「Mythosがないと守れない」論の、ズレた立て方
2026年春、AIセキュリティ界隈でひとつの悲観論が広がった。Anthropicの最新モデル「Mythos」へのアクセスを持てない企業は、もう守れない——という話だ。Mythosは当初、米大企業12社に代表される一部パートナー組織にしか開放されていなかった。アクセス格差=防御力格差、という図式が自然に語られた。
だが、LayerXグループのAgenticSec CEOである中谷翔氏の言い方は違う。「Mythosにアクセスがあることだけが本質ではない」。
この一言の意味を丁寧に読むと、議論の立て方そのものへの異議申し立てになっている。「どのモデルを持っているか」より「モデルをどう使いこなすか」——それが「ハーネス」という概念に凝縮されている。
攻撃速度の変化:数字で整理する
まず事実の地面を固めておく。
米VulnCheckの2025年集計によれば、実際に悪用された脆弱性のうち約29%が、CVE(脆弱性情報)の公開日か、それ以前に悪用されていた。つまり「パッチが出たら素早く当てる」という対応では、そもそも間に合わないケースが約3割ある。
一方、企業が修復を終えるまでの中央値は55〜75日。攻撃はゼロ日目に始まり、修復は平均2カ月後。この空白が、攻撃者にとっての「ボーナスタイム」になると中谷氏は表現する。
さらに時系列で見ると、脆弱性が公開されてから悪用されるまでの平均時間は、2018年に756日だったものが2025年には20時間未満まで縮んだ。7年間で約900分の1だ。月次のパッチ適用や年1回のペネトレーションテストが「人間の攻撃速度」を前提に設計されていたことは明白で、その前提はもう崩れている。
AIが変えたのは、「脆弱性を見つける精度」だけではない。中谷氏が強調するのはその先だ。「脆弱性を見つけることと攻撃を作ることには、雲泥の差がある」。2024年ごろからLLMで脆弱性探索は始まっていたが、当時はハルシネーションが多く的外れな指摘が大半だった。2025年には精度が実用レベルに達したが、それでも攻撃コードの作成は人間の専門家が担っていた。
2026年4月のMythos Previewで変わったのは、「管理者権限を取れ」というゴールを与えるだけで、AIが脆弱性探索・攻撃コード開発・実証試行を自律的に完遂するようになったこと。人間が手を動かす場面がなくなった。これを「攻撃の自律完遂」と中谷氏は呼ぶ。
「ハーネス」とは何か——モデルの外側にある戦場
中谷氏の整理では、AIエージェントは「モデル」と「ハーネス」の組み合わせだ。モデルはテキストを入力として受け取り、考えてテキストを返すLLMの本体部分。ハーネスはそれを取り囲む周辺システム一式を指す。
具体的には、モデルの出力を決まった形式に縛る「スキーマ制約」、一段ずつ確かめて進ませる「段階的検証ゲート」、出力を別のモデルに投げ直すクロスチェック、大量の自動入力で異常を炙り出すファジングなどが含まれる。モデルが「ここが穴かもしれない」と返しても、ハーネスはそれをうのみにしない。実際にテストを当てて攻撃が通るかを確かめ、外れていれば別の角度で投げ直す。
なぜハーネスがそこまで重要なのか。数字がある。セキュリティ研究の複数組織(AISLE・Xint・Ricerca)が独立に調査したところ、脆弱性の発見率は96%に達しても、攻撃を実際に成立させられたのは約半分に落ちた。発見と攻撃の間に大きな段差がある。ハーネスはその段差を埋める機能を果たす。
Mozillaの事例も引かれている。初期のGPT-4などを試したが誤検知が多く、開発者から「不要なスロップ(質の低い報告)」として扱われた。その後、ファイル単位でAIエージェントを並列に走らせ、自動テスト基盤と組み合わせて発見結果を検証する設計に切り替え、多数のバグを修正につなげた。
Mythosの評価値自体も、Anthropic内製のハーネスを含んだ数字だ。2026年5月公開のベンチマーク「ExploitBench」では、攻撃コードを組み立てられた割合がMythos Previewで51%、GPT-5.5で5%と大差がついた。この差はモデルの能力差だけでなく、ハーネスの品質差も含んでいる可能性が高い。
ここからは見方だが——これは「アクセス格差」の話ではなく「運用力」の話だ
アクセス格差の問題は、近く解消される見通しがある。Anthropicは2026年5月、Mythos級モデルを近日中に全顧客へ開放すると発表した。能力の一部を抑えたセーフガード付きとはいえ、特定モデルを独占することによる優位は薄れていく。
とすると、「Mythosを持っている/持っていない」という議論は、そもそも短命だった。残るのは運用基盤の差だ、と中谷氏は言う。ここに、この記事全体の核心がある。
構造として見ると、これはセキュリティ固有の話ではない。「最高スペックのモデルを持つこと」と「そのモデルを組織の実務に活かすこと」の間には、常に大きな溝がある。その溝を埋めるのが、プロセス設計・検証フロー・自動化の仕組み——要するにハーネス的な基盤だ。AIを業務に入れる文脈でも、まったく同じ構図が繰り返されている。
「最新モデルへの乗り換え」を競うよりも、「モデルの改善を自動的に取り込めるハーネスを持てるかどうか」の方が、長期的な競争力になる。中谷氏はこれを繰り返し強調する。
もう一点、「ゼロデイ攻撃は食らうものと考えるべき」という発想の転換も見逃せない。まだ世に知られておらず修正方法も存在しない脆弱性を突くゼロデイは、24時間の自動検査を敷いても事前に防ぎきれない。この前提を受け入れると、守りの設計が変わる。「防ぐ」から「検知・封じ込め・復旧・露出削減」の組み合わせへ。防御の思想そのものの転換だ。
実務として何をすべきか——中谷氏の4つの打ち手を読む
中谷氏が示す実務的な方向は4つある。
1. セキュリティを経営課題へ引き上げる
情報システム部の課題として閉じている間は、意思決定と予算配分のスピードが攻撃速度に追いつかない。これは「経営がコミットせよ」という一般論ではなく、攻撃の自動化によって意思決定サイクルが短くなった事実への対応だ。
2. 検知から修正までを自動化し、頻度を上げる
月次のパッチ適用では間に合わない。攻撃が20時間以内に悪用を始めるなら、人手のレビューを挟む余地がどこまであるかを問い直す必要がある。「AIが書いたコードは人間がレビューすべき」という開発現場の文化と、「パッチ反映の速さが防御力に直結する」というセキュリティの論理は、ここで衝突する。
3. 内製か製品導入かを事情に応じて選ぶ
一律の答えはない。ただし、選択肢を選ぶ基準は明確だ。「モデルの進化に追従できるか」。更新のたびに手作業が発生する設計では、攻撃速度に追いつけない。
4. モデルの進化に追従できる体制を保つ
これが最も難しく、最も本質的だ。半年ごとにモデルの能力が変わる環境で、ハーネスをそのたびに手直しするのか、自動的に取り込める設計にするのか。後者を目指すことが、中谷氏の言う「ハーネス」の真価だ。
今後の論点として気になるのは、「攻撃のキャンペーン化」という中谷氏の表現だ。偵察から侵入・横展開・データ窃取までを1つのAIが多段階でこなす持続的攻撃が次のフェーズだとすれば、防御も「点の検知」ではなく「継続的な監視と自動修復のループ」に変わらざるを得ない。年1回の検査から常時稼働の防御へ、という転換は、コスト・人材・組織設計のすべてに影響する。
まとめ:次に同種のニュースを見るときの軸
「AIが〇〇のセキュリティタスクで人間を超えた」という記事が今後も増えるはずだ。そのとき見るべき軸は、モデルの性能スコアよりも「ハーネスを含んだ数字か」「実際に攻撃を成立させられたか」「発見率と攻撃成立率の両方が示されているか」だ。
ベンチマーク数値の読み方として言えば、ExploitBenchのような指標が「脆弱性発見率」だけを測っているのか、「攻撃コード生成まで含む」のかで、実用的な意味はまるで変わる。発見96%・攻撃成立50%という数字は、その差の大きさを端的に示している。
アクセス格差は埋まる。残るのは基盤の差だ——この構図は、セキュリティに限らず、AI活用全般に当てはまる。モデルが民主化されるほど、「どう使いこなすか」の設計力が差を生む。中谷氏の話は、セキュリティの文脈でその構図を鮮明に示した事例として読める。
参考元: 「Mythosがないと守れない」は本当か——AIセキュリティの勝負を分ける「ハーネス」とは – ITmedia AI+