会員限定
2026/05/18 掲載

AI「ミトス」で増す攻撃力…サイバー防衛、米国はなぜ「全部守るのは無理」と認めたか

連載：野口悠紀雄のデジタルイノベーションの本質

ありがとうございます！
いいね！した記事一覧をみる

会員（無料）になると、いいね！でマイページに保存できます。

AI・生成AI

|

タグをもっとみる

サイバー防衛の常識が崩れ始めた。米NISTは、世界中の脆弱性を評価する従来運用を転換し、重大案件だけに集中する方針へ移行した。脆弱性報告数は5年で263％増加。防御側は「全部を見る」ことすら不可能になったのである。脆弱性発見の速度が人間の分析能力を超えてしまった今、「国家支援を受けた」攻撃集団がAIを手にしたとき一体何が起きるのか。

執筆：野口悠紀雄

野口悠紀雄

1940年、東京に生まれる。 1963年、東京大学工学部卒業。 1964年、大蔵省入省。 1972年、エール大学Ph.D.（経済学博士号）を取得。一橋大学教授、東京大学教授（先端経済工学研究センター長）、スタンフォード大学客員教授、早稲田大学大学院ファイナンス研究科教授などを歴任。一橋大学名誉教授。
noteアカウント：https://note.com/yukionoguchi
Xアカウント：@yukionoguchi10
野口ホームページ：https://www.noguchi.co.jp/

★本連載が書籍化されました★
『どうすれば日本経済は復活できるのか』　著者：野口悠紀雄
購入サイトはこちら：https://www.sbcr.jp/product/4815610104/

サイバー防衛はいっそう不利な状況になりつつある

（画像：本文をもとにAI（Gemini/Nano Banana）を使用して生成）

防御が追いつかない…NISTの重大決断

【関連記事】【前提崩壊】採用面接の“裏”を突くAI──“なりすまし面接”6500件超の衝撃

　NIST（米国立標準技術研究所）は、NVD（国家脆弱性データベース）に登録された世界の主要ソフトウェアの脆弱性について、深刻度スコアや影響製品などの情報を付与し、企業や政府機関がリスクを容易に判断できるように分析・整理する機関だ。NISTとNVDの役割は、「脆弱性を直すこと」ではなく、「脆弱性情報を評価・整理し、リスク判断に使える形にすること」である。

　NISTは、2026年4月15日の発表で、NVDに登録されるソフトウェア脆弱性について、従来のようなすべてのCVEを詳しく分析する全件分析を改めた。緊急性や社会的影響の大きいもの、重要ソフトウェアに関わる脆弱性と、悪用が確認された脆弱性などを優先する運用に転換した。

　このCVEとは、「Common Vulnerabilities and Exposures」の略。日本語では、「共通脆弱性識別子」、または「共通脆弱性情報」と説明される。ソフトウェアやシステムの脆弱性に付けられる共通の管理番号で、この番号を用いることによって、ベンダー企業、ソフトウェア利用企業、政府機関が、同じ脆弱性を同じ名前で指し示すことができる。

　NISTが上記の方針転換を行ったのは、2020年から2025年にかけて、CVE提出数が263％に増えた背景がある。

　脆弱性が増えすぎて、人間の対応力を超えてしまったために、すべてを処理しきれず、脆弱性の高いものを優先して対応することになってしまったのだ。こうした事態がいずれ来ることは予想されていたとはいえ、あらためて、それが現実のものになった深刻さを再認識せざるをえない。

　防御側が不具合を発見したとしても、それに対応する時間が少なく、攻撃側が有利であるという事情もある。だから、当然と言えば当然のことなのだが、しかし、「こんなことがあって良いのか？」という率直な感想を持たざるを得ない。今後、サイバー攻撃が生じる確率が劇的に上昇してもおかしくない。

編集部おすすめ動画