「セキュリティ“業界”は日没する」 脆弱性爆発時代、AIに未検証パッチ当てを委ねる決断はできるか：優秀なエンジニアが持つ“匂い”は

セキュリティ対策の在り方が根本から変わり、メガインフラの引力が強まる中、日本の企業・組織が取り戻すべき「主権」とは何なのか。トラストの基点を決定論的な静的管理から、動的な「IDと実行時コンテキスト」に移すことは可能なのか。

[宮田健，＠IT]

　2026年5月26日、「ITmedia Security Week 2026 春」で、パロンゴ 取締役 林達也氏が「Sunset Security：Post AI時代のセキュリティとアイデンティティの新標準」と題して講演した。

　これまで多くの企業・組織のセキュリティ対策に、認証・認可やアイデンティティー（ID）管理を中心に関わってきた同氏が、ポストAI時代のセキュリティを「沈みゆく」と表現し、「IDの重要性をもう一度考えよう」と呼び掛ける講演だ。本稿では、講演内容を要約する。

パロンゴ 取締役 林達也氏。経済産業省 商務情報政策局 情報プロジェクト室（2020〜2022年）にも在籍し、現在はデジタル庁 アイデンティティアーキテクト／アイデンティティユニット ユニット長も務めている。慶応義塾大学 大学院 メディアデザイン研究科（KMD）後期博士課程で、同大学のKMD研究所 所員でもある

セキュリティ業界は「日没」する

　講演冒頭で林氏は、大規模言語モデル（LLM）の世界で話題になる「SaaS is dead」というキーワードを出しつつ、「セキュリティ業界はSunset（日没）する」と言い切る。

　「SaaS is dead」は“機能売り”としてのビジネスが終焉（しゅうえん）を迎えるという意味で、「UI」や「作業」は、もうLLMが代替してしまうことが背景にある。画面やフロー、機能といったものがコモディティ化することを表現している。

　セキュリティ製品に置き換えると、手動での脆弱（ぜいじゃく）性診断、人の手によるアラート判別、ルールを設定しての監視運用といった作業はLLMが肩代わりし、淘汰（とうた）されるということだ。

「SaaS is dead」（林氏の講演資料から引用）

　一方で「日没」しないものもある。ID、データ、audit、ガバナンスモデル、そして「トラストの基点」だ。これらの管理は人間に残されるが、メガインフラの引力がさらに強まって機能としては死に至り、トラストの基点はむしろさらに集約されるという。既に「Amazon Web Services」（AWS）、「Microsoft Azure」「Google Cloud」といったメガインフラに、鍵もログもIdentity Provider（IdP）も属性データも握られつつあり、「人質化」のリスクが高まっている。

　冒頭に述べた「日没」とはあくまで業界のことであり、セキュリティ対策自体はなくならない。業界の構造が変わり、人手で回すものがなくなるが、情報にまつわる領域は必ず人間に残されるということだ。

業界は沈むが、セキュリティ対策自体はなくならない（林氏の講演資料から引用）

優秀なエンジニアが持つ“匂い”と生成AIの“ハルシネーション”

　林氏は、生成AIがセキュリティの世界でも重要になったことを踏まえ、理解する上での要点を示す。

　従来のITシステムが「同じ入力には同じ出力」を返す決定論的（Deterministic）なものだったのに対し、生成AIは「同じプロンプトでも違う出力」となる確率論的（Probabilistic）な性質を持つ。これが、生成AIの本質と言える。

既存ITと生成AI（林氏の講演資料から引用）

　これまでのセキュリティでも、確率論的なアプローチがなかったわけではない。例えばリスクベースアプローチは発生確率と影響度の乗算で示されるし、暗号は乱数とエントロピーにより構成される。そのため「実は無自覚だっただけで、両方を使ってきた」と指摘しつつ、「決定論的思考やアプローチを積極的に放棄（Unlearning）すべきだ。意図的に軸足を移すことが重要だ」と力を込める。

　「生成AIはハルシネーションを起こすから使えない」と言われがちだが、そもそも最も決定論的に振る舞えないのは人間だ。人間こそが最も予測不可能な確率論的変数であり「人間の方がよっぽどハルシネーションする」と強調する。

人間こそが最も予測不可能な確率論的変数（林氏の講演資料から引用）

　セキュリティエンジニアも「確率論的」な行動を取ってきた。優秀なエンジニアはとうてい決定論では考えられない「匂い」といった感覚を基に行動している。そのような優秀なエンジニアが持つ直感（確率論的推論）を、膨大な計算リソースでスケールさせたものが生成AIだと言えよう。決定論的思考を積極的に放棄し、確率論的世界を受け入れる必要があるのだ。

エンジニアの「確率論的推論」（林氏の講演資料から引用）

「Mythos」で慌てる組織、慌てない組織

　林氏はここで、大きな話題となっているAnthropicのAIモデル「Claude Mythos」に触れる。日々LLMを業務に組み込んでいる組織は慌てなかった一方で、LLMを想定していなかった多くの組織にとっては想像を絶するレベルで、大きな驚きをもたらした。Mythosが突き付けたのは「人間とAIのスケーラビリティの非対称性だ」とし、今後も大量の脆弱性発見は続くと予想する。

Mythosがもたらしたもの（林氏の講演資料から引用）

　大量に脆弱性が発見される時代に、人手で対応するには限界がある。そのため、攻撃も防御もLLMが回す時代となる。

　「人間の承認を待つプロセスが致命的にボトルネックになる。必要なのはツールではなく、組織体制やアーキテクチャ、そして知恵。ここを人間が頑張らねばならない」

　そのためには、「短期的な業務継続性の低下を受容する」という、経営者でもなかなか下せない決断が必要になる。もはや「全部守る」も「事業を止めない」も目標としては不適切で、パッチを検証する時間はないまま、パッチを当てることができなければならない。攻撃者がLLMを駆使し、圧倒的な規模で攻撃してくるからだ。その前に、経営層は「事業の痛みを経営判断として、文書で準備する」ことが求められる。

　もはやセキュリティ製品こそが一番信用できない。かつてのように「製品を入れたら守れる」というのは幻想であり、製品を入れれば入れるほどアタックサーフェスが広がり、脆弱性が発見される可能性が高くなる。ここで必要なのは、先述した「トラストの基点」を決定論的な静的管理から、動的な「IDと実行時コンテキスト」に移す、移しても平気なようにすることだ。

セキュリティ製品が信用できない時代にすべきこと（林氏の講演資料から引用）

「ノンヒューマンID」と動的台帳への移行

　動的な「IDと実行時コンテキスト」に移すとはどういうことか。林氏は「ノンヒューマンID」（NHI）と呼ぶ、人間が扱う新しいライフサイクルのIDを解説する。IDとは人間のためのものだけではなく、サービスアカウント、ワークロードIDなどが存在する。特にAIエージェントは、数日間対話の文脈を維持しながら自律的に動き、その過程で必要な権限や属性が変化し続けるという、人間がこれまで扱ったことのないライフサイクルを持つ。これが、人間のIDを圧倒する数になりつつある。これを従来の従業員台帳を起点とした静的なディレクトリ管理で補おうとすると、動的なAIエージェントには通用せず、破綻する。

　「取りあえずIGA（Identity Governance and Administration）製品を買えばいい、という考え方は、攻撃者にとって最高のカモだ」

　そこで必要になるのは、「私見」としつつも「エンティティIDの属性情報リレーション（有向グラフ）をベースとした世界だ」という。これまでのID管理製品を使いながらNHIを別に管理することは最も好ましくない。

静的Directoryも死ぬ（林氏の講演資料から引用）

　このようなポストAI時代のID管理において、メガインフラへの依存によるデータの人質化を防ぐために不可欠なのが「データ主権」と「データポータビリティ」の確保だ。企業はインフラ事業者からセキュリティとIDの主権を取り戻さなくてはならず、これは自己主権型セキュリティや自己主権型IDの考えにも帰結する。

　林氏は「データを預けることを否定するわけではない。コントロールでき、望んだときに自由に移行できるデータポータビリティを確保する必要がある」と強調する。そして、自ら管理しているデータを、LLMと一緒に活用できる組織を作る必要があるのだ。

　林氏は、自己主権型セキュリティを実現できるパートナーを見極めるための質問を提案する。それは「今後、あなたたちのセキュリティビジネスのロードマップは？」というものだ。

　「真にパートナーにすべきは、日没するかもしれない自社の既存ビジネスをAIで破壊する覚悟がある人たちだけ。この先、次に日が昇るときにもその人たちと一緒に仕事ができる」

パートナーを見極めるたった一つの質問（林氏の講演資料から引用）

　LLM前提の社会は始まったばかりだが。その利便性から人間はLLMを手放すことはない。この流れは止まらず加速し、ID管理の世界は大きく変わるのは間違いない。自社のデータを正しく管理し、従来の決定論的ソフトウェアと確率論的なLLMの両方の力を生かすことが重要だ。これは、組織は大きく改善、変化させる起爆剤になる。

　「組織のコストとAIエージェントの執行権限を、今、この瞬間から変えましょう。脆弱性の攻撃は今、この瞬間にも確実に行われている。人間の承認待ちを排除し、パッチ適用、遮断トリガーをAIエージェントに委ねられる体制を目指すべきだ」

LLM前提時代に変化すること（林氏の講演資料から引用）

「ID管理が単純なツール導入につながっていた」時代の終わり

　このように本講演は、これまでIDの最前線を走り続けてきた林氏ならではの、AI時代に必要となる「セキュリティ」への認識の変革を解説するものだった。

　以前はIDに関連する規定や国際標準などの話題が多く、「ID管理が単純なツール導入につながっていた」という認識もあったが、そうした認識を超えたID管理を、自社の考えを基に実践するフェーズになった。林氏は、これを自社だけで実践できない組織に対しても、パートナー選びのヒントを提示していた。

　本稿が、講演内容をかみ砕き、「組織がIDを自ら管理する」意味を、自分なりに考えるヒントとなれば幸いだ。