結論から言うと、Anthropicの新レポートを読んでセキュリティへの投資判断を見直した。
Claude Mythos Previewが、公開済みの脆弱性(N-day)から動く攻撃コードを数時間で作れると示した。具体的には、18個の脆弱性に対して40分で13個のPoCを生成し、Windowsのブルースクリーンを引き起こすPoCは6時間以内に18個全部完成している。従来、攻撃コードの開発には数日から数週間かかっていた。その前提が完全に崩れた。
Anthropicはこれを「N-dayという表現が危険なほど誤解を招くものになっている。現実はN-hourだ」と表現している。防御側が「パッチが出たから安心」と思っている時間軸と、攻撃側が動ける時間軸がもはや一致しない。
うちは従業員8人のSaaS会社だ。セキュリティ担当は実質いない。インフラはAWSで、アプリのアップデートは開発2人が回している。正直に言うと、パッチ対応のスピードはそこまで速くない。「深刻度が高いやつは週次で対応」くらいの運用感だった。
今回のレポートを読んで、その週次対応の時間軸が攻撃側には十分すぎることがよくわかった。Claude Mythos Previewの話だから悪用するのは限られた組織だろう、という楽観もある。ただ、このモデルレベルの能力が汎用化されるまでの時間を考えると、楽観視を続けるのはROI的にリスクが高い。
投資家への説明でも、セキュリティ体制を聞かれる場面が増えた。去年のシリーズA調達のとき、ある海外VCから「御社のインシデント対応フローは?」と聞かれてうまく答えられなかった。あのとき感じた後ろめたさが今も残っている。サービスの信頼性はPMFを維持するための土台だ。セキュリティはコストではなくGTMの前提条件だと、あらためて整理した。
Anthropicはレポートの中で「パッチの展開速度を加速させるべき」と防御側への対応策を提案している。正直、それだけでは足りないとも思う。でも、まず自分たちにできることから動く。
今週、開発チームのメンバーに話した内容はこうだ。
3つ目はコストがかかる。ただ、Claude Mythos Previewが1万件以上の脆弱性を発見し、そのうち90.6%が本物だったというデータを見ると、自動化された攻撃の精度が上がっていることは間違いない。うちのサービスが標的になる確率は低くても、ゼロではない。
妻にこの話をしたら「そんな怖いAIなら規制されないの?」と聞かれた。規制の話は別として、攻撃ツールが高度化するスピードに防御側の意識が追いついていないのは確かだ。Anthropic自身がこのレポートを出しているのは、問題提起として正直だと思う。使う側が何をすべきかを考えさせる意図があるはずだ。
競合の同規模SaaSを何社かウォッチしているが、セキュリティ対応を表に出している会社はほぼない。逆に言えば、ここで先に動いておくと、エンタープライズ向けのセールスで差別化できる。「SOC2準拠を進めている」「パッチ対応は48時間以内」といったメッセージは、今後の大手企業との商談で確実に効く。
N-hourという現実を知った以上、対応のスピードを変えないという選択はない。まず自社の開発フローを今週中に変える。それだけだ。
Claude Mythos Previewが、公開済みの脆弱性(N-day)から動く攻撃コードを数時間で作れると示した。具体的には、18個の脆弱性に対して40分で13個のPoCを生成し、Windowsのブルースクリーンを引き起こすPoCは6時間以内に18個全部完成している。従来、攻撃コードの開発には数日から数週間かかっていた。その前提が完全に崩れた。
Anthropicはこれを「N-dayという表現が危険なほど誤解を招くものになっている。現実はN-hourだ」と表現している。防御側が「パッチが出たから安心」と思っている時間軸と、攻撃側が動ける時間軸がもはや一致しない。
8人の会社でも他人事じゃない
うちは従業員8人のSaaS会社だ。セキュリティ担当は実質いない。インフラはAWSで、アプリのアップデートは開発2人が回している。正直に言うと、パッチ対応のスピードはそこまで速くない。「深刻度が高いやつは週次で対応」くらいの運用感だった。
今回のレポートを読んで、その週次対応の時間軸が攻撃側には十分すぎることがよくわかった。Claude Mythos Previewの話だから悪用するのは限られた組織だろう、という楽観もある。ただ、このモデルレベルの能力が汎用化されるまでの時間を考えると、楽観視を続けるのはROI的にリスクが高い。
投資家への説明でも、セキュリティ体制を聞かれる場面が増えた。去年のシリーズA調達のとき、ある海外VCから「御社のインシデント対応フローは?」と聞かれてうまく答えられなかった。あのとき感じた後ろめたさが今も残っている。サービスの信頼性はPMFを維持するための土台だ。セキュリティはコストではなくGTMの前提条件だと、あらためて整理した。
スタートアップが今すぐやれること
Anthropicはレポートの中で「パッチの展開速度を加速させるべき」と防御側への対応策を提案している。正直、それだけでは足りないとも思う。でも、まず自分たちにできることから動く。
今週、開発チームのメンバーに話した内容はこうだ。
- Critical/Highのパッチ対応を週次から48時間以内に変える
- AWSのセキュリティハブのアラートを全員が見える場所に出す
- 外部の脆弱性診断を四半期1回から月次に上げることを検討する
3つ目はコストがかかる。ただ、Claude Mythos Previewが1万件以上の脆弱性を発見し、そのうち90.6%が本物だったというデータを見ると、自動化された攻撃の精度が上がっていることは間違いない。うちのサービスが標的になる確率は低くても、ゼロではない。
妻にこの話をしたら「そんな怖いAIなら規制されないの?」と聞かれた。規制の話は別として、攻撃ツールが高度化するスピードに防御側の意識が追いついていないのは確かだ。Anthropic自身がこのレポートを出しているのは、問題提起として正直だと思う。使う側が何をすべきかを考えさせる意図があるはずだ。
競合より先に動く理由
競合の同規模SaaSを何社かウォッチしているが、セキュリティ対応を表に出している会社はほぼない。逆に言えば、ここで先に動いておくと、エンタープライズ向けのセールスで差別化できる。「SOC2準拠を進めている」「パッチ対応は48時間以内」といったメッセージは、今後の大手企業との商談で確実に効く。
N-hourという現実を知った以上、対応のスピードを変えないという選択はない。まず自社の開発フローを今週中に変える。それだけだ。