神話なき時代のサイバーセキュリティ：冷静さを保ち、日常をハックせよ

「完璧なセキュリティ」という神話は過去のものとなりました。脅威を完全に排除しようと躍起になるのではなく、冷静に現実を見据え、いかに持続可能な防御態勢を構築し、日々の開発業務を止めずにセキュリティを運用していくか。現代のエンジニアが向き合うべき、現実的なサイバーセキュリティとの付き合い方について考察します。

Mythosのプレビューが発表されてからずっとこの話題について考えてたよ。ついにMythosがリリースされて、BANされて、また米政府の管理下でリリースされたから、ようやく深掘りしてHNのROM専から卒業するいい機会だと思ってね！

これは読み応えがあるね！BSDの脆弱性を見つけるためにどれほどの労力がかかっていたのか全く意識してなかったよ。おかげで事態を客観的に見られるようになったわ。

これを取り巻く恐怖を煽るような報道は本当にひどいね。サイバーセキュリティの仕事をしてるけど、ベンダーは何かを売りつけたくてMythosの話ばかりしてくる。発表当日からそんな調子だったから、全部デタラメだとすぐわかったよ。まだ詳細もわかってないくせに、自分たちのソリューションなら解決できるって口を揃えるんだから。

この業界でまともな人間なら誰でも言うことだけど、セキュリティ問題の大部分は設定ミス、慣習の不備、それに事故や不運に起因するものだよ。脆弱なソフトウェアも問題だけど、基本的な防御の多層化（defense in depth）さえあれば、攻撃対象領域を抑えたり大幅に減らしたりできる。Mythosが出たところでその現実は変わらない。

結局のところ、企業における最大のセキュリティ脅威は技術的負債だね。それと「レイヤー8」、つまり人間側の要素。企業や人々のあまりの無茶苦茶さには言葉を失うよ。2004年に書かれて一度も更新されていないお粗末なアプリのせいで、掃除係からCEOまで全員にドメイン管理者権限を与えてる銀行を見たことがある。フォーチュン250企業が、90年代からある暗号化なしの独自ルーティングプロトコルを『特に理由もなく』使い続けてたのも見たし。チップ製造業の工場で、20年以上アップデートされていない30年前のツールに、作業員が感染済みのUSBメモリを挿したせいで工場全体がウイルスまみれになったこともある。しかも復旧した翌日にまた同じことをやらかしたんだ。

結局、Mythosなんてツールボックスにある道具の一つに過ぎない。新しい脆弱性を見つけるにはいいかもしれないけど、それでセキュリティ業界の状況が劇的に変わるなんて考えるのはかなり近視眼的だね。

これの実際のところは、トランプ政権がどの組織にどのタイミングでAIモデルへのアクセス権を与えるか選別するって話だろ。

これによって、選ばれた組織は自分たちのシステムを守りつつ、新しいモデルが出るたびに他人のシステムを破壊できるという非対称性が生まれる。

もし「善玉」側にそんな攻撃的な権限が与えられるなんて信じてるなら、かなり情報不足か、あるいは民族浄化（もうこれらのモデルが使われてるらしいけど）みたいなことを支持してるってことだ。

Mythosの性能が少し高いなんて言っても、たかが知れてる。現時点で最強のモデルですらないしね。Anthropicによればgpt 5.5の方が上だろ！

個人的には、できるだけ早くオープンウェイトのモデルに移行するつもりだ。中国のベンダーの方が西側の民主主義よりも価値観がマシそうだし、そっちにお金を払うことも検討してるよ。

何もかもが怪しいな：

• 2026年6月1日：AnthropicがIPO準備のためSECにS-1書類を提出
• 2026年6月2日：Anthropicが既存システムのセキュリティ強化のため「Project Glasswing」の拡大を発表
• 2026年6月9日：AnthropicがMythosモデルをリリース
• 2026年6月12日：米政府がモデルに輸出規制をかける
• 2026年6月26日：米政府が一部企業への利用許可を発表
• 2026年8月：AnthropicがIPO

このタイミングは明らかに株価を釣り上げるための動きだろ。実際、6ヶ月もすればMythosと遜色ない性能のGLM-5.3がオープンソースで出るはずだし、その前に一稼ぎしようって魂胆だよ。

Anthropicに輸出規制の発表をさせた裏の人間たちが、株を買い込んで人工的に株価を吊り上げてるんだとしても全く驚かないね。俺なら賭けてもいい。

これと https://news.ycombinator.com/item?id=48698617 が同時にトップページにあるのウケるな。

でも、もしOpus 7.1がMythosに期待されていたような本物の賢さを持ってたら？

あるいはOpus 9.0が出たらどうなる？

サイバーセキュリティって、いつになったら本当にヤバい問題になるんだろうな。

もうパンドラの箱は開いちゃったんだよ。Deepseek V4 Flashみたいなモデルでも、かなり厄介な脆弱性が見つけられる時代だからね。

12月のCCCでのトークで、LLMがCTFでどれだけ通用するか思い知らされたよ。

CTFのあり方は根本的に変わらざるを得ないな。

それに、今すぐLLMを使いこなすことがどれだけ重要かも分かった。

正直、たった12ヶ月で状況は激変したよ。もし未だにセキュリティ対策にLLMを取り入れるための時間も金も投資してないなら、もう手遅れだってことに気づいてないだけだ。

AIによってクラウドの多くのリスクが顕在化してきてるし、近い将来、自前でのホスティングや、少なくとも自分の機材を自分で管理するっていうのがもっと重要になってくる気がするね。