文|Sleepy
誰かがClaude Opus 4.8を使ってバグを見つけたことで、ある暗号通貨の時価総額が450億ドル蒸発した。
事の発端はセキュリティ監査だった。Zcashは老舗のプライバシー・ネットワークで、ゼロ知識証明を用いて取引情報を保護している。Orchardは、そのプライバシー取引能力の中核を担う場所だ。
5月29日、セキュリティ研究者のTaylor Hornbyは、Shielded Labsに委託されたプロトコル監査の中で、Orchardに深刻な脆弱性を発見した。それは攻撃者が存在しないはずのトークンを空中で生成できる、いわゆる「無限増発」の脆弱性だった。
Zcashはその数日後に緊急アップグレードを完了し、公式は脆弱性の存在を認めたが、既に誰かがそれを利用してトークンを増発したかどうかは確認できなかった。6月5日の公式声明後、Zcashは50%暴落した。
AnthropicのOpus 4.8は5月28日にリリースされ、その翌日にこの脆弱性が発見された。
Zcashのこの事件は、恐怖を呼び起こすものであった。AIが強いのではなく、今回はあまりにも普通に強すぎたのだ。
それ以前に、セキュリティ業界が本当に恐れていたのは、AnthropicのClaude Mythos Previewだった。2026年4月、Anthropicはネットワークセキュリティ能力評価を公開し、Mythos Previewはテスト中に主流OSやブラウザのゼロデイ脆弱性を識別・利用できるとした。中には潜伏期間が十年以上の脆弱性もあり、その一つはOpenBSDのバグで、遡ると27年前のものもあった。
評価では、セキュリティの背景を持たないエンジニアでも、Mythos Previewを徹夜でリモートコード実行の脆弱性を探し出し、翌朝には完全な攻撃コードを見られると述べている。
これは、かつて少数の人だけが長期的に掌握していた能力が、誰でもいつでも呼び出せるサービスに変わりつつあることを意味する。この能力自体には立場はなく、誰が何のために使うかの違いだけだ。
Anthropicもこれを理解しているため、Project Glasswingを立ち上げ、Mythos Previewを少数の組織に防御目的で提供している。彼らはまた、このレベルのモデルにはより強固な防護と厳格な使用制約が必要だと認めている。
しかし、Zcashの件では、技術者の手にあるのは、まだロックされたMythosではなく、すでにリリースされ、利用可能で、一般の作業フローに入ったOpus 4.8だ。
AIがセキュリティ分野に入り、小さなチームに大規模な監査能力をもたらしている。これにより、メンテナはバグをより早く見つけ、攻撃者もシステムをより早く理解できる。
そして、最も危険なのは、最も強力なモデルではなく、十分に強く、安価で、かつ広く普及しているモデルだ。
モデルが普通であればあるほど、それを扱える人は増える。つまり、問題はAIが脆弱性を見つけられるかどうかではなく、誰もが見つけられるときに何が起きるかだ。
AIによって脆弱性発見が安価になった結果、二つのものが現れる。
一つは偽物で、多く見た目は立派だが実際には検証に耐えられないセキュリティレポート。もう一つは本物で、過去はシステムの奥深くに隠され、専門家が数週間、場合によっては数ヶ月かけて見つけていた脆弱性も、より早く掘り起こされ始めている。
前者はメンテナを圧倒し、後者はシステムを破壊する。しかも、それらが同時に襲来することもある。
ネットセキュリティには理想的な物語がある:ホワイトハットが脆弱性を発見し、責任を持って公開し、ベンダーが修正し、ユーザーが恩恵を受ける。
多くの場合、その物語は実現してきた。しかし、AIが「脆弱性発見」の門戸を低くしたとき、誰もが公開モデルを使ってバグを探すようになると、やってくるのは賞金を狙う者や名声を求める者の大量流入だ。彼らの多くは、ただ提示文をコピーしてモデルに見せ、見た目は立派なレポートを生成させるだけだ。レポートが本物かどうかは関係ない。
しかし、真偽に関わらず、メンテナは真剣に受け止めなければならない。
OpenSSFは2026年2月、「AIゴミレポート」に関する議論を行い、オープンソースのメンテナが低品質のAI生成脆弱性レポートにどう対処すべきかを検討した。curlは2025年中に、バグバウンティ提出のうち約5%が実際の脆弱性で、20%はAI生成の低品質コンテンツに似ていると報告している。OpenSSFは、こうしたレポートはDDoSに似ており、攻撃は人の注意力を奪うものだと述べている。
オープンソースのメンテナはカスタマーサポートではない。多くは給料もなく、安全チームもなく、シフトもない。しかし、あるプロジェクトは世界中の商用システムを支えていることもあり、コスト削減のためにオープンソースを利用している企業は、メンテナに一銭も払わないこともある。だが、何か問題が起きたときには、なぜ早く修正しなかったのかと責められる。
curlは後にバグバウンティプログラムを停止した。人手が持たなかったからだ。本来、セキュリティレポートは防御の一部だったが、ゴミのようなレポートで満たされると、その防御線は逆に守る側を消耗させる。
AIはより多くの人に脆弱性レポートの提出能力を与えたが、その真偽を判断する能力は与えなかった。モデルにレポートを生成させることは、その内容を理解できることを意味しない。検証コードを動かすことは、その影響範囲を正確に把握できることを意味しない。
さらに恐ろしいのは、私たちが実際に、AIを使って無数の脆弱性を見つけられる世界に生きていることだ。
インターネットが人に与える最大の誤解は、「動いているものは確実に信頼できる」ということだ。
スマホで支払い、地下鉄でQRコードをスキャンし、病院で予約を取り、クラウドに10年前の写真が保存されている。あなたは忘れているかもしれないが、それは忘れていない。これらは毎日動いているため、私たちは少しも問題がないと信じてしまう。人の技術への信頼は、多くの場合、信頼ではなく、疑わないことの怠慢だ。
しかし、コードは絶え間なく積み重なる古いビルのようなもので、下には古いプロトコルや古いライブラリがあり、上には臨時の要求や「とりあえず動かす」コードが積み重なり、最上層には誰も削除しようとしない伝統的なコードがある。ビルの明かりはついており、エレベーターは上下し、管理も正常だと言われている。だが、壁のひび割れは誰も知らない。
Heartbleedは典型例だ。OpenSSLの脆弱性で、攻撃者はサーバーのメモリ内の秘密鍵やパスワードを読み取ることができた。2014年に発見・修正されるまで、2年以上潜伏していた。その間、世界の約6割のアクティブなウェブサイトが影響を受けていた。2年の間に、ほとんどのインターネットは裸のままで、誰も気づかなかった。
また、sudoのBaron Sameditもある。2021年にQualysが公開したとき、sudoにはこの脆弱性が約10年前から存在していたと指摘した。sudoはUnix/Linuxの最も一般的な権限管理ツールの一つだ。
他にも似た例は山ほどある。これらをまとめて見ると、私たちが今日までインターネットを安全に使えているのは、実はかなり幸運だったと感じる。
なぜこれらの脆弱性は長い間見つからなかったのか?
答えは簡単だ。見つけるコストが高すぎるからだ。
コストは金銭だけでなく、時間と忍耐も含む。コードを読む、環境を整える、プロトコルを理解する、境界条件を再現する、検証コードを書く、影響範囲を判断する、誤検知を見極める。時には、一晩中走らせても結果が出ず、行き詰まることもある。現実のセキュリティ研究者やハッカーは、壊れた細部と互いに苦しみながら戦っている。
多くの脆弱性が長く隠れていたのは、それが神秘的だからではなく、願う人、能力のある人、そして根気よく探し続ける人が少なかったからだ。
AIは、このコスト構造を変えつつある。
かつては隅々に散らばり、手電も少なかった。今や、手電は大量に供給され始めている。
しかし、同じ手電でも、ひび割れを照らすことも、攻撃できる場所を見つけることもできる。それが「発見」を安価にした瞬間、同時に「攻撃」も安価になったのだ。今日、オープンソースのプロジェクトに低品質なレポートを提出する人が、明日同じ方法で企業のシステムをスキャンするかもしれない。今日、狙うのはバグバウンティ、明日狙うのはチェーン上の資金かもしれない。
本当に問題が起きる前は、「インターネットの安全性」を感じることはできない。
支付宝を開き、QRコードをスキャンし、支払い、入金、完了までの一連の流れは、たった数秒かもしれない。背後にどれだけのリスク管理ルール、デバイスの指紋、行動認識、闇市場対策、脆弱性対応、緊急対応があるか、あなたは考えもしない。
2026年5月、蚂蚁のセキュリティ対応センターAntSRCは、「ハンター行動」と呼ばれる脆弱性報奨金活動を行った。範囲は支付宝、花呗、借呗、蚂蚁財富、網商、数科、蚂蚁国際などのサービスをカバーし、高危険・深刻な脆弱性には最大5倍の報奨金、最高7万1500元を支払った。
大手企業も、すべての問題を内部だけで見つけることは不可能だと理解している。だからこそ、外部のホワイトハット組織を正式なプロセスに組み込む必要がある。セキュリティは長い協力の連鎖のようなもので、攻撃を発見し、検証・格付け・修正・公開を行い、正常なユーザーを誤って攻撃しないよう監視する人も必要だ。この連鎖のどこかが断たれると、全体が崩れる。
2025年10月の阿里雲のセキュリティ状況レポートによると、クラウドプラットフォームは平均して1日62億4500万回の攻撃を防ぎ、2万7500の悪意あるIPを封鎖し、その月だけで10万2800のDDoS攻撃を監視・阻止し、ピーク時には2100Gbpsに達した。
私たちの日常の「正常なインターネット利用」は、実はセキュリティエンジニアたちが膨大な異常の中から狭い道を見つけ出した結果だ。インターネットは決して静かではない。
オープンソースのメンテナは予算もシフトもなく、安全チームもいない。大手企業はこれらを買えるが、たとえ大手でも、異常を普通のユーザーが気づかないレベルまで抑えるには、長い人力の協力連鎖が必要だ。
この長く脆い協力連鎖は、AIが大規模に介入する前からすでにフル稼働していた。今、さらに多くの脆弱性やレポートを投入すれば、守る側は間に合うのか?
ISC2の2024年ネットワークセキュリティ人材レポートによると、世界で実働しているネットワークセキュリティ従事者は約550万人だが、必要とされる人材は480万人に達し、前年比19%増となっている。これは、「不足」しているのは人の数だけでなく、複雑な作業をこなせる人の不足も意味している。
この数字の意味は簡単だ。脆弱性は多いが、人手が足りない。
しかも、ただ人数が少ないだけでなく、複雑な作業をこなせる人も不足している。ISC2は、回答者の67%が自組織にネットワークセキュリティ人材の不足を感じ、58%はその不足が顕著なリスクをもたらすと答え、31%は安全チームに入門レベルの社員がおらず、15%は1〜3年の経験を持つ初級社員もいないと述べている。多くの組織は人手不足だけでなく、次世代を育てる仕組みも不足している。
これは人が採れない問題よりも厄介だ。人が採れないのは今の話だが、初級社員がいなければ、将来的にも採れなくなる。
国内の「AI時代のネットワークセキュリティ産業人材育成レポート」もデータを示している。2025年、回答者のうち、年収20万〜30万元の人が46.2%を占める。市場は中核人材に対して金を出す。なぜなら、複雑な脅威に対処し、事故時に判断できる人は非常に希少だからだ。レポートによると、56.5%の従事者がAIによって分析に重心を置くようになり、33.0%は実行から戦略策定へと移行している。
これは非常に重要なポイントだ。
私たちが今最も必要としているのは、深夜に脆弱性を理解し、その影響を判断し、上流下流と調整し、パッチを書ける人材だ。セキュリティは一瞬の閃きではなく、地味な作業の積み重ねだ。「ネットワークセキュリティ」という言葉を分解すると、誤検知、責任追及、終わらないパッチ作業、終わらない会議、そして深夜3時に呼び出される電話だけが残る。
カミュは小説『鼠疫』を書いた。
物語は北アフリカの普通の小さな町で起こる。疫病が突如発生し、城門は閉ざされ、すべての人が閉じ込められる。日常は一夜にして崩壊する。人々は最初パニックになり、その後麻痺し、やがて慣れていく。疫病が終息し、城門が再び開かれると、街には再び笑い声が戻る。
カミュは最後にこう述べている。「医師の記録によると、鼠疫菌は決して死滅せず、消え去らない。家具や衣服、布団の中に何十年も生き続けることができる。部屋や地下室、旅行鞄、ハンカチ、廃紙の中で忍耐強く待ち続ける。もしかすると、いつの日か、鼠疫は再び群れを呼び覚まし、幸福な都市に葬られ、人々は再び災厄に見舞われ、教訓を得るだろう。」
私はこの言葉が、ネットワークの脆弱性を表すのにぴったりだと思っている。
それは発見されたその日だけに生まれるのではない。ずっとコードの中に潜んでいて、誰も呼吸音に気づかなかっただけだ。だから私たちは静寂を安全と誤認してきた。
私たちは、疑うことのない日常に慣れてしまった。それらはすべてコードの上にある。コードには古い負債があり、それを返す必要はない。催促者が少ないからだ。AIが登場してから、催促者は突然増えた。
恐ろしいのは、ハッカーが増えることだけではない。システムの向こう側では、問題を処理する人の数は比例して増えていない。
これがAIセキュリティ時代の最大の苦悩だ。能力は自己拡散し、責任はそうならない。脆弱性の発見はますます安価になり、修正は以前と同じコストがかかる。破壊はスクリプトで無数に複製できるが、信頼は一つのシステムやチームがじっくり築き上げるしかない。
AIは一夜にしてインターネットを破壊しない。むしろ、電灯をつけるようなものだ。私たちは、デジタル生活は自動的に動く自然秩序ではなく、リスクを低減し続ける人々の努力の結果だと気づき始めた。
今後、本当に高価なのは、脆弱性を見つけることではなく、いくつも修正し続ける人が十分にいるかどうかだ。
クリックして律動BlockBeatsの求人情報を見る
律動BlockBeats公式コミュニティに参加しませんか:
Telegram購読グループ:https://t.me/theblockbeats
Telegramグループ:https://t.me/BlockBeats_App
Twitter公式アカウント:https://twitter.com/BlockBeatsAsia
3.57M 人気度
2.19M 人気度
55.48K 人気度
657.56M 人気度
1.4M 人気度
Claude Opus 4.8が45億ドルのバグを発見、AI時代はハッカーを大量生産中
文|Sleepy
誰かがClaude Opus 4.8を使ってバグを見つけたことで、ある暗号通貨の時価総額が450億ドル蒸発した。
事の発端はセキュリティ監査だった。Zcashは老舗のプライバシー・ネットワークで、ゼロ知識証明を用いて取引情報を保護している。Orchardは、そのプライバシー取引能力の中核を担う場所だ。
5月29日、セキュリティ研究者のTaylor Hornbyは、Shielded Labsに委託されたプロトコル監査の中で、Orchardに深刻な脆弱性を発見した。それは攻撃者が存在しないはずのトークンを空中で生成できる、いわゆる「無限増発」の脆弱性だった。
Zcashはその数日後に緊急アップグレードを完了し、公式は脆弱性の存在を認めたが、既に誰かがそれを利用してトークンを増発したかどうかは確認できなかった。6月5日の公式声明後、Zcashは50%暴落した。
AnthropicのOpus 4.8は5月28日にリリースされ、その翌日にこの脆弱性が発見された。
不是Mythos,是Opus
Zcashのこの事件は、恐怖を呼び起こすものであった。AIが強いのではなく、今回はあまりにも普通に強すぎたのだ。
それ以前に、セキュリティ業界が本当に恐れていたのは、AnthropicのClaude Mythos Previewだった。2026年4月、Anthropicはネットワークセキュリティ能力評価を公開し、Mythos Previewはテスト中に主流OSやブラウザのゼロデイ脆弱性を識別・利用できるとした。中には潜伏期間が十年以上の脆弱性もあり、その一つはOpenBSDのバグで、遡ると27年前のものもあった。
評価では、セキュリティの背景を持たないエンジニアでも、Mythos Previewを徹夜でリモートコード実行の脆弱性を探し出し、翌朝には完全な攻撃コードを見られると述べている。
これは、かつて少数の人だけが長期的に掌握していた能力が、誰でもいつでも呼び出せるサービスに変わりつつあることを意味する。この能力自体には立場はなく、誰が何のために使うかの違いだけだ。
Anthropicもこれを理解しているため、Project Glasswingを立ち上げ、Mythos Previewを少数の組織に防御目的で提供している。彼らはまた、このレベルのモデルにはより強固な防護と厳格な使用制約が必要だと認めている。
しかし、Zcashの件では、技術者の手にあるのは、まだロックされたMythosではなく、すでにリリースされ、利用可能で、一般の作業フローに入ったOpus 4.8だ。
AIがセキュリティ分野に入り、小さなチームに大規模な監査能力をもたらしている。これにより、メンテナはバグをより早く見つけ、攻撃者もシステムをより早く理解できる。
そして、最も危険なのは、最も強力なモデルではなく、十分に強く、安価で、かつ広く普及しているモデルだ。
モデルが普通であればあるほど、それを扱える人は増える。つまり、問題はAIが脆弱性を見つけられるかどうかではなく、誰もが見つけられるときに何が起きるかだ。
バグ発見が大衆運動になるとき
AIによって脆弱性発見が安価になった結果、二つのものが現れる。
一つは偽物で、多く見た目は立派だが実際には検証に耐えられないセキュリティレポート。もう一つは本物で、過去はシステムの奥深くに隠され、専門家が数週間、場合によっては数ヶ月かけて見つけていた脆弱性も、より早く掘り起こされ始めている。
前者はメンテナを圧倒し、後者はシステムを破壊する。しかも、それらが同時に襲来することもある。
ネットセキュリティには理想的な物語がある:ホワイトハットが脆弱性を発見し、責任を持って公開し、ベンダーが修正し、ユーザーが恩恵を受ける。
多くの場合、その物語は実現してきた。しかし、AIが「脆弱性発見」の門戸を低くしたとき、誰もが公開モデルを使ってバグを探すようになると、やってくるのは賞金を狙う者や名声を求める者の大量流入だ。彼らの多くは、ただ提示文をコピーしてモデルに見せ、見た目は立派なレポートを生成させるだけだ。レポートが本物かどうかは関係ない。
しかし、真偽に関わらず、メンテナは真剣に受け止めなければならない。
OpenSSFは2026年2月、「AIゴミレポート」に関する議論を行い、オープンソースのメンテナが低品質のAI生成脆弱性レポートにどう対処すべきかを検討した。curlは2025年中に、バグバウンティ提出のうち約5%が実際の脆弱性で、20%はAI生成の低品質コンテンツに似ていると報告している。OpenSSFは、こうしたレポートはDDoSに似ており、攻撃は人の注意力を奪うものだと述べている。
オープンソースのメンテナはカスタマーサポートではない。多くは給料もなく、安全チームもなく、シフトもない。しかし、あるプロジェクトは世界中の商用システムを支えていることもあり、コスト削減のためにオープンソースを利用している企業は、メンテナに一銭も払わないこともある。だが、何か問題が起きたときには、なぜ早く修正しなかったのかと責められる。
curlは後にバグバウンティプログラムを停止した。人手が持たなかったからだ。本来、セキュリティレポートは防御の一部だったが、ゴミのようなレポートで満たされると、その防御線は逆に守る側を消耗させる。
AIはより多くの人に脆弱性レポートの提出能力を与えたが、その真偽を判断する能力は与えなかった。モデルにレポートを生成させることは、その内容を理解できることを意味しない。検証コードを動かすことは、その影響範囲を正確に把握できることを意味しない。
さらに恐ろしいのは、私たちが実際に、AIを使って無数の脆弱性を見つけられる世界に生きていることだ。
私たちの過去の平和は、運が良かっただけ
インターネットが人に与える最大の誤解は、「動いているものは確実に信頼できる」ということだ。
スマホで支払い、地下鉄でQRコードをスキャンし、病院で予約を取り、クラウドに10年前の写真が保存されている。あなたは忘れているかもしれないが、それは忘れていない。これらは毎日動いているため、私たちは少しも問題がないと信じてしまう。人の技術への信頼は、多くの場合、信頼ではなく、疑わないことの怠慢だ。
しかし、コードは絶え間なく積み重なる古いビルのようなもので、下には古いプロトコルや古いライブラリがあり、上には臨時の要求や「とりあえず動かす」コードが積み重なり、最上層には誰も削除しようとしない伝統的なコードがある。ビルの明かりはついており、エレベーターは上下し、管理も正常だと言われている。だが、壁のひび割れは誰も知らない。
Heartbleedは典型例だ。OpenSSLの脆弱性で、攻撃者はサーバーのメモリ内の秘密鍵やパスワードを読み取ることができた。2014年に発見・修正されるまで、2年以上潜伏していた。その間、世界の約6割のアクティブなウェブサイトが影響を受けていた。2年の間に、ほとんどのインターネットは裸のままで、誰も気づかなかった。
また、sudoのBaron Sameditもある。2021年にQualysが公開したとき、sudoにはこの脆弱性が約10年前から存在していたと指摘した。sudoはUnix/Linuxの最も一般的な権限管理ツールの一つだ。
他にも似た例は山ほどある。これらをまとめて見ると、私たちが今日までインターネットを安全に使えているのは、実はかなり幸運だったと感じる。
なぜこれらの脆弱性は長い間見つからなかったのか?
答えは簡単だ。見つけるコストが高すぎるからだ。
コストは金銭だけでなく、時間と忍耐も含む。コードを読む、環境を整える、プロトコルを理解する、境界条件を再現する、検証コードを書く、影響範囲を判断する、誤検知を見極める。時には、一晩中走らせても結果が出ず、行き詰まることもある。現実のセキュリティ研究者やハッカーは、壊れた細部と互いに苦しみながら戦っている。
多くの脆弱性が長く隠れていたのは、それが神秘的だからではなく、願う人、能力のある人、そして根気よく探し続ける人が少なかったからだ。
AIは、このコスト構造を変えつつある。
かつては隅々に散らばり、手電も少なかった。今や、手電は大量に供給され始めている。
しかし、同じ手電でも、ひび割れを照らすことも、攻撃できる場所を見つけることもできる。それが「発見」を安価にした瞬間、同時に「攻撃」も安価になったのだ。今日、オープンソースのプロジェクトに低品質なレポートを提出する人が、明日同じ方法で企業のシステムをスキャンするかもしれない。今日、狙うのはバグバウンティ、明日狙うのはチェーン上の資金かもしれない。
正常なインターネット利用の裏側
本当に問題が起きる前は、「インターネットの安全性」を感じることはできない。
支付宝を開き、QRコードをスキャンし、支払い、入金、完了までの一連の流れは、たった数秒かもしれない。背後にどれだけのリスク管理ルール、デバイスの指紋、行動認識、闇市場対策、脆弱性対応、緊急対応があるか、あなたは考えもしない。
2026年5月、蚂蚁のセキュリティ対応センターAntSRCは、「ハンター行動」と呼ばれる脆弱性報奨金活動を行った。範囲は支付宝、花呗、借呗、蚂蚁財富、網商、数科、蚂蚁国際などのサービスをカバーし、高危険・深刻な脆弱性には最大5倍の報奨金、最高7万1500元を支払った。
大手企業も、すべての問題を内部だけで見つけることは不可能だと理解している。だからこそ、外部のホワイトハット組織を正式なプロセスに組み込む必要がある。セキュリティは長い協力の連鎖のようなもので、攻撃を発見し、検証・格付け・修正・公開を行い、正常なユーザーを誤って攻撃しないよう監視する人も必要だ。この連鎖のどこかが断たれると、全体が崩れる。
2025年10月の阿里雲のセキュリティ状況レポートによると、クラウドプラットフォームは平均して1日62億4500万回の攻撃を防ぎ、2万7500の悪意あるIPを封鎖し、その月だけで10万2800のDDoS攻撃を監視・阻止し、ピーク時には2100Gbpsに達した。
私たちの日常の「正常なインターネット利用」は、実はセキュリティエンジニアたちが膨大な異常の中から狭い道を見つけ出した結果だ。インターネットは決して静かではない。
オープンソースのメンテナは予算もシフトもなく、安全チームもいない。大手企業はこれらを買えるが、たとえ大手でも、異常を普通のユーザーが気づかないレベルまで抑えるには、長い人力の協力連鎖が必要だ。
この長く脆い協力連鎖は、AIが大規模に介入する前からすでにフル稼働していた。今、さらに多くの脆弱性やレポートを投入すれば、守る側は間に合うのか?
脆弱性を見つけたら、誰が修正するのか
ISC2の2024年ネットワークセキュリティ人材レポートによると、世界で実働しているネットワークセキュリティ従事者は約550万人だが、必要とされる人材は480万人に達し、前年比19%増となっている。これは、「不足」しているのは人の数だけでなく、複雑な作業をこなせる人の不足も意味している。
この数字の意味は簡単だ。脆弱性は多いが、人手が足りない。
しかも、ただ人数が少ないだけでなく、複雑な作業をこなせる人も不足している。ISC2は、回答者の67%が自組織にネットワークセキュリティ人材の不足を感じ、58%はその不足が顕著なリスクをもたらすと答え、31%は安全チームに入門レベルの社員がおらず、15%は1〜3年の経験を持つ初級社員もいないと述べている。多くの組織は人手不足だけでなく、次世代を育てる仕組みも不足している。
これは人が採れない問題よりも厄介だ。人が採れないのは今の話だが、初級社員がいなければ、将来的にも採れなくなる。
国内の「AI時代のネットワークセキュリティ産業人材育成レポート」もデータを示している。2025年、回答者のうち、年収20万〜30万元の人が46.2%を占める。市場は中核人材に対して金を出す。なぜなら、複雑な脅威に対処し、事故時に判断できる人は非常に希少だからだ。レポートによると、56.5%の従事者がAIによって分析に重心を置くようになり、33.0%は実行から戦略策定へと移行している。
これは非常に重要なポイントだ。
私たちが今最も必要としているのは、深夜に脆弱性を理解し、その影響を判断し、上流下流と調整し、パッチを書ける人材だ。セキュリティは一瞬の閃きではなく、地味な作業の積み重ねだ。「ネットワークセキュリティ」という言葉を分解すると、誤検知、責任追及、終わらないパッチ作業、終わらない会議、そして深夜3時に呼び出される電話だけが残る。
鼠疫菌は決して消えない
カミュは小説『鼠疫』を書いた。
物語は北アフリカの普通の小さな町で起こる。疫病が突如発生し、城門は閉ざされ、すべての人が閉じ込められる。日常は一夜にして崩壊する。人々は最初パニックになり、その後麻痺し、やがて慣れていく。疫病が終息し、城門が再び開かれると、街には再び笑い声が戻る。
カミュは最後にこう述べている。「医師の記録によると、鼠疫菌は決して死滅せず、消え去らない。家具や衣服、布団の中に何十年も生き続けることができる。部屋や地下室、旅行鞄、ハンカチ、廃紙の中で忍耐強く待ち続ける。もしかすると、いつの日か、鼠疫は再び群れを呼び覚まし、幸福な都市に葬られ、人々は再び災厄に見舞われ、教訓を得るだろう。」
私はこの言葉が、ネットワークの脆弱性を表すのにぴったりだと思っている。
それは発見されたその日だけに生まれるのではない。ずっとコードの中に潜んでいて、誰も呼吸音に気づかなかっただけだ。だから私たちは静寂を安全と誤認してきた。
私たちは、疑うことのない日常に慣れてしまった。それらはすべてコードの上にある。コードには古い負債があり、それを返す必要はない。催促者が少ないからだ。AIが登場してから、催促者は突然増えた。
恐ろしいのは、ハッカーが増えることだけではない。システムの向こう側では、問題を処理する人の数は比例して増えていない。
これがAIセキュリティ時代の最大の苦悩だ。能力は自己拡散し、責任はそうならない。脆弱性の発見はますます安価になり、修正は以前と同じコストがかかる。破壊はスクリプトで無数に複製できるが、信頼は一つのシステムやチームがじっくり築き上げるしかない。
AIは一夜にしてインターネットを破壊しない。むしろ、電灯をつけるようなものだ。私たちは、デジタル生活は自動的に動く自然秩序ではなく、リスクを低減し続ける人々の努力の結果だと気づき始めた。
今後、本当に高価なのは、脆弱性を見つけることではなく、いくつも修正し続ける人が十分にいるかどうかだ。
クリックして律動BlockBeatsの求人情報を見る
律動BlockBeats公式コミュニティに参加しませんか:
Telegram購読グループ:https://t.me/theblockbeats
Telegramグループ:https://t.me/BlockBeats_App
Twitter公式アカウント:https://twitter.com/BlockBeatsAsia