Anthropic社の競合であるOpenAIもGPT-5.5を提供しておりMythosと同等性能を持つとしている。また、サイバー領域に特化したGPT-5.5-Cyberを限定プレビュー中である。
GPT-5.5もAISIの評価を受けている。シミュレーション環境で攻撃能力を測定できる「The Last Ones」を用いた評価で、GPT-5.5は10回中2回、人間の介入なしに最後まで完遂した。これはClaude Mythos Preview(10回中3回)に次ぐ2例目の達成である。
また当然のことながら、アメリカに次ぐAI開発能力を持つ中国も、半年から1年程でMythosやGPT-5.5と同等性能のAIを開発するであろうと予測されている。
つまり、いずれ訪れるMythosの一般公開はきっかけにすぎず、Mythosが公開された後の“After Mythos”の時代には、Mythos級のAIが当たり前のものとなり、サイバーセキュリティの定石が刷新される可能性があるのである。
今すぐ取り組むべき3つのこと
After Mythosを見据えてCXOが今年中に着手すべきアクションを、優先順位の高い順に3つ挙げる。
1. AIによる脆弱性発見と防御運用のパイロットを始める
GPT-5.5やClaude Opus 4.7でも、社内コードベースや依存OSSの脆弱性発見、SOCのアラートトリアージ、パッチ作成支援は十分に実用域にある。Mythos級モデルが一般公開されてからでは遅い。
今四半期中に、社内に小規模なパイロットチームを発足させ、運用知見をため始めること。「触っていない」状態でMythosを迎えるのと、運用経験を半年積んで迎えるのとでは、組織能力に決定的な差がつく。
2. 脆弱性対応プロセスの「実施期間」を再設定する
自社の脆弱性対応の対応完了期間や脆弱性監査の実施サイクルが1年や四半期に1回であるならば修正する必要があるだろう。最低でも月に1度、重要性の高いシステムはより短い頻度での実施を検討する必要がある。もちろん簡単でないことは重々承知しているが、防御側もAIを活用し、これまでとは異なる抜本的な改革が必要になるだろう。
3. 「AI時代のサイバー有事」を想定したシナリオプランニングを取締役会レベルで実施する
最低でも以下の3つのシナリオを想定し、初動24時間・72時間の意思決定と外部コミュニケーション(顧客、規制当局、メディア、株主)を机上演習する。
(a)主要導入製品の致命的ゼロデイ攻撃が土曜夜に公開された場合
(b)主要導入製品にAI生成エクスプロイトが一斉に出回った場合
(c)攻撃者が自社の重要システムをAI支援攻撃で狙った場合
これは情シス単独で実施する演習ではなく、経営の継続性に直結するボードレベルのテーマと捉えるべきである。
サイバーセキュリティは「攻撃手法は進化するが、その形は目に見えない」ため、防御側は変化に気づきにくい。そのため、多くの組織が「サイバーセキュリティは重要だ」と口にはするものの、対策は後手に回りがちであった。
Mythosがもたらしうる好機の1つは、経営層がサイバーセキュリティの脅威を直視し、経営課題として対応を進めることだ。それが実現すれば、日本企業全体のセキュリティ水準は一段引き上げられる。
Mythosにただ怯える、または無視を決め込むのではなく、これを経営層がセキュリティを経営課題として捉え直す好機にできるか——それが日本企業に問われている。
