AI 時代のサイバー防衛に残された、最後の層

TL;DR

国内の AI サイバー対策はこの十日間で「政府方針 → 重要インフラ事業者・自治体への直接実装要請」まで一気に降りました。要請されているのは脆弱性評価・修正パッチ・予算人員配分など、いずれも検出側の強化です。横断して欠落しているのは、検出強化の延長線では埋まらない「来歴証明レイヤー」、すなわち取引前に「何が・誰に・どこまで許可されたか」を暗号証明で証跡化する層です。Lemma はこの層を、決済領域（Trust402）や認証領域をはじめ、複数の領域で順次構築しています。

検出 ≠ 証明

ログ監視 ≠ ガードレール

▸ 国内動向: AI サイバー対策が現場まで降りています

2026 年 5 月、日本政府は十日間で AI サイバー対策の階段を一気に下ろしました。5/12 の首相指示、5/18 の関係省庁会議による対策パッケージ（防御情報の集約・対応能力強化・海外連携・ベンダー脆弱性是正の 4 本柱）、5/21 の総務相主催・業界横断会合（電気通信事業者協会・NHK・民放連・日本郵便・全国知事会への直接要請）。背景にあるのは、米 Anthropic が 4 月 7 日に立ち上げた Project Glasswing — 未公開フロンティアモデル Claude Mythos Preview を防御目的で限定提供する枠組み(AWS・Apple・Cisco・Google・Microsoft・Cloudflare などが参加)— で示された能力です。ゼロデイ脆弱性を自動発見するモデルが、攻撃側にも回るリスクが認識されました。

ここで重要なのは、十日間で要請された対策の中身です。脆弱性評価、修正パッチの迅速適用、予算と人員の割当、防御情報の集約、専門人材育成、ベンダー側のパッチ作成 — いずれも検出層の整備か、検出後の保全行為に収斂しています。10 月 1 日施行の能動的サイバー防御法（15 分野・約 250 社対象）も、同じ軸です。

▸ 共通課題: 検出を強化しても埋まらないギャップ

検出から法的証明への橋渡しという論点は、現行のセキュリティ運用モデル全体において、まだ独立した層として扱われていません。これは特定の対応策に限った話ではなく、業界が共有してきた世界観の構造に由来します。

問題は三つ重なります。第一に、ミュトス級の AI 攻撃は帰属痕跡を残しません。第二に、検出ツールの信頼度スコアは行政手続きや裁判、規制報告で通用する証明にはなりません。「99.7% の確率で異常」は、規制当局に「許可されていない権限行使があった」と立証する材料にはならないからです。第三に、AI エージェント介在前提の世界では、委任関係（誰が・何を・どこまで許可したか）そのものが検出対象になり、ログだけでは捕捉しきれません。

事実、検出が遅れた事案は領域を問わず共通構造を示しています。MetLife 生命は 2026 年 5 月 1 日、銀行 36 販売代理店経由で 2,476 ファイルが 4 年半・検出ゼロで持ち出されていたと発表しました。SolarWinds 級の重要インフラ侵入も同じく年単位で気付かれませんでした。マイナンバー関連の委託先経由漏洩、医療機関ベンダー経由の侵入も同様です。業界が違っても、構造は一つ。検出が遅れた事案は、いずれも事後の証跡が不十分でした。

同じ構造的ギャップは、Project Glasswing の参加企業側からも指摘されています。参加する Cloudflare の CSO Grant Bourzikas は、自社ブログで「『速くパッチを当てろ』では足りない」と率直に書き、回帰テストを縮めるほど別のバグが生まれる現実を認めています。検出 → 修復軸の高速化だけでは構造的なギャップは縮まらない、というのは業界最大手のセキュリティ責任者の認識でもあります。

▸ AI スピードで隙間が広がります

ここまでは「人間スピード」の話です。MetLife 生命 4 年半・ゼロ検出は、攻撃者も実行者も人間で、API 呼び出し速度も人間が監督可能だった世界の数字です。

AI エージェントを前提にすると、委任から実行までが秒〜分単位に短縮されます。検出が「事象発生から N 時間後」に成立する設計では、攻撃者がエージェントに大量の権限行使を一括委任した場合、検出が間に合わない領域を必ず残します。事後の監査証跡が「無い」状態が、4 年半ではなく数秒で成立しうる世界です。

セキュリティ運用の歴史は、人間がループのどこに位置取るかの選択の歴史でもあります。Human In The Loop（HITL）は機械の判断のあとに人間が承認するモデル、Human Off The Loop（HOTL）は人間が個別承認から外れ機械が機械を機械的に検証するモデルです。AI エージェント運用では HITL はスケールせず、HOTL に移らざるをえません。ではなぜ人間がいちいち承認しなくていい世界が安全と言えるのか。答えは一つ — システムがコンプライアンスを暗号学的に保証しているからです。

▸ Lemma の答え: ガードレールはシステムの内側に

検出強化の延長線では、構造的ギャップは残ります。

同じ問いは Cloudflare 側からも提示されています。Bourzikas は同社のブログで、パッチパイプラインの形そのものを変える 3 原則を示しました — ①アプリに届く前にバグへの到達経路を遮断する、②コードの一部の欠陥が他部分へのアクセスを与えない設計、③個別チームのデプロイ待ちではなく全環境への同時ロールアウト。要点は、検出 → 修復軸の高速化ではなく、「バグが存在しても攻撃を困難にする」軸への移行です。

Lemma の「ガードレールをシステムの内側に組み込む」アプローチは、この軸の上に乗ります。「バグが存在しても攻撃を困難にする」— Bourzikas がアーキテクチャと運用で目指すこの原則を、Lemma は暗号証明で実装します。「何が・誰に・どこまで許可されたか」を取引前に証跡化する。事後の証跡探索ではなく、事前の証跡生成です。検証可能性（第三者が後から検証できる）と事前性（取引成立前に証跡が生成される）の二条件を満たす来歴証明レイヤーが、「バグが存在しても攻撃が成立しない」状態を、システムの内側からコードと数学で保証します。

Lemma はこの内側のガードレールを、複数の領域で順次組んでいます。現時点で公開している軸が、決済領域と認証領域です。

決済領域 — Trust402。 AI エージェントが x402 経済圏で支払いや権限委任を行う際、決済プロトコルの内側に暗号証明を埋め込みます。誰が・どの権限で・どこまで・いくらまで許可されたかを、取引成立前に Groth16 over BN254 と Poseidon ハッシュで証跡化し、Circom で回路化します。検証は第三者でも独立に再現可能です。決済を事後に追うのではなく、事前に「許可された支払いだけが実行される」状態を、システム内側で保証する設計です。

認証領域。 Lemma は、同じ構造原理に立つガードレールを認証領域でも準備しています。属性証明（BBS+ over BLS12-381）と来歴証明の機械的検証によって、認証の都度に発生する「人間目視チェック」を ZK 検証に置き換える方向です。詳細は別途案内予定です。HOTL を支える内側のガードレールは、決済単独でも、認証単独でも完結しません。Lemma は今後、これら以外の領域にも来歴証明レイヤーを順次広げていきます。

Models change. Proofs remain.

▸ Where to start

重要インフラ運用者、金融規制対応チーム、サイバー政策実務者、AI エージェント運用企業、x402 / MCP ビルダー — いずれの読者にとっても、検出層の補完ではなく、システムの内側に立つガードレールの議論に入る入口を用意しています。

Built for decisions that matter.

▸ Resources

• 5/18 関係省庁会議パッケージ (NISC プレス資料): https://www.cyber.go.jp/pdf/press/20260518_AI_CS_kankeishouchoukaigi.pdf
• Project Glasswing (Anthropic 2026-04-07): https://www.anthropic.com/glasswing
• Project Glasswing を受けた Cloudflare 社の解説 (Grant Bourzikas, 2026): https://blog.cloudflare.com/cyber-frontier-models/
• 能動的サイバー防御法施行 (内閣官房): https://www.cas.go.jp/jp/seisaku/cyber_anzen_hosyo_torikumi/index.html