「検知してから対応」はもう遅い――WithSecureが語る“AI時代の敗北条件”：セキュリティは機械速度に

AIが攻撃を自動化し、人間の判断速度では追い付けない時代が現実になりつつある。WithSecureは年次イベントで、従来の「検知して対処する」防御モデルの限界を指摘した。これに対して同社はどのような解決策を提示するのか。

[田渕聖人，＠IT]

　フィンランドのセキュリティ企業WithSecureの日本法人であるウィズセキュアは2026年6月23日、年次イベント「SPHERE2YOU Japan 2026」を開催した。同イベントでは、AIの進化によってサイバー攻撃と防御の在り方がどのように変化しているのか、また中堅・中小企業を含む組織が今後どのような対策を取るべきかについて議論が交わされた。

AIは既に攻撃側の武器になった――WithSecureが語る「機械速度の攻防」

　オープニングセッションに登壇したWithSecureのモーガン・ジェイ氏（Chief Revenue Officer《最高収益責任者》）は、AIの進化によってサイバーセキュリティが大きな転換点を迎えているとの認識を示した。

WithSecureのモーガン・ジェイ氏（Chief Revenue Officer《最高収益責任者》）（筆者撮影）

　その象徴的な例として同氏が紹介したのが、Anthropicが開発したAIモデル「Claude Mythos」を巡る議論だ。同氏によると、このモデルは高度な脆弱（ぜいじゃく）性探索や攻撃コード生成能力を備えているとされ、一部の関係組織に限定して利用が認められているという。

　ジェイ氏はこうした事例を踏まえ、「AIによる脅威は将来の話ではなく、既に現実のものになりつつある」と指摘する。

　「サイバーセキュリティの世界では、人間がAIと戦うというよりも、機械が機械のスピードで対抗する状況が生まれつつある。従来の防御モデルだけでは対応が難しくなる可能性がある」

　これまで高度なサイバー攻撃の実行には専門知識や多くの時間が必要だった。しかし同氏は、生成AIや自動化ツールの普及によって、攻撃者が攻撃コードの作成や情報収集を効率化できるようになっていると説明した。

　その結果、防御側には攻撃を検知してから対応するだけでなく、脆弱性や設定不備を事前に把握して対策する取り組みがこれまで以上に求められるようになっているという。

狙われるのは大企業だけではない　サプライチェーンと人材不足の二重苦

　ジェイ氏は、大企業だけでなくサプライチェーンを構成する中堅・中小企業も攻撃対象になっていると指摘した。

　国内では過去にも、自動車メーカーの取引先が侵害されたことをきっかけに、生産活動へ影響が及んだ事例が知られている。攻撃者は防御が比較的手薄な組織を足掛かりとして利用し、サプライチェーン全体に影響を与えるケースがある。

　こうした状況を受けて、日本でもサプライチェーン全体のセキュリティ強化に向けた制度整備やガイドラインの議論が進められている。

　一方で、多くの企業が共通して抱える課題がセキュリティ人材不足だ。

　「特に中堅・中小企業では、必要な専門人材を自社だけで確保することが難しいケースが多い。そのためMSPやパートナー企業が果たす役割は今後さらに重要になる」

　WithSecureは、自社製品の提供だけでなく、マネージドサービスプロバイダー（MSP）やVAD（Value Added Distributor）を通じた市場展開を重視している。運用負荷を抑えながらセキュリティサービスを提供できる環境を整えることで、より多くの企業が高度なセキュリティ対策を利用できるようにする考えだ。

　また同氏は、WithSecureが欧州発のセキュリティベンダーである点にも触れ、AIやサイバーセキュリティを巡る国際競争が活発化する中で、欧州企業として培ってきたプライバシー保護や規制対応の考え方が差別化要因になるとの見方を示した。

「検知してから対応」だけでは足りない

　続いて登壇したニナ・ラークソネン氏（Chief Product Officer《最高製品責任者》）は、同社の統合セキュリティプラットフォーム「WithSecure Elements」のロードマップを紹介した。

ニナ・ラークソネン氏（Chief Product Officer《最高製品責任者》）（筆者撮影）

　同氏は、攻撃の自動化が進む中で、セキュリティ運用においては「タイミング」がこれまで以上に重要になっていると説明する。

　「インシデントを検知することは重要だが、それだけでは十分ではない。リスクを事前に把握し、優先順位を付けて対処することが必要になる」

　WithSecure Elementsは、EPPやEDRといった従来型の防御機能に加え、Exposure Management（エクスポージャー管理）機能を統合している。これにより、組織内に存在する脆弱性や設定不備、攻撃経路となり得るリスクを可視化し、優先順位付けを支援する。

　また、AIを活用してリスクの重要度を分析し、運用担当者が対応すべき項目を絞り込む機能も強化しているという。

　ラークソネン氏は、人材不足やアラート過多に悩む企業にとって、こうした支援機能の重要性が高まっていると説明した。

　さらに同社はMDR（Managed Detection and Response）サービスの提供拡大も進めている。日本では24時間365日の日本語対応を含むMDRサービスを提供しており、今後は最低契約シート数を現在の25から10へ、さらに将来的には1シートまで引き下げる計画を明らかにした。

　これにより、小規模企業でもMDRサービスを利用しやすくなるとしている。

AI攻撃は数分で侵入する　ライブデモで示された“事前対策の差”

　イベントでは、ウィズセキュアの神田貴雅氏（プロダクトマーケティングマネージャー）と鈴置純也氏（シニアセールスエンジニア）が、AIを利用した攻撃シナリオを題材にライブデモを実施した。

　デモでは、生成AIを利用して攻撃コードの作成や攻撃プロセスを効率化する攻撃者を想定。ソーシャルエンジニアリングによる誘導と既知の脆弱性、設定不備を組み合わせることで、端末が侵害される流れが再現された。

AIを利用した攻撃シナリオのライブデモ（筆者撮影）

　一方で、事前にリスクを特定し、推奨される緩和策を適用した環境では、同様の攻撃が成立しにくくなることも示された。

　神田氏は、重要なのは攻撃を完全になくすことではなく、侵害された場合でも被害拡大を抑制できる状態を事前に作っておくことだと説明する。

　鈴置氏は「セキュリティ対策は侵害を100％防ぐことだけが目的ではない。攻撃を受けた際にも影響範囲を限定し、対応するための時間を確保することが重要だ」と述べ、事前対策と継続的なリスク管理の必要性を強調した。