Anthropic サイバーセキュリティ AIセキュリティ 連邦政府 Mythos Greg Barbaccia OMB CVEカタログ

連邦政府CIO、AIセキュリティモデル「Mythos」に対する慎重な評価を表明

連邦政府の最高情報責任者(CIO)Greg Barbaccia氏は8月27日、Anthropic社が開発したAIセキュリティモデル「Mythos」について、政府は慎重な期待を持って検討していると述べた。同モデルは連邦政府のサイバー防衛を強化する可能性を秘めている一方で、実運用におけるパフォーマンスに関する不確実性が依然として残っていると指摘した。

Barbaccia氏によると、Mythosへの直接的な評価はベンチマークテストや検証段階に限られており、現在のところ連邦機関による導入は行われていないという。同氏は「我々は近いうちに、AIによる防衛が攻撃を追い越す時代が来るだろう。そのためには、ボットがボットを発見するレベルに達する必要がある」と語った。

OMBによる段階的導入の準備段階

今月上旬、Barbaccia氏は各省庁宛てにメールを送信し、管理予算局(OMB)がMythosモデルの連邦機関への段階的導入に向けた基盤整備を開始したことを通知した。同氏の見解は、Mythosの攻撃的な能力が防衛ツールとしても価値を持つという点で一貫している。

Anthropic社によると、Mythosは主要なOSやウェブブラウザにおいて、数千件の未知の高重大度脆弱性を特定したと発表している。これらの脆弱性の多くは数十年にわたって存在していたものだ。しかし連邦政府のセキュリティチームにとっての課題は、こうした能力が実験室環境から実際の防衛網を備えた政府機関のネットワークへとどれだけ適用可能かという点にある。

実運用と実験室環境のギャップ

Barbaccia氏はこのギャップについて率直に語った。「Mythosはサイバーセキュリティの初心者をより効率的にする可能性はある。しかし実際の運用環境、つまり人間の防衛者が監視しアラートを発するネットワークにおいてどれだけ効果を発揮するかはまだ判断がつかない」と述べた。同氏が目にした評価は、いずれも実験室環境での学習に基づくものだった。

この違いは、連邦セキュリティチームがモデルを評価する際に重要なポイントとなる。脆弱性の発見と、防衛された環境下での実際の悪用は別の問題だからだ。Barbaccia氏は、政府が運用する既知のソフトウェア脆弱性リスト「CVEカタログ」を例に挙げた。人間のアナリストがこのカタログを分析するには相当な時間を要するが、Mythosのようなモデルであればはるかに迅速に処理できる。

しかし、スピードだけが脆弱性の実効的な脅威を決定づけるわけではない。同氏は「BIOSブート時の4ナノ秒の窓でのみ悪用可能な脆弱性と、現実世界で実際に悪用される可能性の違いを理解しなければならない」と指摘した。

「我々は脅威面全体を保護するだけでなく、 crown jewels(最重要資産)がどこにあり、どのように保護すべきか、そしてその保護が価値に見合ったものかを理解する必要がある」

リソース制約下での優先順位付け

こうした考え方は連邦政府のネットワーク防衛担当者にとって馴染み深いものだ。彼らは限られたリソースの中で、どの脆弱性に優先的に対処すべきかを判断しなければならない。Mythosがもたらす変化は、そうした優先順位付けのスピードを加速させる可能性にある。

出典: CyberScoop
スティーラーズがQB/WRジョン・リース・プルームリーを解雇
← 前へ

スティーラーズがQB/WRジョン・リース・プルームリーを解雇

 フロリダ沖の海水で感染した「食肉菌」が男性の腕と脚をわずか3日で蝕む
次へ →

フロリダ沖の海水で感染した「食肉菌」が男性の腕と脚をわずか3日で蝕む