AI攻撃者の倍増速度、4.7カ月に短縮:今こそデータガバナンスを
英国政府は、サイバーセキュリティ分野で最も不安を感じさせるベンチマークを発表しました。科学・イノベーション・技術省の研究部門であるAIセキュリティ研究所(AISI)は、最先端AIモデルがエンドツーエンドの多段階ペネトレーションテスト――上級のレッドチーム担当者が企業ネットワークに対して実施するようなテスト――をどれだけ自律的に実行できるかを追跡しています。2025年11月時点では、最先端モデルが自律的に完了できるタスクの難易度は約8カ月ごとに2倍になっていました。2026年2月には、その倍増ペースが4.7カ月にまで短縮されています。Claude Mythos PreviewやGPT-5.5の最新評価では、このカーブがさらに急激になっていることがAISIによって示唆されています。
主なポイント
- 倍増ペースは加速しており、安定化していない。 英国AIセキュリティ研究所のベンチマークによると、AIモデルが完了できるサイバータスクの難易度は現在4.7カ月ごとに2倍になっており、2025年11月の8カ月ごとからさらに短縮されています。この傾向は今も加速中です。
- これは自律性の測定であり、誇張ではない。 AISIは、AIが人間の専門家の作業時間に合わせて調整されたタスクに対して、80%の信頼性で多段階のエクスプロイトをエンドツーエンドで連鎖できるかどうかを測定しています。これは「AIがフィッシングメールを書ける」といった話よりもはるかに高度で困難な基準です。
- 攻撃者のタイムラインは、防御側が対応できるよりも速く短縮している。 CrowdStrikeは、AISIの最新ベンチマークが発表される前の時点で、平均29分のeCrimeブレイクアウトタイムと、AI活用攻撃の前年比89%増加を計測しています。
- パッチ&ディテクトモデルはすでに競争に負けていた。 機密データの所在を把握している組織はわずか33%であり、ほとんどの組織はインシデント発生後に侵害されたAI学習データを回復できません。攻撃者のスピードが上がることで、こうしたギャップが即座に露呈します。
- 持続的な防御はデータ自体に移行する。 脆弱性発見から武器化までの時間がゼロに近づくと、どのエクスプロイトが到達してもデータを統制・暗号化・監査できる制御面だけが有効となります。
ムーアの法則はもう過去のものです。防御側の敵は、いまや指数関数的な進化を遂げています。
これはAIがより巧妙なフィッシングメールを書く話ではありません。AISIのベンチマークは自律的な能力――モデルが複数ステップにわたる文脈を維持し、失敗から回復し、人間の専門家が数時間かけて行う作業を完了できるか――を測るために設計されています。Vectra AIの主任セキュリティリサーチャー、Kat Traxler氏はCSO Onlineでその意義をこう語っています。「AISIのベンチマークは、モデルが脆弱性を見つけられるかを測るものではありません。むしろ、さまざまなモデルが一連のエクスプロイトを連鎖させて実際の攻撃を成立させ、最終目的を達成できるかを測っています。これは現実の攻撃者が行うことと同じです。」
この違いは極めて重要です。エクスプロイトを連鎖させて実働攻撃を成立させられるモデルは、もはや単なるツールではありません。眠らず、欠勤せず、防御側のトレーニング予算よりも速いペースで進化する「ジュニア・レッドチーム担当者」なのです。
AISIの数値がベンダーデモより重要な理由
AISIは、ベンダーの主張があふれる分野で数少ない独立した存在です。政府資金で運営され、手法も透明で、商用製品の販売目的もありません。AISIが「倍増ペースが8カ月から4.7カ月に加速した」と述べるとき、それはマーケティング文句ではなく、同じモデルを同じタスクで継続的に評価した統制ベンチマークの実測値です。
このベンチマーク手法は理解する価値があります。AISIはまず人間の専門家が課題を解決するのに必要な時間を測定または推定し、次にAIモデルが80%の成功率で完了できる最長タスク(人間の作業時間換算)を推定します。報告される数値は単なる速度ではなく、多段階作業における自律的な信頼性です。長いタスクを完了するには、モデルが文脈を保持し、失敗時に回復し、作業を継続する必要があります。
いくつか注意点もあります。AISIはAIシステムのトークン数を250万に制限し、モデル間の比較を可能にしていますが、これにより攻撃の初期段階を記憶する能力が制限されます。ベンチマークはすべてそうですが、現実世界のパフォーマンスを正確に予測するものではありません。また、AISI自身も指摘するように、AIは人間が簡単と感じるタスクで苦戦し、逆に人間が難しいタスクを容易にこなす場合もあります。こうした注意点があっても、能力と難易度の傾きは一層急になっており、どのモデルがどこに位置していてもこの傾向は変わりません。
倍増ペースの隣に圧縮された防御側ウィンドウ
AISIの進化曲線は、静かな脅威環境に現れたわけではありません。すでに運用限界まで追い込まれている状況下で登場しています。
CrowdStrike 2026年グローバル脅威レポートでは、AI活用攻撃の前年比89%増加が計測されました。平均eCrimeブレイクアウトタイム(初期侵入からラテラルムーブメントまでの時間)は29分、最速は27秒です。ゼロデイ脆弱性の公開前悪用は42%増加。2025年の検知の82%はマルウェアフリー(2020年の51%から増加)で、攻撃者は正規の認証情報やネイティブツール、人間主導の手法を使い、従来のシグネチャベース防御では検知できません。
これらの数値を正直に積み上げてみましょう。CrowdStrikeのデータは2025年までのもので、AISIの倍増ペースが加速する前の時点です。89%増加、29分のブレイクアウトウィンドウ、42%のゼロデイ増加――いずれも最新の能力ジャンプ以前の脅威環境を反映しています。次回のCrowdStrikeレポートがどうであれ、進化の方向性は明らかです。
一方、Thales 2026年データ脅威レポートによると、機密データの所在を完全に把握していると回答した組織はわずか33%。世界の3分の2の組織は、AISIベンチマーク攻撃者が最初に問う「価値あるデータはどこか?」という問いに答えられません。
これはどのセキュリティ戦略メモも直視したくない現実です。攻撃者の能力は4.7カ月ごとに2倍。防御側のブレイクアウトウィンドウは29分。3分の2の組織は自社の「王冠の宝石」を棚卸できていません。これは単なるギャップ拡大ではなく、構造的なミスマッチです。
CVE&パッチモデルは別の時代の産物
現代の脆弱性管理に組み込まれている前提は、攻撃者の発見ペースが人間レベルであることを前提としています。ベンダーが脆弱性を公開し、NISTがスコアを付け、セキュリティチームが優先順位を決め、パッチが数日~数週間で展開される――このリズムは、脆弱性発見から武器化までの日数や週単位の猶予がある場合に機能します。
しかし、このリズムはすでに崩れ始めています。Cloud Security Allianceの2026年4月「Mythos-Ready」ブリーフィング(Jen Easterly、Bruce Schneier、Chris Inglis、Phil Venablesが署名)は、「発見から武器化までのウィンドウが数時間にまで短縮された」と警告しました。NISTも4月中旬、National Vulnerability Databaseに提出されたCVEの大半をもはや精査できず、3万件超が未分析で「未定」が新たなデフォルトカテゴリになったと認めています。Dragos 2026年OT/ICSサイバーセキュリティレポートでは、2025年のCVEの15%がCVSSスコア誤りで、64%はスコアが上方修正され、25%の脆弱性アドバイザリにはパッチや緩和策の記載がありませんでした。
そこにAISIのシグナルが加わります。発見を担うAIシステムの能力は4.7カ月ごとに2倍。防御側の参照システムはカバレッジを半分以上縮小。攻撃者の発見エンジンは産業化しています。
この非対称性は構造的なものであり、個々のツールやトレーニング、パッチSLAで埋められるものではありません。
「ディフェンダーAI」は必要条件だが十分条件ではない理由
AISIの発見に対する最も一般的な反論は「防御側もAIを使える」というものです。Sweet Securityのクラウド&AIセキュリティ戦略ディレクター、Chris Lentricchia氏はCSO Onlineで「攻撃者の能力を加速させるのと同じ進化が、防御側の脅威検知や対応自動化などの分野でも防御力を高める」と述べています。確かにその通りです。ディフェンダーAIは重要です。パッチ適用の迅速化、検知テレメトリの強化、IR自動化の向上も同様に重要です。
しかし、ディフェンダーAIだけでは根本的な非対称性は解決しません。攻撃者は一度成功すればよいのに対し、防御側はすべての資産、アカウント、API、ワークフロー、毎日すべてで成功し続けなければなりません。ディフェンダーAIは「床」を上げ、攻撃者AIは「天井」を上げます。その差は、どれだけの表面が露出しているか、どれだけ統制されているかで決まります。
また、サバイバル問題もあります。ディフェンダーAIはSOCやEDRコンソール、クラウドセキュリティポスチャ管理ツールでは機能しますが、実際にデータが動く現場――従業員と外部パートナー、アプリケーションと外部SaaS、人間とAIエージェントの間――では十分に機能しません。世界最高速・最高信頼のディフェンダーAIも、機密データが統制されていないチャネルからすでに流出していれば意味がありません。
Kiteworks Data Security and Compliance Risk: 2026 Forecast Reportによれば、AIデータゲートウェイを中央集約している組織は43%に過ぎず、7%はAIによる機密データアクセスに対する専用制御が一切ありません。残りの50%は「部分的」「アドホック」「統一ポリシーなき分散型」など何らかの不完全な状態です。ここが攻撃者AIが最初に突く表面です。
アーキテクチャ的解決策:脆弱性ではなくデータを統治する
攻撃者の能力曲線が指数関数的に伸びる時代、境界防御だけで追いつこうとしても勝ち目はありません。制御面は攻撃の下――データ自体に移す必要があります。
これは、パッチ適用リズムが崩壊したときに有効なアーキテクチャパターンです。ファイアウォール、WAF、IDSを組み込んだ強化された仮想アプライアンスにより、セキュリティが製品特性となり、顧客の設定負担を軽減します。すべてのデータ交換チャネル(セキュアメール、ファイル共有、SFTP、マネージドファイル転送、API、ウェブフォーム、AIエージェント)にわたる属性ベースのゼロトラストアクセス制御。顧客管理の鍵によるFIPS 140-3暗号化。改ざん検知可能な監査ログをリアルタイムでSIEMに配信し、スロットリングなしで証拠性を確保。シングルテナント分離により、マルチテナントの侵害でも他者の脆弱性で自社データが漏洩しません。
Kiteworksはこの考え方をもとに設計されました。プラットフォームは、AIアクセスを含むすべての機密データ移動チャネルに対して、ガバナンス、セキュリティ、可視性を統合します(Kiteworks Compliant AIおよびSecure MCP Server経由)。2021年12月にLog4ShellがCVSS 10の脆弱性として業界を襲った際、Kiteworksの顧客はCVSS 4として体験しました――なぜなら、アーキテクチャが汎用的な導入で露出するエクスプロイト経路をすでに排除していたからです。
次のLog4ShellはCVE番号付きで現れることはありません。まだベンチマークされていないAIシステムによって発見されたゼロデイとして現れます。事前スコアができない脅威に備えた設計こそが有効な防御です。
組織が今すぐすべきこと――次の予算サイクルを待たずに
AISIの倍増ペースは、研究対象ではなく、今ある資産と人材で即行動すべき課題です。
まず、AISIの進化曲線を戦略的インプットとして扱うこと。 倍増ペースの観測結果を取締役会への報告、リスクレジスター、脅威モデリング演習に組み込みましょう。攻撃者の能力がパッチ適用リズムを上回ると何が変わるかを議論の軸に据えてください。なぜなら、その答えが今後のアーキテクチャ全体を左右するからです。
次に、検知リズムと29分のブレイクアウトウィンドウのギャップを監査すること。 Kiteworks 2026 Forecast Reportによれば、AIデータゲートウェイを中央集約している組織は43%にとどまり、多くが攻撃者のスピードでチャネル横断的なデータ移動を検知するための統合テレメトリを持っていません。IR計画が数時間の滞留を前提としているなら、それは時代遅れです。
三つ目は、AIアクセス経路の棚卸し。 社内のコパイロット、エージェント、モデルコンテキスト連携、機密データストアへのAPI――すべてがAI攻撃者の新たな標的です。Kiteworksレポートによれば、7%の組織はAIアクセスに対する専用制御が一切ありません。こうした組織は「アーリーアダプター」ではなく、単に無防備なのです。
四つ目は、暗号鍵の管理権限を自社に戻すこと。 クラウド管理の鍵がサービスごとに分散していると、AIが発見したエクスプロイトが特権サービスに到達した際、被害範囲が拡大します。顧客管理の鍵、FIPS 140-3認証、HSM連携は今後12カ月の標準要件であり、もはや差別化要素ではありません。
五つ目は、すべてのデータ交換チャネルで証拠性の高い監査証跡を要求すること。 Kiteworksによれば、33%の組織は規制当局の監査や訴訟時の証拠開示に耐えうる改ざん検知可能なログを持っていません。高速な攻撃者が高速なシステムを侵害した場合、フォレンジック記録だけが封じ込めたインシデントと報告義務のある侵害を区別する唯一の証拠となることもあります。
六つ目は、AIベンダーにモデル安全性だけでなくデータ層のガバナンスを求めること。 ジェイルブレイクされたモデルが機密データにアクセスできなければ、インシデントは封じ込められます。逆に、安全なモデルでも統制されていないデータに広くアクセスできれば、プロンプトインジェクション一発で大惨事です。本当に重要なのはモデルではなくデータです。
倍増ペースは、どの組織にも追いつく猶予を与えてくれません。進化曲線を見据えて備える組織が勝ち、過去のパラダイムにしがみつく組織は次の侵害を招きます。
よくある質問
これは予測ではなく、計画策定のシグナルとして捉えてください。AISIのベンチマークは、自律的な多段階能力を測定しており、AIサイバー能力の中でも最も偽装が難しい領域です。手法上の注意点があっても、この傾向はCrowdStrikeのAI活用攻撃89%増という現実を裏付けています。Kiteworks Data Security and Compliance Risk: 2026 Forecast Reportによれば、AIデータゲートウェイを中央集約している組織は43%に過ぎず、大半がリスクにさらされています。
データ交換の境界を統合しましょう。多くのチームは、監査ログやアクセス制御がバラバラなツールを使いすぎて負担が増しています。Kiteworks Data Security and Compliance Risk: 2026 Forecast Reportは、統一されたデータ層ガバナンスが運用負担と侵害リスクの両方を減らすことを示しています。メール、ファイル共有、MFT、API、AIアクセスを一元管理するプラットフォームは、5つの分散ツールよりも安価です。
モデル層ではなくデータ層でガバナンスを行いましょう。Kiteworks Data Security and Compliance Risk: 2026 Forecast Reportによれば、AIアクセス制御が全くない組織が7%、アドホックなポイントソリューションに頼る組織が19%存在します。ABACポリシー適用による中央集約型AIデータゲートウェイを使えば、AIエージェントは認可されたデータだけにアクセスでき、すべてのリクエストが認証・認可・監査されます。
CMMCレベル2のアクセス制御、監査、識別管理ファミリーは、防御側が異常な活動を検知・対応できることを前提としています。AISIの調査結果は、その対応ウィンドウを劇的に短縮します。Kiteworks Data Security and Compliance Risk: 2025 State of CMMC Preparedness in the DIB Reportによれば、調査対象DIB組織のうちレベル2認証取得に自信があるのは46%、NIST 800-171ギャップ分析未実施は57%です。属性ベースアクセスによるデータ層ガバナンスは、AC、AU、IAファミリーを同時に満たします。
従来のIAMはユーザーを認証し、ロールを割り当てます。AIエージェントのガバナンスは、エージェント自体の認証、アクセスできるデータの認可、すべてのやり取りのリアルタイム監査が必要です。Kiteworks Data Security and Compliance Risk: 2026 Forecast Reportは、これを「コントロールプレーンのギャップ」と位置付けています――IAMは人を制御しますが、ガバナンスはデータの流れを制御します。AISIクラスの攻撃者能力がガバナンス不足のエージェントに到達すると、そのエージェントが流出チャネルとなります。