— AI時代における構造的防御の必然性 —
「100の門を守るより、1つの心臓を守れ」
2026年2月10日
1. はじめに — サイバーセキュリティの転換点
2025年、サイバーセキュリティは歴史的な転換点を迎えました。
事例①:AIが攻撃の80〜90%を自律実行
2025年9月頃に観測された活動を受け、同年11月、Anthropic社は中国国家支援グループによる大規模なAI駆動型スパイ活動を検出・阻止したと発表しました。この攻撃では、AIが偵察、脆弱性発見、エクスプロイト開発、認証情報の収集、データ窃取までを自律的に実行し、人間の介入は戦略的判断のみに限定されていました。Anthropicはこれを「人間の実質的な介入なしに実行された大規模サイバー攻撃の、初めて文書化された事例」と報告しています。
出典:Anthropic, “Disrupting the first reported AI-orchestrated cyber espionage campaign” (November 2025)
事例②:AIが人間のバグハンターを超えた
2025年、バグ報奨金プラットフォームHackerOneのリーダーボードで、自律型脆弱性報告エージェント「XBOW」が上位を獲得しました。AIが人間のセキュリティ研究者を上回る速度で脆弱性を発見できることが実証されたのです。これは防御側にとっても有用ですが、同時に攻撃側も同等の能力を持ちうることを意味します。ゼロデイ脆弱性の発見と悪用が、かつてないスピードで行われる時代に入りました。
出典:Cybersecurity Dive, “Autonomous attacks ushered cybercrime into AI era in 2025″(Malwarebytes 2026 State of MalwareReportを引用)
私たちは今、「AIが攻撃を自動化し、人間を超える速度で脆弱性を発見する時代」に突入しています。
しかし、ここで立ち止まって考えたいのです。攻撃手法がどれだけ進化しても、AIがどれだけ賢くなっても、あらゆるマルウェアは最終的にCPUとメモリを使わなければ動作できないという物理的事実は変わりません。この不変の真理こそが、セキュリティ戦略の根本的な見直しを迫っています。
本稿では、AI時代におけるサイバーセキュリティの構造的課題を分析し、なぜ「ランタイムセキュリティ」が不可欠であるのかを提言します。
2. 本稿における「ランタイムセキュリティ」の定義
2.1 一般的な理解とのズレ
「ランタイムセキュリティ」と検索すると、次のような説明が一般的です。
「コンテナやKubernetesなどのクラウドネイティブ環境において、実行中のアプリケーションやプロセスをリアルタイムで監視・保護する技術」
具体的には、コンテナ内の不審な挙動検知、RASP(Runtime Application Self-Protection)、プロセスの振る舞い分析などが挙げられます。これらは確かにランタイムセキュリティの重要な一側面です。
しかし、これは「監視と検知」というパラダイムに留まっています。異常を検知し、アラートを上げ、対応する—このアプローチは、AI時代において構造的な限界に直面します。
2.2 本稿の定義:実行空間の構造的保護
本稿では、ランタイムセキュリティをより広義に、より本質的に捉えます。
「本稿におけるランタイムセキュリティの定義」:
「侵入の成否に関わらず、CPU・メモリ上で展開される実行時データを直接保護する防御アプローチ」
この定義には、従来の監視・検知に加えて、以下の技術領域が含まれます。
| アプローチ | 従来の理解 | 本稿の定義 |
|---|---|---|
| コンテナ監視 | ✓ 含む | ✓ 含む |
| 振る舞い検知 | ✓ 含む | ✓ 含む |
| RASP | ✓ 含む | ✓ 含む |
| メモリ暗号化 | × 含まない | ✓ 含む |
| 実行空間の隔離 | × 含まない | ✓ 含む |
| Confidential Computing | × 含まない | ✓ 含む |
これらの技術はアプローチが異なりますが、共通する目的は「侵入後の情報露出を最小化する」ことです。
2.3 なぜ定義の拡張が必要なのか
従来の「監視・検知」中心のランタイムセキュリティには、根本的な前提があります。
- 異常を「検知できる」こと
- 検知から対応までの「時間がある」こと
- 対応が「攻撃より速い」こと
AI時代において、これらの前提は崩れつつあります。
- AIは人間が定義した「異常」のパターンを回避できる
- 攻撃は秒単位で進行し、人間の判断を待つ時間はない
- 攻撃AIと防御AIの速度競争に終わりはない
だからこそ、「検知できなくても守れる」「速度に依存しない」防御アプローチが必要なのです。
それが、メモリ暗号化や実行空間の隔離といった「構造的防御」です。
本稿では、この拡張された定義に基づいて、AI時代におけるランタイムセキュリティの必要性を論じます。
3. 入口対策の構造的限界
3.1 無限に増殖する侵入経路
現代のサイバーセキュリティは、侵入経路ごとに専用製品を積み重ねる「入口対策」に依存しています。
| 侵入経路 | 対応製品 |
|---|---|
| メール添付ファイル | CDR(ファイル無害化) |
| Webブラウジング | SWG(Secure Web Gateway) |
| エンドポイント | EDR(Endpoint Detection and Response) |
| クラウドサービス | CASB(Cloud Access Security Broker) |
| ゼロデイ攻撃 | 対応製品なし |
経路が増えるたびに製品が増え、コストと複雑性は膨らみます。そして最後の行が示す通り、ゼロデイ攻撃にはそもそも対応する入口製品が存在しません。
3.2 入口対策の原理的限界
入口対策には、技術的な改良では解決できない構造的限界があります。
限界①:仕様内の攻撃は検出不可 CDRは「ファイルフォーマットの仕様外の要素を除去」する技術です。仕様内のデータだけで脆弱性を突く攻撃には原理的に対応できません。
限界②:暗号化ファイルは処理不可 CDRの前提は「ファイルの中身を分解する」こと。暗号化の目的は「中身を見せない」こと。この二つは原理的に両立しません。
限界③:環境依存型攻撃 ファイル自体は無害でも、端末の環境と相互作用して初めてマルウェア化する攻撃には対応できません。
限界④:経路の数だけ製品が必要 メール、Web、USB、クラウド共有…経路ごとに別の製品が必要であり、「経路の数だけ製品が必要」という構造から逃れられません。
3.3 防御の高度化が生む「盲点の高度化」
入口対策を強化すると、既知の攻撃パターンは確かに防げます。しかし攻撃者はそれを前提に行動を変えます。入口対策を通過できる手法だけが「自然選択」的に生き残り、侵入に成功した攻撃はより巧妙で、より痕跡を残さないものへと進化していきます。
さらに深刻なのは、組織が「入口対策済み」という安心感を持つことで、インシデント発生時にその経路を最初から除外してしまうリスクです。これは防御の高度化が生んだ「盲点の高度化」と言えます。
4. AI時代の3つの防御フェーズ
4.1 Phase 1:人間では間に合わない
2024〜2025年の統計は衝撃的です。
- FBIによると、2024年の米国企業のサイバー犯罪損失は166億ドル(前年比33%増)
- Voice phishing攻撃が2024年後半に442%増加(CrowdStrike調べ)
- 2025年第1四半期だけで179件のdeepfake攻撃が記録され、2024年全体を19%上回る(民間集計)
攻撃の速度と規模は、もはや人間のセキュリティチームが手動で対応できる範囲を超えています。MIT研究が示す「AIエージェントが1時間以内にドメイン制御を達成」という事実は、人間が検知し、分析し、判断し、対応するという従来のワークフローが機能しないことを意味します。
そして、HackerOneでAIが人間のバグハンターを超えたという事実は、脆弱性の発見速度においても人間が追いつけなくなったことを示しています。パッチを当てる速度より、AIが脆弱性を見つける速度の方が速い—この非対称性は、従来の「脆弱性管理」アプローチの限界を露呈しています。
結論:人間の手作業による防御では間に合わない。防御AIが必要だ。
4.2 Phase 2:AI vs AIの軍拡競争
では、防御AIを導入すれば問題は解決するのでしょうか。
Palo Alto Networksは2026年を「Year of the Defender(防御側の年)」と位置づけ、AI駆動型防御のみがAIを活用した攻撃に対抗できる唯一の方法だと述べています。企業環境では自律型エージェントが人間の82倍(82:1の比率)存在するようになり、セキュリティの主戦場は「AI vs AI」へと移行しています。
しかし、これは新たな問題を生みます。
終わりなき速度競争
- 攻撃AIが新手法を開発 → 防御AIが対応を学習
- 防御AIが検出率を上げる → 攻撃AIが回避手法を進化
- この競争に終わりはありません
防御AI自体が攻撃対象に PwCは「自律的に推論・計画・行動するAgenticシステムは、深いアクセス権限と意思決定能力を持つため、新しい種類のインサイダーリスクを生み出す」と警告しています。防御AIが侵害されれば、攻撃者は防御システムを通じて全システムへのアクセスを得ることができます。
Anthropicが検出した事例では、まさにAI自身が攻撃ツールとして悪用され、攻撃の80〜90%を自動実行していました。
結論:AI vs AIの軍拡競争は、速度と性能の終わりなき消耗戦を生む。
4.3 Phase 3:「そもそも戦わない」という第三の道
ここで発想の転換が必要です。
攻撃AIと防御AIの速度競争に参加し続ける限り、防御側は永遠に「後追い」の立場から逃れられません。しかし、速度に依存しない防御があれば、この競争から離脱できます。
考えてみてください。
- 攻撃AIがどれだけ賢くなっても
- AIが人間より速く脆弱性を発見しても
- ゼロデイ脆弱性が次々と見つかっても
暗号化されたメモリ内のデータは、物理的に読み取れません。
これは「検出できる確率を上げる」という確率的アプローチではありません。「数学的に解読不可能」という絶対的保証です。
AIが脆弱性を見つける速度がどれだけ上がっても、その脆弱性を突いた先にあるデータが暗号化されていれば、攻撃者は「空の金庫」を手に入れるだけです。
結論:速度で勝負するのではなく、構造で守る。これが第三の道である。
5. チョークポイント防御の思想
5.1 軍事戦略からの教訓
軍事戦略における「チョークポイント(隘路)」とは、敵がどのルートから攻めてきても、必ず通過しなければならない狭い地点を指します。
古代ギリシャのテルモピュライの戦いでは、300人のスパルタ兵が狭い峡路を利用して数万のペルシア軍を足止めしました。100の道から攻めてくる敵に対して、100の門を守る必要はない。全ての道が最終的に一本の橋へ合流するのであれば、その橋だけを守る方が合理的です。
5.2 サイバー空間のチョークポイント=CPUとメモリ
サイバーセキュリティにおいて、この「チョークポイント」に相当するのがCPUとメモリ(実行空間)です。
| 攻撃手法 | CPUの使用 | メモリの使用 |
|---|---|---|
| マルウェア実行 | 必須 | 必須 |
| ランサムウェア | 必須 | 必須 |
| データ窃取 | 必須 | 必須 |
| 権限昇格 | 必須 | 必須 |
| ラテラルムーブメント | 必須 | 必須 |
| AIによる自律攻撃 | 必須 | 必須 |
攻撃手法がどれだけ多様化しても、右列はすべて「必須」です。これが実行空間が唯一のチョークポイントである証左です。
6. 物理法則という不変の真理
6.1 AIの限界
AIは驚異的な能力を持ちますが、物理法則を書き換えることはできません。
- AIは暗号化されたデータを「賢さ」で解読することはできない
- AIはメモリに存在しないデータにアクセスすることはできない
- AIはCPUを使わずにコードを実行することはできない
どれだけAIが進化しても、コンピュータがCPUとメモリで動作するという物理的事実は変わりません。そしてこの物理的事実こそが、防御側の最大の武器となります。
6.2 三層の防御モデル
現代のサイバーセキュリティは、以下の三層で考える必要があります。
Layer 1:ロジカル防御(従来型)
- ファイアウォール、IDS/IPS、EDR
- 特徴:パターンマッチング、シグネチャベース
- 限界:AIによる回避が可能、ゼロデイに無力
Layer 2:AI駆動型防御(現在のトレンド)
- 自律型脅威検出、予測分析、異常検知
- 特徴:機械学習、リアルタイム適応
- 限界:攻撃AIとの軍拡競争、防御AI自体が攻撃対象
Layer 3:構造的防御(次のフェーズ)
- 実行空間の暗号化保護
- 特徴:物理法則に基づく、AIの能力に依存しない
- 強み:侵入されても、データは数学的に保護される
従来の「多層防御(Defense in Depth)」は、同じロジカル層での多重防御でした。
これからの多層防御は、防御の「層」そのものを変えていく必要があります。
7. 構造的防御の具体像 — 粒度の細かいメモリ暗号化
7.1 「検出」から「免疫」へ
従来のセキュリティは「検出と対応」のパラダイムでした。
- 脅威を検出する → 検出できなければ負け
- 検出したら対応する → 対応が遅れれば負け
構造的防御は異なるパラダイムです。
- 実行空間を構造的に保護する
- 侵入されても、保護対象のデータは読み取れない
- 検出の成否に関係なく、保護は維持される
これは人体の免疫システムに似ています。免疫システムは、すべての病原体を「検出」してから対応するわけではありません。細胞レベルでの構造的な防御機構により、多くの脅威は検出以前に無力化されます。
7.2 粒度の細かいメモリ暗号化
構造的防御の鍵は、粒度の細かいメモリ暗号化にあります。
従来のメモリ暗号化は、VM単位やプロセス単位での保護が主流でした。しかし、AI時代に求められるのは、より細かい粒度での保護です。
- プロセス内の特定のメモリ領域のみを暗号化
- 秘密情報(認証情報、APIキー、暗号鍵)を選択的に保護
- 正規のプロセスからのアクセスは許可し、不正アクセスは物理的に遮断
この粒度の細かさが重要な理由は、AI駆動型の防御システム自体が大量の秘密情報をメモリ上に保持するからです。防御AIが侵害された場合でも、メモリ上の秘密情報が暗号化されていれば、攻撃者は「空の金庫」を手に入れるだけです。
7.3 なぜ「ランタイム」なのか
静的な暗号化(ディスク暗号化、通信暗号化)は既に普及しています。しかし、データは処理される瞬間、必ずメモリ上で復号されます。この「ランタイム」の瞬間こそが、現代の攻撃者が狙う最大の脆弱性です。
- ディスク上のデータ → 暗号化済み ✓
- 通信中のデータ → TLSで暗号化済み ✓
- メモリ上のデータ → 平文で露出 ✗
この「ランタイムギャップ」を埋めることが、AI時代のセキュリティにおける最重要課題です。
8. 歴史的事例が示す教訓
以下の事例は、入口対策が完備していても、実行空間の保護がなければ被害を防げなかったことを示しています。
① SolarWinds事件(2020年) 正規のソフトウェア更新にマルウェアが埋め込まれ、米国政府機関含む18,000以上の組織が侵害。正規のデジタル署名付き更新であり、あらゆる入口チェックを正常通過しました。
② Log4Shell(2021年) Javaのログライブラリの脆弱性。正規のログ文字列が任意コード実行のトリガーとなり、ファイルを介さない攻撃であったため、CDRもWAFも有効に機能しませんでした。
③ MOVEit Transfer事件(2023年) ファイル転送ソフトのゼロデイ脆弱性が悪用され、世界中の組織から大量のデータが窃取されました。ゼロデイであり、いかなる検知ツールも対応不可でした。
④ XZ Utilsバックドア(2024年) Linuxの基盤ライブラリに数年かけてバックドアが埋め込まれました。正規のビルドプロセスを通ったコードであり、パッケージマネージャーやセキュリティスキャナでは検出不可能でした。
これら全ての事例に共通するのは、入口を守るだけでは防げなかったが、実行空間でデータが暗号化されていれば被害を軽減できたという点です。
9. 提言:実行空間の保護を「必須の層」へ
9.1 入口対策を否定するのではない
誤解のないように強調しますが、本稿は入口対策を否定するものではありません。CDR、EDR、WAF等の既存対策はそれぞれの層で有効であり、引き続き必要です。
また、AI駆動型の防御システムも重要です。自律型攻撃に対抗するには、自律型防御が必要という論理は正しい。
しかし、それらをすり抜けた攻撃に対する「最後の砦」として、そしてAI防御システム自体を保護する「基盤」として、ランタイム保護が不可欠です。
9.2 組織が今すべきこと
① 現状のセキュリティ投資の棚卸し 入口対策に偏重していないか、実行空間の保護が欠落していないかを点検する。
② 「AI vs AI」の先を見据える AI防御システムを導入する際、そのシステム自体がどのように保護されるかを確認する。
③ ランタイム保護技術の評価を開始する メモリ暗号化、Confidential Computing、実行空間隔離など、自組織に適した技術を検討する。
④ 「構造的防御」の視点を持つ 速度で勝負する防御だけでなく、物理法則に基づく構造的防御を多層防御に組み込む。
10. 結論
サイバーセキュリティは今、三つのフェーズを経験しています。
- Phase 1:人間の手作業では間に合わない → 防御AIが必要だ
- Phase 2:攻撃AIと防御AIの性能差で鎬を削る → 終わりなき軍拡競争
- Phase 3:そもそも戦う必要のない状況にする → 構造的防御
侵入経路は無限に増殖し、攻撃AIは日々進化します。AIは人間より速く脆弱性を発見し、人間の介入なしに攻撃を実行できるようになりました。
しかし、どんな攻撃も最終的にはCPUとメモリという唯一のチョークポイントを通過しなければならない。これは物理的事実であり、AIがどれだけ進化しても変わりません。
ランタイムセキュリティは、コンテナ監視や振る舞い検知だけの狭い概念ではありません。実行空間そのものを構造的に保護するという、より本質的な防御層を含む概念として再定義されるべきです。
多層防御の議論において、「実行空間の保護」を必須の層として位置づけること。速度ではなく構造で守るという発想の転換。それが、AI時代のサイバーセキュリティにおいて、攻撃の高度化に対して原理的に強い戦略を実現するための鍵であると考えます。
「速度で勝つ」戦略から、「ゲームのルールを変える」戦略へ。
それが、AI時代を生き抜くセキュリティの本質です。
