見えなければ、狙えない

攻撃のコストが、静かに下がった

2026年、ひとつの出来事が、セキュリティの専門家たちを静かにざわつかせました。あるフロンティアAIが、人間の研究者が何十年も見逃してきたソフトウェアの欠陥を、自ら掘り当てたのです。

たとえば、あるOSに27年ものあいだ眠っていた欠陥。あるいは、動画処理の基盤となるソフトウェアに16年間も潜んでいた穴。これらは、従来の自動検査ツールが幾度スキャンしても見過ごされてきたものでした。それらを、このAIは人間の手を借りずに見つけ出しました。歴戦のエンジニアたちが、長い年月をかけても気づけなかったものをです。

この事実は、「すごいAIが現れた」という驚きの話として消費されがちです。けれど、私が注目しているのは、もう少し奥にある構造の変化です。

これは——攻撃する側のコストが、構造的に下がったという話なのです。

これまで、ソフトウェアの未知の欠陥を見つけ出すには、高度な技術を持つ専門家が、膨大な時間を注ぎ込む必要がありました。だからこそ、攻撃には自ずと限界があった。希少な才能と時間という「コスト」が、いわば天然の防壁として働いていたのです。けれどAIは、その壁を溶かし始めました。穴を探す作業が、人間の目では追いきれない速度と網羅性でこなされるようになったとき、攻撃側が支払うコストは、静かに、しかし決定的に下がります。

守る側にとって、これが何を意味するのか。そこから考えてみたいと思います。

「追いかける守り」は、もう間に合わない

これまでのセキュリティの基本は、いわば「追いかける守り」でした。

どこかで欠陥が見つかる。それが公表される。各社が慌てて修正のための更新を当てる——この繰り返しです。穴が明らかになってから塞ぐまでの時間差は、つねに存在していました。けれど、その時間差のあいだに攻撃が殺到することは、それほど多くはなかった。なぜなら、攻撃する側もまた、その穴を見つけ、悪用する手段を組み立てるのに時間がかかったからです。

ところが、AIが未公表の穴を先回りして大量に掘り当てる時代では、この前提が崩れます。公になるのを待ってから動いていたのでは、とても間に合わない。実際、欠陥を見つける速度が、それを修正していく人間側の速度を、すでに追い越し始めているという指摘もあります。

ここで、守りの前提そのものが移り変わります。

「既知の穴を、見つけ次第ふさいでいく」——この発想だけでは、もう守りきれない。これからは、「自分たちのどこかに、まだ知らない穴がある」という前提に立ち、それでも被害が広がらないように設計しておくこと。守りの重心が、穴を塞ぐ作業から、穴があっても壊れない構造づくりへと移っていくのです。

これは特定の企業の話ではありません。ネット社会全体が、同じ構造の変化に直面しています。

「全部を守る」より、「守る面を小さくする」

では、どうすればいいのか。

ここで議論は、しばしば「ならば、もっと賢いAIを導入して、こちらも全力で守ればいい」という方向に向かいます。攻撃がAIで高度化するなら、防御もAIで高度化する。理屈としては自然です。

けれど、私はその前に、もっと根本的な問いを立てたいのです。

——そもそも、守るべき面は、それほど大きい必要があるのでしょうか。

攻撃する側から「見える」領域、外部から触れられる領域のことを、専門的には攻撃面と呼びます。この攻撃面が小さければ、攻撃するAIがどれほど賢くても、そもそも探せる対象が限られます。賢さは、向ける先があって初めて意味を持つ。狙う対象が小さいほど、その賢さは持てあまされていくのです。

少し、サッカーの話をさせてください。私は長くこの競技に親しんできました。

守備というと、向かってくる敵プレイヤーやボールを、一人ひとりが身体を張って止める姿を思い浮かべる方が多いかもしれません。けれど、本当に守備のうまいチームは、少し違うことをしています。彼らは、相手にとって決定的となるパスのコースやドリブルの経路を、発生させないようなポジショニングをしているのです。攻撃を受けてから止めるのではなく、攻撃が成立する道筋を事前に断っておく。優れた守備とは、個人の頑張りである以上に、組織の設計なのです。

攻撃面を小さくするとは、まさにこれと同じ発想です。攻め込まれてから対応するのではなく、攻め込むための道筋を先に断っておく。守りの巧拙は、どれだけ激しく戦うかではなく、どれだけ賢く面を設計するかで決まっていくのです。

「閉じる」は、退避ではなく設計である

この「守る面を小さくする」という発想を突き詰めていくと、ひとつの言葉に行き着きます。閉域——外部のネットワークから切り離された、閉じた領域に、大切なものを寄せておくという考え方です。

「閉域に寄せる」と言うと、しばしば誤解されます。クラウドを否定するのか、時代に逆行するのか、と。けれど、それはまったくの誤解です。

ここで、先ほどのAIの話に戻ります。人間が何十年も見逃した穴を掘り当てるほど賢いAI。その圧倒的な力には、しかし、ひとつの前提があります。攻撃する相手に、たどり着けること。ある国家機関の独立した評価が、この点について冷静な事実を伝えています——その種の高度なAIが驚異的な力を発揮するのは、あくまで守りの手薄なシステムに対してであり、防御がきちんと設計され、運用されている環境の前では、攻撃を成立させることは格段に難しくなる、と。

賢さは、届かない相手には意味をなさない。

だとすれば、「閉じる」という選択は、まったく違って見えてきます。それは「怖いから逃げる」という後ろ向きの退避ではありません。AIがもたらす力学を正しく理解したうえで、攻撃する側から見える面を、意図的に最小化する——きわめて能動的な、設計の判断なのです。

もうひとつ、たとえを。城の守りを考えるとき、すべての城壁に等しく兵を貼りつけるのは、賢いやり方ではありません。本当に守りの巧みな城は、そもそも敵が入ってこられる門の数を絞り込みます。守りの本質は、守る面積の大きさではなく、設計の思想にあるのです。

ただし、ここで一点だけ、慎重に申し添えておきたいことがあります。「閉じれば、それで安全」という単純な話ではない、ということです。閉じた領域のなかにも、もし侵入を許せば被害は広がります。だからこそ、攻撃面を小さくする設計と、内側で異常をいち早く捉える能動的な備えとは、つねに両輪で考える必要があります。「閉じること」は守りの完成ではなく、賢い守りの出発点なのです。

現場は、すでに動き始めている

ここまでは、考え方の話をしてきました。けれど、これは机上の理屈にとどまる話ではありません。

2026年に入り、現実の現場が、同じ方向へ静かに動き始めています。

国の金融行政が、AIがもたらすこの新しい脅威に正面から向き合い、官民が連携して対策を講じる枠組みを立ち上げました。企業の現場でも、ゼロトラスト——「内側だからといって無条件には信頼しない」という考え方を、ただ掲げる段階から、設計思想として実際の仕組みに落とし込む段階へと、重心が移り始めています。

かつて「クラウドにすべてを寄せる」ことが進歩の象徴とされた時代から、いまは少し揺り戻しが起きています。何でも外に開いて便利に使う方向から、守るべき中核は意図的に閉じた領域に寄せ、そのうえで内側にも備えを置く——そうしたハイブリッドな設計が、現実的な解として広がりつつあるのです。

これは、恐怖に駆られた退却ではありません。AI時代の力学を理解した企業や組織が、合理的な判断として選び取り始めている、前向きな再設計です。

希望としてのAIと、それを支える設計

ここまで、攻撃する側の話を多くしてきました。けれど私は、AIの進化そのものを、脅威としてだけ語るつもりはありません。

むしろ逆です。人間が何十年も見つけられなかった欠陥を掘り当てる力は、裏を返せば、私たちのソフトウェアをこれまでになく堅牢にしていく力でもあります。AIの進化は、社会にとって紛れもない希望です。私は、その希望を信じています。

ただ、希望を安心して使いこなすためには、土台が要ります。その土台こそが、今日お話ししてきた「攻撃する面を、できるだけ小さくしておく」という、地味だけれど本質的な設計思想です。派手さはありません。けれど、この一見地味な思想があるかないかで、これからの時代の守りの巧拙は、大きく分かれていくはずです。

私たちは、この設計思想を出発点に、AIとともにある時代の守りのかたちを考え続けています。

賢いAIから、どう逃げるか。そういう問いの立て方を、私はしません。賢いAIがいる時代に、どう賢く構えるか。問うべきは、そちらなのだと思います。

見えなければ、狙えない。守りの作法は、いま静かに、その原則へと回帰しつつあると思うのです。