。AIデータガバナンスゼロトラスト生成AIフレームワークは、演習で顕在化した実際のリスクに対応するために存在します。自社のリスクを評価したい組織は、機密データリポジトリにアクセスできるすべてのAIシステムのリスク評価から始めるべきです。

Project Glasswingは、Anthropic社がMythos(最も高性能なAIモデル)に対して実施している管理されたアクセスプログラムです。同モデルの攻撃的セキュリティ能力は一般公開には危険すぎるとされ、Anthropicは厳格な条件下で審査済みの防衛・セキュリティ組織のみに配布しています。2026年6月時点で、同プログラムは15カ国以上、約150機関に拡大され、これらの組織はMythosを活用して自組織内で1万件以上の重大または高リスク脆弱性を特定しています。エンタープライズのセキュリティチームにとって、Project Glasswingはガバナンスモデルとして示唆に富みます。管理されたアクセス、認可されたユースケース、限定された範囲、監視された操作、すべてのクエリに対する明確な責任。これこそが、企業が自社AI導入時に適用すべきアーキテクチャです。Kiteworks AI Data Gatewayは、エンタープライズのRAGワークフローやAIデータアクセスにこのゼロトラストモデルを実装し、AIシステムが明示的に許可された範囲内でのみ完全な監査証跡付きで動作することを保証します。Project Glasswingのアクセス判断を支えるセキュリティリスク管理の規律は、機密データに触れるすべてのAIシステムにも適用すべきです。

NSA演習は、AI支援攻撃能力がもはや将来の話ではなく、現在進行形のリスクとしてエンタープライズの脅威モデルに組み込むべきことを示唆しています。セキュリティチームは、攻撃者が人間の分析官よりも速く攻撃対象領域を列挙し、脆弱性を連鎖させることを前提にモデル化すべきです。つまり、防御アーキテクチャも攻撃速度に見合う必要があります。検知システムには、スロットルなしのリアルタイムSIEMフィードが不可欠です。遅延したログではAI速度の侵入を封じ込められません。ゼロトラスト・アーキテクチャは、攻撃者が初期侵入に成功した場合の被害範囲を限定します。AI支援のラテラルムーブメントも、到達できるアクセス範囲が制限されていれば被害は最小化されます。接続認証ではなくリクエスト単位でのポリシー適用が重要な制御ポイントであり、すべてのシステム(AI含む)からのすべてのデータ操作をリアルタイムで評価・記録する必要があります。また、AI支援攻撃がサプライチェーン統合を標的とするリスクが高いため、サードパーティリスク管理体制も見直すべきです。

人間による機密データアクセスを規定するフレームワークは、AIアクセスにもそのまま適用されます。規制当局もこの点をますます明確に示しています。防衛請負業者の場合、CMMC 2.0コンプライアンスはCUIへの管理されたアクセスと完全な監査証跡を要求しており、これはAIシステムによるデータクエリにも直接適用されます。FedRAMPは連邦クラウドサービスに継続的なセキュリティ管理とリアルタイム監視を義務付けています。HIPAAコンプライアンスは、アクセス主体が人間かAIかを問わず、PHIアクセスに技術的な安全対策を求めます。GDPRはAIによるデータ取得も含め、データ処理の合法的根拠を文書化する必要があります。実務上、AIデータアクセスをコンプライアンスの対象外とみなすことはできません。機密データリポジトリにクエリを投げるすべてのAIシステムは、人間と同じ監査証跡とポリシー適用文書を生成すべきであり、KiteworksプラットフォームはすべてのAI操作とチャネルでこれを自動生成します。複数の規制フレームワークにまたがるデータガバナンス義務を管理する組織にとって、コンプライアントAIインフラは複数フレームワークを同時に満たす統合的な適用レイヤーを提供します。

短期的に最も実効性の高い3つのアクションがあります。第一に、AIデータアクセス監査を実施してください。自社環境で機密データリポジトリにクエリを投げられるすべてのAIシステムを特定し、そのクエリがゼロトラストのリクエスト単位ポリシー適用で管理されているか、単なる接続認証かを評価しましょう。接続認証だけでは不十分です。第二に、監査ログが完全かつリアルタイムであることを確認してください。AI支援攻撃者が数時間で環境を横断する場合、遅延やスロットル、不完全なログではインシデント対応が追いつきません。ゼロトラスト・データ保護にはリアルタイムの可視性が不可欠であり、それなくして有効な調査は不可能です。第三に、Project Glasswingと同じガバナンスモデル(管理されたアクセス、明示的な認可、限定された範囲、監視された操作)を、機密データに触れるすべてのAIシステムに適用してください。CISOダッシュボードは、AIデータアクセスイベント全体をリアルタイムで統合的に可視化し、AI支援脅威に求められる速度で異常検知を実現します。Kiteworksセキュアデータ交換は、すべてのチャネルとAI連携に対し、1つのポリシーエンジンと統合監査ログで即時に3つのアクションを実装できるインフラを提供します。

追加リソース

  • ブログ記事
    AIプライバシー保護を手頃に実現するゼロトラスト戦略
  • ブログ記事
    77%の組織がAIデータセキュリティに失敗している理由
  • eBook
    AIガバナンスギャップ:91%の中小企業が2025年にデータセキュリティでロシアンルーレット状態
  • ブログ記事
    あなたのデータに「–dangerously-skip-permissions」は存在しない
  • ブログ記事
    規制当局は「AIポリシーがあるか」ではなく「機能している証拠」を求めている

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks