【弁護士が基礎から解説】AI「ミュトス」は日本企業にとって何が脅威なのか？私たちにできること

　また、ベンダー側にとってテストは、手間も費用も掛かる。つまり脆弱性に関するテストを実施するインセンティブが乏しい。

　そのため、ソフトウエアは早期公開が優先され、問題があれば公開後にアップデートすればよいという業界慣習となり、脆弱性については十分なテストがなされていないというのが実情と思われる。

　フロンティアAIの登場により、突如として脆弱性という言葉が注目を集めるようになったが、脆弱性自体はかねてから存在したものである。問題はフロンティアAIによってこの脆弱性が「短期間に大量に発見される」ようになったということである。

どう対応すべきか

　こうした脆弱性の問題を受けて、NCOと経済産業省は、5月18日にソフトウェアベンダー向けの注意喚起を公表し、「リリース前のソフトウェアについては、高性能 AI を積極的に活用し、リリース後の脆弱性発見の可能性を低減させた上で、リリースをする」ことを要請している。

　フロンティアAIを活用することにより、脆弱性に関するテストの手間やコストが大幅に下がるで、ソフトウェアベンダーにとって当該テストに取り組みやすくなるといえる。その結果、中長期的には、脆弱性が内在するソフトウェアがリリースされることが劇的に減少することが期待できる。

　問題は、過渡期、つまり現時点で脆弱性を抱えるITシステムについてである。

　ここでITシステムについては、MicrosoftやGoogleといったソフトウェアベンダーがリリースしているもの（以下便宜上「汎用システム」）と、自社で独自に開発したもの（以下便宜上「独自システム」）に分けて考える。

迅速なパッチ適用を

　汎用については、MicrosoftやGoogleといったソフトウェアベンダーがフロンティアAIを先行して活用し、脆弱性を修正したいわゆる「パッチ」を急ぎリリースしている。筆者自身、利用するPCのOSやブラウザについて最近アップデートが多いと実感しているところである。

　ソフトウェアベンダーがパッチをリリースしている以上は、ユーザーがアップデートすることが最重要となるが、その適用が実務上容易ではない。

　企業のITシステムには多くのソフトウェアが複雑に組み込まれているため、一つのソフトウェアをアップデートすると他のソフトウェアに予期せぬ影響が生じる可能性がある。スマートフォンのOSを最新版にアップデートするとそれまで問題なく使えていたアプリのレイアウトが崩れたり上手く機能しなくなるといったものと同じである。

　本金融庁要請においても、「迅速なパッチ適用が可能な状態にしておくことが重要」とする一方で、「パッチ適用そのものが困難である場合や、パッチ適用に要する期間の短縮が困難である場合」が指摘されている。

　重要インフラを構成するITシステムへの緊急のパッチ適用については、そのリスクの大きさから実務担当者レベルでは到底判断できない問題である。経営層がそのリスクを理解した上で意思決定をするとともに、一時的には、社会を支えるシステムが停止することがあり得ることを社会としての認識し・許容する必要がある。

一筋縄ではいかない独自システム

　企業においては、汎用システムに加えて、独自に設計・開発したシステムがある。金融機関における勘定系システムや、製造業における制御系システムである。

　独自システムの中にも多くの汎用システムが組み込まれているが、パッチの適用は容易ではない。加えて、独自開発の部分については、汎用システムと異なりソフトウェアベンダーがパッチを提供してくれることはない。企業として独自に、または独自システムの開発に関わった外部ベンダーに委託して、パッチの作成自体から始めなければならない。

　これはパッチを適用すること以上に、困難を極めると思われる。巨大な独自システムについては、ソースコードも複雑なので一部分を修正することでどのような影響が出るか予想がつかない。例えると、コードが複雑に絡まり合った爆弾を処理するようなものである。

（筆者作成） 写真を拡大

　また、レガシーシステムについてはCOBOL（コボル）など古いプログラミング言語で書かれていることが多く、対応できる技術者が少なくなっているという問題もある。

　希望的観測を言えば、フロンティアAIを活用して脆弱性を発見するだけではなく、修正作業まで実施することであるが、その実績とコンセンサスは現段階では十分ではないであろう。

　そうなると、ネットワーク分離の徹底や多層防御といったこれまでの基本的なセキュリティで暫定的に対処しつつ、企業として新システムへの移行を急ぐ必要が生ずる。