神話とゼロ神話：銀行が脆弱性バックログの解消を追い求めるのをやめるべき理由

銀行のテクノロジーは、広大で常に人が利用している建物のように構築された。つまり、拡張性、稼働時間、そして継続的な利用を前提として設計されているのだ。それは決して安全ではなかった。  

ドアには鍵がかかり、廊下には監視カメラが設置され、特定の部屋に入るにはバッジと付き添いが必要だった。ドアが施錠されていない状態で見つかった場合は、それを施錠するための決まった手順があった。

そのプロセスは、多くの場合、リスクに基づいたものだった。パッチが利用できない場合は、修復作業が追いつくまでの間、代替的な対策を適用するための体系的なアプローチが取られた。  

それは銀行業務における通常の規律だ。そして、発見のペースが人間的だった時代には、それはうまく機能した。

Anthropic社の最先端AIモデルであるClaude Mythosは、この状況を変えました。脆弱性を、既存の修復プロセスが処理できる速度よりも速く明らかにし、防御側がそれを封じる前に、攻撃者に攻撃の機会を与えてしまったのです。

昔からの約束：弱点を見つけ、弱点を克服する

過去10年間の大半において、脆弱性の未処理案件は、規制当局でさえも受け入れるようになった標準的なパッチ適用プロセス、変更管理、および検証サイクルを通じて管理されてきた。

規制当局は、サイバー衛生、規律あるテスト、厳格に管理されたパッチ管理に関する期待を示すことで、そのモデルを強化した。例えば、ニューヨーク州金融サービス局（NYDFS）は、脆弱性対策と変更管理をサイバーセキュリティ検査に直接組み込んでいる。

しかし、コアアップグレード、週末のパッチ適用期間、あるいは脆弱なレガシー依存関係を経験したことがある人なら誰でも知っているように、すぐに解決できる問題もあれば、より多くの力と労力を必要とする問題もある。  

準備なしに閉鎖すると、給与計算、決済処理、引受業務、顧客アクセスに支障をきたす可能性があります。それこそが、レジリエンス・プログラムの目的である。

組織は常に、リスクと脆弱性に関する未処理案件を抱えて業務を行ってきた。それに対処するために、明確に定義されたリスク管理プロセスが用いられた。Mythosはバックログを無視できないものにし、従来のプロセスを時代遅れにする

新たな現実：発見は機械のスピードで進む

管理されたテストにおいて、Anthropic社のMythos Previewは、主要なオペレーティングシステムとブラウザ全体にわたって、これまで知られていなかった数千もの脆弱性を自律的に発見した。多くは数十年間、人知れず存在していた。  

従来は専門チームと長期間にわたる監査サイクルを必要としていた作業が、モデル駆動型の単一の処理に集約された。

JPモルガン・チェースの決算説明会で、ジェイミー・ダイモンCEOはAIを諸刃の剣だと表現した。彼は、Mythosは修正すべき脆弱性がまだまだたくさんあることを示していると述べた。

彼の言う通りだ。しかし、より重要な問題は、期限内に修理されなかったものはどうなるかということだ。

Verizonの2026年データ侵害調査報告書によると、攻撃者は通常、新たに明らかになった脆弱性を悪用する大規模な攻撃を約5日以内に開始する。規制対象分野における完全な修復には、通常、数週間余計にかかる。  

発見から修正パッチの適用までの間には、常にギャップが存在してきた。ミュートスは、その隙間の両側を同時に可視化しただけだ。

銀行には、常に扉があった。今や、建物の改修よりも速いスピードで、それらはタグ付けされ、地図上に示され、悪用されている。

質問が変わった

長年にわたり、脆弱性に関する議論は競争として捉えられてきた。つまり、「どれだけ早くパッチを適用できるか」という競争だ。

今、適切な問いを投げかける組織は、より運用的な観点から次のような問いを投げかけている。もし今夜中にこの問題を修正しなければ、攻撃者はネットワークを通じてどの程度まで拡散できるのか？

それは、完璧な予防策に基づいたセキュリティモデルと、限定された結果に基づいたセキュリティモデルとの違いである。そしてそれは、規制当局が期待事項をどのように表現するかという点にも表れている。

例えば、 OSFI B-13は、現実世界での封じ込めという同じ本能を反映した、脅威主導型の試験を重視している。  

イングランド銀行は、サイバーリスクは防御策と並行して進化するものであり、単に消滅するものではないと明言している。レジリエンスとは、構築し、検証し、更新していくものでなければならない。

規制上の脅威に関する議論は、いずれも同じ点に収束しつつある。ほとんどの脆弱性対策プログラムは、現状に追いついていない。

なぜ「極端だがもっともらしい」が欠けている要素なのか

現在、Mythosへのアクセスは制限されているが、この状態は長くは続かないだろう。  

最先端AIは追いつき、この機能をコモディティ化するだろう。そうなると、非対称性は永久的に反転する。攻撃者は、いかなるパッチ適用サイクルよりも速く脆弱性を特定し、それを悪用できるようになるだろう。

つまり、組織はもはや存在しないゴールラインを基準にセキュリティ体制を構築するのをやめる必要があるということだ。

銀行が現在想定しているシナリオは、AIを活用した攻撃者が、決済システム、決済エンジン、顧客対応チャネル、共有インフラなど、密接に相互接続された銀行環境を、検知ツールが異常を検知する前に侵入するというものだ。このため、侵害封じ込めが唯一実行可能なセキュリティ戦略となる。

銀行は、自らが認めている以上に多くの強みを持っている。

• DORAストレステスト
• CBESTシミュレーション
• シナリオプランニング

これらの枠組みが存在するのは、規制当局が最終的な侵害が脅威モデルの一部であることを理解しているからに他ならない。彼らが尋ねているのは、あなたの環境が侵害に耐えられるように設計されているかどうかということです。

実務上の転換点：パッチ速度から爆発半径へ

脆弱性管理には、第二の軸が必要だ。

最初の軸は、既にお持ちのもので、深刻度、悪用可能性、資産の重要度などが含まれます。2つ目の軸は、ほとんどのプログラムに欠けているものです。それは、横方向への動きの可能性です。  

もしこの脆弱性が今夜悪用された場合、攻撃者はここからどこまで到達できるのでしょうか？一歩先にあるものは何だろう？二？

すべての脆弱性が同じように発生する可能性はなく、すべての脆弱性が同じように影響を及ぼす範囲も同じではない。基幹決済システムのインターネット接続認証レイヤーにおける欠陥は、3年間運用されていない旧式のレポートシステムにおける欠陥とは根本的に異なる。  

リスクは脆弱性そのものではなく、その経路にある。

これを正しく行っている組織は、必ずしもパッチ適用を速くしているわけではなく、鍵のかかっていない扉が重要な場所に繋がっていない廊下へと開くように設計しているのだ。

これは銀行のCISOにとって今何を意味するのか

神話は鏡である。それは、すでに存在していた景観を映し出しており、そこには何千もの脆弱性があり、その多くは古くから存在し、静かに容認されてきたものだ。そして、あなたのプログラムはそのような現実に対応するように設計されているのか、と問いかけているのです。

対応策としては、2つの点を徹底的に明確にすることだ。悪用された場合にシステム全体に影響を及ぼす可能性のある脆弱性と、パッチ適用状況に関わらず、その影響範囲を制限するアーキテクチャ上の制御策を把握しておく必要があります。

それが今取り組むべき課題だ。つまり、設計による封じ込めだ。

Mythosが金融業界にどのような影響を与えるかについて、もっと詳しく知りたいですか？読んでください ファクトシート.