📌 前回記事「AIが『危険すぎる』と公開禁止に…Mythosがサイバーセキュリティを終わらせる日」の続編です。Mythosの基礎は前回記事をご参照ください。
「海外の話でしょ?」と思っていませんか。AIによるサイバー攻撃は、実はすでに日本企業を標的にしています。Mythos(ミュトス)の登場で、その脅威は一段階上がりました。でも日本には、世界と比べて特有の弱点があります。この記事では、日本のサイバーセキュリティが抱える構造的課題と、政府・企業・個人それぞれが今すぐ取るべき行動を、わかりやすく整理します。
🗾 「Mythosが来た日本」──まず現状を知ろう
最初に、2026年春時点の日本のサイバーセキュリティの現状を確認しておきましょう。
日本への攻撃は増えている
警察庁の発表によると、国内でのランサムウェア(身代金要求型ウイルス)被害は2023年以降も高止まりが続いており、製造業・医療機関・自治体を中心に被害が報告されています。記憶に新しいところでは、大手エンタメ企業へのサービス停止攻撃(2024年)や、国産大手自動車メーカーのサプライヤー経由の侵入(2022年)など、日本の主要産業が繰り返し標的になっています。
IPA(情報処理推進機構)の「情報セキュリティ10大脅威 2025」では、「ランサムウェアによる被害」「サプライチェーンの弱点を悪用した攻撃」「内部不正による情報漏えい」が引き続き上位を占めています。これらはすべて、Mythosのような高度なAIが「加速装置」となりうる攻撃分野です。
「Mythos後の世界」で日本が特に危ない理由
世界共通の脅威であるMythosですが、日本には固有のリスク要因が重なっています。次のセクションで、その構造的弱点を5つ掘り下げます。
🏚️ 日本の「5つの構造的弱点」
弱点① レガシーシステムへの依存
日本の政府機関・金融機関・インフラ企業の多くは、数十年前に構築された古いシステム(レガシーシステム)を現在も運用しています。「更新したら別の部分が壊れるかもしれない」「更新コストが膨大」という理由から、システムの刷新が後回しにされてきたのです。
Mythosが「27年前のバグ」を発見したことを思い出してください。古ければ古いほど、未発見の脆弱性が眠っている可能性が高い。日本のインフラはその最たる標的になりえます。
経済産業省の調査では、国内企業の基幹システムの約60%が「2025年の崖」問題(老朽化・複雑化・ブラックボックス化したシステム)を抱えているとされています。これらのシステムは、AIによる脆弱性探索の格好の標的になります。
弱点② 深刻なセキュリティ人材不足
経済産業省の試算では、2030年に向けて国内のサイバーセキュリティ人材は最大で約80万人不足する可能性があるとされています(2022年時点で約11万人不足)。
人が足りないと何が起きるのか。「脆弱性を発見しても修正する人手がない」「攻撃を検知しても対応が遅れる」「セキュリティ設計を後回しにしたシステムが量産される」という悪循環に陥ります。
AIが攻撃を自動化する一方で、防御側の人材が不足しているというのは、構造的に非常に不利な状況です。
弱点③ 中小企業(SME)のセキュリティ意識と予算の低さ
大企業がセキュリティ投資を強化する一方で、日本の企業数の99%以上を占める中小企業のセキュリティ対策は依然として遅れています。
問題なのは、中小企業が「別に攻撃されても大した被害はない」と思っている点です。しかし現実はまったく逆です。大企業への攻撃の入口として、セキュリティの弱い取引先中小企業が「踏み台」にされるケースが急増しています。自動車サプライヤーへの攻撃で大手自動車メーカーの生産ラインが止まった事例は、その典型です。
独立行政法人中小企業基盤整備機構の調査によると、中小企業の約半数はセキュリティ対策のための専任担当者がいません。Mythosのような高度なAIが攻撃に使われた場合、専任担当者がいない企業は侵入されても「気づかない」可能性があります。
弱点④ サプライチェーン全体のリスク管理の甘さ
日本企業の多くは、海外のクラウドサービス・ソフトウェア・ハードウェアに深く依存しています。自社のセキュリティをいくら強化しても、サプライチェーン(取引先・利用サービス)のどこかに脆弱性があれば、そこから侵入されます。
Mythosが「脆弱性を連鎖させる」能力を持つことを考えると、「A社のサービス→B社のシステム→C社の機密データ」という連鎖攻撃のシナリオは、日本の複雑なサプライチェーン構造において現実的なリスクです。
弱点⑤ 国際的な情報共有の遅れ
サイバー脅威の情報は「早く・広く共有すること」が防御の基本です。アメリカやEUでは、政府機関と民間企業が脅威情報をリアルタイムで共有する仕組みが整備されています。
日本でも内閣サイバーセキュリティセンター(NISC)を中心とした情報共有の枠組みがありますが、参加企業数・共有されるデータの質・スピードともに、欧米に比べて改善の余地があります。AIが攻撃を「秒単位」で実行できる時代に、情報共有の遅れは致命的になりえます。
🏛️ 日本政府はMythosにどう向き合っているか
「能動的サイバー防衛」法の成立
2024年、日本では「能動的サイバー防衛(Active Cyber Defense)」を可能にする法整備が進みました。従来の「攻撃を受けてから対応する」受け身の防御から、「攻撃の兆候を事前に察知して対処する」積極的防御への転換を目指すものです。
これはMythosが示した「防御側の猶予時間が急速に圧縮される」という現実への正しい対応方向です。ただし、実装・運用には高度な技術力と明確なルール整備が伴わなければ、逆に新たなリスクを生む可能性もあります。
日本政府の主なサイバーセキュリティ関連組織・取り組み:
✔ NISC(内閣サイバーセキュリティセンター):政府全体のサイバーセキュリティ政策の司令塔
✔ 警察庁サイバー局:2022年設置。サイバー犯罪捜査・対処の専門組織
✔ JPCERT/CC:インシデント対応の調整機関。脆弱性情報の収集・公開
✔ IPA(情報処理推進機構):人材育成・脆弱性対策情報の提供
✔ 能動的サイバー防衛法(2024年):積極的防御体制への転換
日米サイバーセキュリティ協力の強化
日米同盟の枠組みの中で、サイバーセキュリティ分野での協力も深まっています。アメリカのCISA(サイバーセキュリティ・インフラ安全保障局)はAnthropicからMythosについてのブリーフィングを受けていますが、日本のNISCやJPCERT/CCもこうした情報共有の輪に積極的に参加することが重要です。
📊 日本の現状を数字で見る
| 指標 | 日本の現状 | 課題・備考 |
|---|---|---|
| セキュリティ人材不足数 | 約11万人不足(2022年) | 2030年には最大80万人不足の試算も |
| 国内ランサムウェア被害件数 | 高止まり継続中 | 製造業・医療・自治体が主な標的 |
| 基幹システムの老朽化率 | 企業の約60%が課題あり | 「2025年の崖」問題(経産省) |
| 中小企業のセキュリティ専任者なし | 約50% | 侵入されても気づかないリスク |
| ITセキュリティへの支出(対売上比) | グローバル平均0.69%を下回る傾向 | 欧米比で投資額に差がある |
| 国家サイバーセキュリティ指数(NCSI) | G7内での相対的な課題あり | 能動的防衛体制の整備で改善中 |
🔧 日本が「Mythos後の世界」でやるべき7つのこと
① 重要インフラのシステム刷新を国家事業として加速する
電力・水道・医療・交通・金融──これらの重要インフラを支える古いシステムの更新を、民間任せにせず国家事業として推進する必要があります。更新コストや互換性リスクを民間企業だけで負担するには限界があるからです。
Project Glasswing(Anthropicが推進する防御的AI活用プログラム)のような官民連携モデルを、日本版として設計することが急務です。具体的には、Mythosのような防御型AIを使って「日本の重要インフラの脆弱性を先手で発見・修正する」国家プロジェクトが考えられます。
② セキュリティ人材の育成を教育の柱に据える
人材不足の解消には時間がかかりますが、今すぐ動かなければ差は広まる一方です。
具体的には、大学・高専でのサイバーセキュリティ専門コースの拡充、社会人向けリスキリング(学び直し)プログラムの国費補助、CTF(ハッキング技術競技)の学校教育への組み込みなどが有効です。IPA(情報処理推進機構)が運営する「情報処理安全確保支援士(登録セキスペ)」制度のさらなる活用促進も重要です。
現在活用できる日本のセキュリティ人材育成・支援制度:
✔ 情報処理安全確保支援士(登録セキスペ):IPA認定の国家資格
✔ セキュリティ・キャンプ全国大会:若手育成プログラム(IPA主催)
✔ J-CRAT(サイバーレスキュー隊):中小企業への無償支援(IPA)
✔ 中小企業向けサイバーセキュリティ対策促進事業:補助金制度あり
③ 中小企業のセキュリティ底上げを「サプライチェーン防衛」として位置づける
日本の産業の強みである「系列・サプライチェーン」は、裏を返せばセキュリティの「連鎖感染ルート」になります。大企業は自社のセキュリティ要件を取引先中小企業にも適用し、コスト負担を含む支援を行う「セキュリティ共助」の仕組みが必要です。
IPAが提供する「サイバーセキュリティお助け隊サービス」のような低コストのマネージドセキュリティサービスを、中小企業が使いやすい形で普及させることも重要です。
④ 「AIを使った防御」を官民で実装する
Mythosが示したのは、AIが攻撃の強力な道具になるという事実だけではありません。同時に、AIは防御の強力な道具にもなれるということです。
Project Glasswingに参加するような先進的な企業だけでなく、日本のあらゆる組織がAIを使ったペネトレーションテスト(侵入テスト)・異常検知・インシデント対応を実装できる環境を整える必要があります。
「AIを使った防御ツール」は急速に増えていますが、その品質や信頼性はまちまちです。導入時は、ベンダーの実績・第三者評価・国内の規制適合性を十分に確認してください。「AIだから安全」という過信は禁物です。
⑤ 情報共有の「文化的障壁」を壊す
日本企業は、サイバー攻撃被害を公表することを「恥」や「株価・信用への悪影響」として隠す傾向があります。しかしこれは、同じ手口による被害が他の企業に広まることを防げないという意味で、社会全体にとってマイナスです。
アメリカでは主要インフラ事業者に対してサイバーインシデントの政府への報告義務(CIRCIA法)が設けられています。日本でも、被害報告・情報共有を義務化または強力に推奨する制度設計が必要です。「報告した企業が不当に不利益を被らない」免責・保護の仕組みとセットで整備することが鍵です。
⑥ 量子コンピュータ時代への「先手の備え」
Mythosのような現在の脅威への対応と並行して、日本は「ポスト量子暗号(PQC)」への移行準備も始めなければなりません。米国NIST(国立標準技術研究所)は2024年にPQC標準規格を発表しており、アメリカ政府機関は2030年までの移行を目標にしています。
日本政府・金融機関・重要インフラも、この国際タイムラインに合わせた移行ロードマップを早急に策定する必要があります。
⑦ 「サイバーセキュリティ文化」を社会に根付かせる
技術と制度だけでは限界があります。最終的には、一般市民・経営者・政治家が「サイバーセキュリティは自分事」と認識する文化の醸成が不可欠です。
交通安全教育が普及して交通事故死者数が劇的に減ったように、「サイバー安全教育」を学校・職場・地域で継続的に行うことが、長期的には最も効果的な対策です。
🏢 企業が今すぐ取るべき具体的アクション
経営層向け:セキュリティを「コスト」から「投資」へ
多くの日本企業でサイバーセキュリティは「情報システム部門の問題」として経営層から切り離されてきました。しかし、製造ラインの停止・顧客データの漏えい・ランサムウェアによる身代金要求が「経営危機」に直結する時代です。
CISAやNISTが推奨する「サイバーセキュリティ・ガバナンスの取締役会レベルへの引き上げ」は、日本企業にとっても急務です。経営者が自らリスクを把握し、適切な予算と権限をセキュリティ部門に与えることが出発点になります。
IT部門向け:「ゼロトラスト」アーキテクチャへの移行
Mythosが「連鎖攻撃」を得意とすることを踏まえると、「一度ネットワーク内に入れば信頼する」という従来の境界型セキュリティは時代遅れです。
「すべてのアクセスを都度検証する」ゼロトラスト(Zero Trust)アーキテクチャへの移行が、AIによる連鎖攻撃への有効な対策になります。すべてを一気に変える必要はありませんが、移行ロードマップの策定と段階的実装を今すぐ始めることが重要です。
企業が今すぐ確認すべき対策チェックリスト:
✔ CSIRT(コンピュータセキュリティインシデント対応チーム)の設置または外部委託
✔ 定期的なペネトレーションテストの実施
✔ サプライチェーン全体のセキュリティ要件の見直し
✔ インシデント発生時のBCP(事業継続計画)の策定・更新
✔ 全従業員向けのフィッシング訓練の定期実施
✔ ゼロトラスト移行ロードマップの策定開始
👤 個人・生活者にできること(日本版)
企業や政府の話が続きましたが、一般の方にも日本ならではの注意点があります。
① マイナンバー・行政サービスのアカウントを守る
マイナポータルや各種行政オンラインサービスのアカウントは、個人情報の宝庫です。必ず2段階認証(2FA)を設定し、パスワードは他のサービスと使い回さないようにしましょう。
② ビジネスメール詐欺(BEC)に注意する
AIを使ったフィッシング詐欺は、日本語の精度が飛躍的に向上しています。以前は「日本語がおかしい」ですぐ気づけた偽メールも、AIが生成した自然な日本語で送られてくるようになっています。送り主のメールアドレスのドメイン(@以降)を必ず確認する習慣をつけましょう。
③ スマートフォンのセキュリティを見直す
日本のスマートフォン普及率は非常に高く、銀行アプリ・キャッシュレス決済・SNSなど重要な情報が集中しています。以下を確認してください。
スマートフォン向けセキュリティチェック:
✔ iOSまたはAndroidを最新バージョンにアップデート
✔ 使っていないアプリを削除(アクセス権を持つアプリを減らす)
✔ 公共のWi-Fiでのオンラインバンキング・決済を避ける
✔ 公式ストア(App Store / Google Play)以外からのアプリインストールを行わない
✔ 銀行・決済アプリには個別にパスコード・生体認証を設定
④ 「ワンクリック詐欺」「偽サポート詐欺」に引き続き注意
AIを活用した詐欺サイト・偽のサポート画面は、見た目がより本物らしくなっています。「今すぐ電話しないとウイルスに感染する」というような警告が突然表示されても、絶対に電話しないことが重要です。
🌐 日本に期待される「国際的役割」
日本はMythosへの対応において、防衛側としてだけでなく、国際的なルール形成にも貢献できる立場にあります。
G7議長国経験・ASEAN諸国との関係・日米同盟という外交基盤を活かし、「AIを使ったサイバー攻撃に関する国際規範の形成」に積極的に参加することが求められます。技術力だけでなく、信頼できる中立的な立場として議論をリードする役割が日本には期待されています。
サイバー空間における国際ルールはまだ発展途上です。どの国も「自国に有利なルール」を求めて交渉しています。日本が国益を守りながら建設的な役割を果たすには、外交と技術の両面での高いリテラシーを持つ人材が政府内に必要です。これもまた「人材育成」の問題に帰結します。
✅ まとめ:日本が「Mythos後の世界」を生き抜くための処方箋
| 主体 | 最優先アクション | 中長期課題 |
|---|---|---|
| 🏛️ 政府 | 重要インフラのシステム刷新支援 能動的防衛体制の実装 |
情報共有の義務化制度 ポスト量子暗号移行ロードマップ |
| 🏢 大企業 | 経営層へのサイバーリスク報告体制構築 AI活用ペネトレーションテストの実施 |
ゼロトラスト移行 サプライチェーンセキュリティ要件の整備 |
| 🏪 中小企業 | IPA「お助け隊サービス」の活用 全員対象のフィッシング訓練 |
CSIRT設置または外部委託 BCP(事業継続計画)の策定 |
| 👤 個人 | OS・アプリの最新化 2段階認証の設定 |
パスワードマネージャー導入 家族へのセキュリティ教育 |
| 🎓 教育機関 | セキュリティ人材育成コースの拡充 | サイバー安全教育の義務化 CTF文化の普及 |
Step 1(今すぐ・5分):スマートフォンとパソコンのOSを最新にする。マイナポータルに2段階認証を設定する。
Step 2(今週中・30分):パスワードマネージャーを導入し、重要アカウントのパスワードをすべてユニークにする。
Step 3(今月中):職場のセキュリティ担当者にMythosの話をして、ペネトレーションテストの実施を提案する。家族にフィッシング詐欺の見分け方を教える。
個人一人ひとりの「当たり前のセキュリティ習慣」の積み重ねが、日本全体のサイバー耐性を底上げします。
Mythosは確かに脅威です。しかし視点を変えれば、「日本がずっと先送りにしてきたサイバーセキュリティの構造改革を始める最良のきっかけ」でもあります。
課題は多いですが、日本にはものづくりの精密さ・組織の結束力・官民連携の文化という強みがあります。「知ること」「投資すること」「仕組みを変えること」──この3つを、今こそ本気で始める時です。
📌 本記事の情報は2026年4月時点のものです。サイバーセキュリティの状況は急速に変化するため、最新情報は各機関(IPA・NISC・JPCERT/CC・警察庁サイバー局)の発表を定期的にご確認ください。
参考:IPA「情報セキュリティ10大脅威 2025」、警察庁「サイバー空間をめぐる脅威の情勢」、経済産業省「DXレポート」、Bain&Company 2025 Cybersecurity Survey、NIST PQC標準規格(2024年)、能動的サイバー防衛に関する有識者会議報告書
コメント