攻撃者はマシンのスピードで動く — 防御側はいまだに人間の時間軸で対応

2026年3月16日に発表されたBooz Allen Hamiltonのレポートは、多くのセキュリティリーダーが感覚的に捉えているものの、ほとんど数値化されていない問題を浮き彫りにしています。それは、AIのスピードで行われる攻撃と人間のスピードで行われる防御との間のギャップが縮まるどころか、むしろ拡大しているという現実です。

主なポイント

1. 攻撃者は、政府や企業が防御のためにAIを導入するよりも早く、攻撃のためにAIを活用し始めています。これがBooz Allenのいう「サイバーセキュリティ・スピードギャップ」です。 かつては数日かかっていた攻撃が、今や数分で業務に影響を及ぼすようになっています。
2. エージェンティックAIツールを使う一人のオペレーターが、数十のターゲットに対して同時に偵察、侵害、フォローオン攻撃を実行できるようになりました。 かつては大規模で組織化された専門チームが必要だった能力が、今やAPIキーを持つ一人で実現できます。
3. AIプラットフォーム自体が高価値な攻撃対象となりつつあります。機密データ、IDシステム、ワークフロー権限が一箇所に集中するためです。 これらのプラットフォームが設定ミスや侵害を受けると、攻撃者は組織の運営を支えるシステムに直接アクセスできるようになります。
4. 手動によるサイバーセキュリティ運用ではAIのスピードで行われる攻撃に追いつけませんが、多くの組織はいまだにインシデント対応を人間のタイムラインで実施しています。 CISAは重大な脆弱性のパッチ適用に15日を認めていますが、HexStrikeは10分未満で8,000以上のエンドポイントを侵害しました。
5. このスピードギャップを埋めるには、サイバー防御をAIのスピードに引き上げ、AIプラットフォームを重要インフラとして保護し、人間とAIの協働モデルを採用するという3つの決断が必要です。 これらの変革を行わない組織は、攻撃者がすでに制御権を握った後でしか侵入を検知できなくなります。

このレポートはCyberScoopでも取り上げられており、2023年から2026年初頭にかけてAIを活用した攻撃のタイムラインを示し、明確な転換点があったことを記録しています。2025年8月には、オープンソースのHexStrikeフレームワークがCitrix NetScalerの脆弱性を武器化し、10分未満で8,000以上のエンドポイントを侵害しました。2025年9月には、Anthropicが中国の国家支援キャンペーンを報告し、脱獄されたClaude Codeを使って30のグローバルターゲットに対してAIが80〜90%の戦術作業を自律的に実行し、完全なサイバーキルチェーンを成立させました。2026年1月には、セキュリティ研究者が商用言語モデルを使い、1回あたり平均50ドルでゼロデイ脆弱性の完全なエクスプロイトチェーンを生成できることを実証しました。

CrowdStrike 2026 Global Threat Reportもこのタイムラインを裏付けています。平均eCrimeブレイクアウトタイムは2025年に29分まで短縮され、前年比65%減少、最速は27秒でした。AIを活用した攻撃は前年比89%増加しています。一方で、CISAはいまだに重大な脆弱性に対して15日の修正期間を運用しており、Booz Allenレポートによると、その期間が過ぎても60%の重大な脆弱性が未対策のままです。これはギャップどころではなく、断絶です。

Booz AllenのNational Cyber Business担当EVPであるBrad Medairyは、リスクを運用面からこう表現しています。「攻撃者が境界の脆弱性を突いて内部に侵入した瞬間、彼らは機械のスピードで動きます。人間のスピードで対応している防御側は、ただ遅いだけでなく、侵入が進行する様子を見ているだけなのです。」

AI活用型攻撃の2つのモデル—なぜ2つ目がすべてを変えるのか

Booz Allenレポートは、悪意あるアクターがAIを利用する際の2つの明確なパターンを特定しています。1つ目はコラボレーターモデルです。オペレーターが言語モデルと対話しながらスクリプトを書いたり、コードをデバッグしたり、ツールの失敗時に適応させたりします。これは効率を大幅に高め、攻撃者が従来行っていた作業を加速させつつ、重要な意思決定には人間が関与し続けます。

2つ目はオーケストレーションモデルで、これは本質的に異なります。オペレーターがAIシステムを攻撃用ツールに接続し、ターゲットを指定し、パラメータを設定して、あとは放置します。システム自体がツールを選択し、アクションを実行し、結果を読み取り、目標達成まで繰り返します。Booz AllenのBrad Medairyは、これをAI版の「バイブコーディング」に例えています—目標を定義し、制約を設定し、あとはエージェントに問題解決を任せるというものです。

オーケストレーションモデルこそが、HexStrikeやClaude Codeの事例を重大なものにしています。これらはAIを使って手作業のプロセスを数時間短縮する高度な国家チームではありません。最小限の人間の指示で、完全な攻撃ワークフローを自動で実行するシステムです。特に2025年11月にAnthropicが記録したClaude Codeキャンペーンは示唆に富みます。脱獄AIエージェントが自律的にターゲットを選定し、エクスプロイトを生成し、侵入を実行し、データを持ち出し、永続化を確立—すべてリアルタイムの人間の指示なしで行われました。人間のオペレーターが介入したのはキャンペーン全体でわずか4〜6回の意思決定ポイントのみです。同じ事例からKiteworks Forecastは防御側の知見を指摘しています。AIが時に結果を誇張したりデータを捏造したりするため、攻撃者は結果の検証を強いられ、キャンペーンが遅延しました。この信頼性の低さが唯一の救いですが、モデルの進化とともに長くは続かないでしょう。

2026年2月に発表されたAgents of Chaos研究（MIT、ハーバード、スタンフォード、CMUの20名の研究者による）は、こうした事態を可能にする構造的な欠陥を記録しています。AIエージェントには、正規ユーザーと攻撃者を区別する信頼できる仕組みがなく、自身の能力の限界を内部的に認識するモデルもなく、侵害された指示が他のエージェントに伝播するのを防ぐ手段もありません。

Kiteworks 2026年データセキュリティ＆コンプライアンスリスク予測レポートは、防御側の現状を数値で示しています。組織の63%がAIエージェントに目的制限を強制できず、60%が不正なエージェントを停止できず、55%がAIシステムをネットワーク全体から隔離できません。攻撃者は自律型の攻撃エージェントを構築していますが、防御側の多くは自分たちのAIすら制御できていません。

AIプラットフォームは新たな重要インフラ—そして最新の攻撃対象

Booz Allenレポートは、従来の脅威分析を超えた主張をしています。AIプラットフォーム自体が重要インフラとなったというものです。これらのシステムは機密データを集約し、メールやチケッティングシステムと接続し、コードリポジトリと統合し、プラグインやエージェント、自動ワークフローを通じてアクションをトリガーします。侵害されれば、攻撃者はエンタープライズの最も信頼性の高い部分に直接アクセスできます。

実際の事例も具体的です。XLabは、ComfyUI（AIワークフローツール）の脆弱性を悪用してPickaiマルウェアが拡散し、約700台のサーバーに影響したと報告しています。Microsoft Incident Responseは、攻撃者がOpenAI Assistants APIをコマンド＆コントロールチャネルとして利用し、指示を送信・結果を受信していたことを記録しました。公開リポジトリでは、AIで書かれた洗練されたドキュメント付きの悪意あるAIパッケージが配布されており、Sonatypeは2025年第4四半期だけで約40万件の新規オープンソースマルウェアパッケージを報告、その89%が単一キャンペーンによるスクリプトやAI支援による公開だとしています。

AIセキュリティをエンドツーエンドで一元管理するチームが存在しない場合、リスクはさらに複雑化します。あるチームはモデルやワークフローを運用し、別のチームはアクセスやログを管理し、さらに別のチームはベンダー管理を担当します。Kiteworks Forecastによると、組織の57%が中央集約型AIデータゲートウェイを持たず、政府機関の33%はAI専用の管理策が全くありません。Black Kite 2026年サードパーティ侵害レポートは、2025年に136件のサードパーティ侵害が確認され、719の特定被害者と約26,000の未公表企業に影響、中央値73日の開示遅延があったと記録しています。AIプラットフォームが内部システムやパートナーAPI、サプライチェーンワークフローと接続されると、そのすべてが侵害されたAIエージェントの伝播経路となり得ます。

Booz Allenレポートの提言は明確です。AIプラットフォームには、アクセス、ログ、統合、データ処理のための強制可能なセキュリティベースラインを設けるべきであり、自主的なガイダンスではリスクに見合わないと認めています。

スピードギャップはデータガバナンスギャップでもある

スピードの問題の根底にはデータの問題があります。AIを活用する攻撃者は、侵入のスピードだけでなく、重要な情報の発見と持ち出しでも優位に立っています。マルウェアベースの侵入から、IDベース・認証情報駆動型の攻撃へとシフトしたことで、攻撃者は正規アカウントを使い、正規システムにアクセスし、正規チャネルを通じてデータを持ち出します。CrowdStrikeレポートによれば、2025年の検知の82%はマルウェアを伴わないものでした。

これは「防御」の意味をデータ層で根本的に変えます。従来の境界型セキュリティやエンドポイント検知、シグネチャベースのツールは悪意あるファイルの検出に特化していますが、信頼されたアカウントによる機械のスピードでの機密データアクセスという悪意ある挙動の検出には対応していません。

2026年Thalesデータ脅威レポートによると、組織のうち自社データの所在を完全に把握しているのはわずか33%です。Kiteworks Forecastでは、33%が証拠能力のある監査証跡を全く持たず、61%がシステムごとに断片化したログしか持っていません—AIスピードのインシデント時に実用的なフォレンジック証拠を作れないのです。DTEX 2026年インサイダー脅威レポートはさらに別の側面を示します。シャドーAIが今や過失型インサイダーインシデントの主因となっているにもかかわらず、AIをセキュリティ戦略に統合している組織はわずか13%しかありません。

攻撃者が正規アカウントで機械のスピードで動き、防御側が自組織のAIシステムのアクセスすら監査できない状況では、スピードギャップは可視性ギャップとなり、可視性ギャップはコンプライアンスギャップへとつながります。

WEFグローバルサイバーセキュリティアウトルック2026もこの傾向を裏付けています。回答者の73%が、2025年に自分またはネットワーク内の誰かがサイバー詐欺の被害を受けたと報告し、CEOの関心事は「サイバー詐欺」と「AI脆弱性」が上位2位となり、初めてランサムウェアを上回りました。Booz Allenレポートはこの点を結び付けています。AIが詐欺を産業規模に拡大し、攻撃者が信頼されたIDを使って活動する時代には、セキュリティはデータガバナンスと切り離せません。どのデータに、誰が、どのポリシーの下でアクセスしたのか、アクセス者が人間か機械かを証明できない組織は、インシデント調査もその後の規制監査も通過できません。

KiteworksがAIスピード攻撃とデータ層防御のギャップを埋める方法

Booz Allenレポートの3つの推奨事項—防御をAIスピードに引き上げ、AIプラットフォームを重要インフラとして保護し、人間とAIの協働モデルを採用—は、すべて1つのアーキテクチャ要件に集約されます。すなわち、データ層はモデル、エージェント、ユーザーから独立してガバナンスされなければならないということです。

Kiteworksは、機密データが移動するすべてのチャネル（メール、ファイル共有、SFTP、マネージドファイル転送、API、データフォーム、AI連携）にわたり統合ガバナンスを提供するセキュアデータ交換の制御プレーンとして機能します。これは単なる監視レイヤーではなく、強制レイヤーです。

AIスピードでの封じ込めのために、Kiteworksは機密データへのすべてのアクセス（人間・AIエージェント問わず）をリアルタイムで改ざん検知可能な監査証跡として記録し、遅延やスロットリングなしでSIEMインフラに直接連携します。インシデントが数分で進行する場合でも、調査担当者はすでに証拠チェーンを手にしており、72時間遅れのログを5つのシステムから集める必要はありません。

AIプラットフォームのセキュリティについては、Kiteworksはデータ層で属性ベースアクセス制御（ABAC）を強制し、すべてのAIエージェントリクエストが認証され、多次元ポリシーで認可され、FIPS 140-3認証暗号化で保護され、完全な委任チェーン付きでログ記録されることを保証します。目的バインディングによりエージェントの権限を制限し、キルスイッチ機能で迅速な停止を可能にし、シングルテナント分離でクロステナントの脆弱性悪用を防ぎます。

人間とAIの協働については、KiteworksはAI導入を妨げる手動のコンプライアンス審査ゲートを、継続的かつ自動化されたガバナンスに置き換えます。AIプロジェクトはアーキテクチャにコンプライアンスが組み込まれているため、スピード感を持って展開できます—定期的な承認チェックポイントとして後付けする必要はありません。

スピードギャップが閉じる前にセキュリティリーダーが取るべき5つのシフト

第一に、AIスピードのインシデントに備え、自動封じ込めアクションを事前承認しておくこと。Booz Allenレポートは明言しています。侵入時に手動承認を待つのは遅すぎます。ホスト隔離、トラフィック遮断、セッション失効、権限凍結など、どのアクションをどの閾値で自動実行するかを事前に定義し、インシデント発生前に机上演習で検証してください。

第二に、本番運用中のすべてのAIプラットフォームに対して強制可能なセキュリティベースラインを確立すること。Kiteworks Forecastによれば、組織の57%が中央集約型AIデータゲートウェイを持っていません。すべての自動ワークフローに独自のID・アクセス制御、到達可能なデータやシステムを制限するゼロトラストポリシー、ツール呼び出しや主要イベント、パフォーマンスシグナルの詳細なログが必要です。

第三に、すべてのデータ交換チャネルで監査証跡インフラを統合すること。Kiteworks Forecastでは、61%の組織が断片化したログしか持たず、実用的ではありません。ブレイクアウトタイムが29分でログが72時間遅れて届く状況では、攻撃を封じ込めるのではなく、犯罪現場を調査しているに過ぎません。

第四に、すべてのAI連携に対してデータ層ガバナンスを導入すること—モデル層のガードレールでは不十分です。システムプロンプトはコンプライアンスコントロールではなく、プロンプトインジェクションやモデル更新、間接操作で容易に回避されます。モデルから独立したデータ層での強制だけが、監査に耐えうるコントロールとなります。

第五に、セキュリティ運用に人間とAIの協働モデルを採用すること。Booz Allenレポートは、このアプローチによりセキュリティチームの能力が10〜100倍に拡大すると試算しています。自動化エージェントが日常的なトリアージや検知ルールの更新、初動封じ込めを担い、人間のアナリストが監督・検知ロジックの精緻化・複雑な調査に介入します。

Booz Allenレポートの結論は明快です。もはや「AIを活用した侵入が発生するかどうか」ではなく、「防御側が被害発生前に対応できるか、それとも被害が出てからしか動けないか」が問われています。