オルタナティブ・ブログ > 生涯ITエンジニアでいこう。 >
RSS
生涯ITエンジニアでいこう。

どんどん出てくるIT業界の新トレンドを乗りこなし末長くエンジニアをやっていきましょう。

「侵入される前提」で設計する時代──Mythos騒動が教えてくれる、エンジニアにとってのチャンス【後編】

»

前編では、Claude Mythos 騒動が日本のサプライチェーン全体の脆弱さを暴いた、という話を書きました。

後編では、ではエンジニアとして何をするのか。これがむしろ前編より面白いテーマだと感じています。

■ 「城壁を高くする」時代は終わった

従来のセキュリティ設計は、こうでした。

  • ファイアウォールで内外を分ける
  • 内側は「信頼できる空間」とする
  • いわゆる境界型防御

30年続いた常識です。

これが、Mythos のような AI が攻撃側に立つ時代では成立しません。

新しい発想は、デジタル庁の公式定義にこうあります。

境界の内部が侵害されることも想定したうえで、情報システムおよびサービスの要求ごとに適切かつ必要最小の権限でのアクセス制御を行う

つまり、

--> 「侵入される」を異常事態ではなく、通常運転の前提として組み込む

これがゼロトラスト・アーキテクチャです。

■ アタックサーフェスは「設計段階」で減らすしかない

ここが重要なポイント。

「アタックサーフェス(攻撃対象領域)を減らせ」とよく言われます。

  • 使っていない機能を切る
  • 不要なクラウドサービスを解約する
  • 公開 API を最小化する

ただ、これらは運用フェーズで頑張ってもどうにもならない領域です。

--> 設計段階で織り込んでおかないと、後から減らせない

ソフトウェア工学の経験則として、要件定義段階で1の修正コストは、リリース後で1,000以上になります。

ゼロトラストも同じ。後付けはほぼ作り直しに近い。

つまり、「セキュリティ・バイ・デザイン」「シフトレフト」が掛け声ではなく、生存条件になった。

■ エンジニアが学び直すべき領域

新しい時代に向けて、学ぶことは山ほどあります。

● アイデンティティ中心の設計

「IPアドレスが社内なら信頼」は終わり。すべての通信を、その都度、ユーザーとデバイスのアイデンティティで認証する。

OIDC、OAuth 2.0、SAML、SCIM、mTLS、SPIFFE/SPIRE。

人間だけでなく、マシンアイデンティティの管理も同様に重要。

● ポリシー・アズ・コード

アクセス制御をドキュメントではなくコードで宣言する。

OPA(Open Policy Agent)、Cedar、Rego。

● サプライチェーンセキュリティ

これが Mythos 時代に特に重要に。

SBOM、SLSA、Sigstore、依存関係スキャン。「自分が書いたコード」だけでなく「自分が使っている全ての他人のコード」を管理対象に。

● 脅威モデリング

設計レビューに必ず組み込む。STRIDE、DREAD、PASTA。

「このAIエージェントが入り込んだら何ができるか」を常に問う。

● オブザーバビリティ

侵入された後に「何が起きたか」を再構成できるログ設計。

OpenTelemetry、構造化ログ、分散トレーシング、SIEM連携。

■ ベテランほど、学び直しが必要

ここは少し厳しい話を。

20年・30年の経験で身についた前提が、今や負債になりつつあります。

  • 「内側は信頼できる」
  • 「機能を作ってからセキュリティを足す」
  • 「ログは事後分析用」

経験豊富なエンジニアほど、無意識に染み付いている前提を意識的に剥がす必要があります。

一方で、ベテランの強みは消えません。

--> 業務文脈の理解と、複雑なシステムを把握する力は、若手には簡単にコピーできない

新しい技術概念を学び直して組み合わせれば、市場価値はむしろ上がる。

■ 「AIで仕事が減る」予想はなぜ外れたか

少し角度を変えた話を。

生成AIブーム初期、多くの人が「仕事が減るのでは」と心配していました。

ただ、実際にAIと一緒に提案書を作ってみると、

  • どんどん新しい案が出てくる
  • 同じ時間で5本の案を比較検討できる
  • これまで割に合わなかった案件にも提案できる

結果として、忙しくなった。

これは経済学でジェヴォンズのパラドックスとして知られている現象です。19世紀、石炭を効率的に使う技術が発達したら消費が減ると予想されたが、実際は用途が広がって消費は増えた。

知的労働でも同じことが起きています。

そして、AI 自体が新しい課題を生んでいる。

  • 攻撃側もAIで強くなる
  • 防御側のやることが構造的に増える

--> 「AIで楽になる」と「AIゆえに新しい課題が生まれる」が同時進行

トータルでは仕事が増える。これが現在地です。

■ 学び続ける人にとっての好機

率直に言うと、これは「新しいことを勉強したい人」にとって、稀有な好機です。

● パラダイムシフトの瞬間に居合わせている

30年続いた境界型防御の常識が崩れ、新しい枠組みが立ち上がっている。

1990年代後半のインターネット黎明期、2000年代後半のクラウド黎明期に近い空気が、いま再びセキュリティ・AI領域で起きています。

● 学んだことがすぐに価値になる

人材不足が深刻なので、新しいスキルが即座に評価される。普通の業界ではあまり起きません。

● 一次資料が無料で読める

書籍より一次資料の方が早くて正確です。

  • NIST SP 800-207(ゼロトラストの原典)
  • NIST SP 1800-35(2025年6月発行の実装ガイド)
  • デジタル庁「ゼロトラストアーキテクチャ適用方針」
  • OWASP Top 10、ASVS

すべて無料で読めます。

● AI が学習パートナーになる

分からないところは AI と議論できる。10年前なら社内の先輩や有料セミナーに頼るしかなかった学習が、自学で完結できる。

--> 学習速度が劇的に上がっている

■ 最後に

Mythosの話は、単なる新製品リリースの話ではありませんでした。

それは、

  • サイバーセキュリティの前提条件が変わったというサイン
  • 日本企業の構造的弱点を露わにする出来事
  • そして、エンジニアの役割を再定義するきっかけ

すべての企業がアタックサーフェスを設計段階から見直し、ゼロトラストへ移行し、「侵入される前提」で再設計する必要がある。

それを担うエンジニアにとっては、しばらく忙しい時代が続きます。

ただ同時に、

--> 知的好奇心を持って学び続ける人にとっては、これほどやりがいのある時代もない

セキュリティはもはやIT部門の課題ではなく、経営課題。

そしてそれを支えるエンジニアの仕事は、技術職としての価値を再定義する局面にあります。

--> 「AIと一緒に」考え、設計し、実装していく

そんな働き方が標準になる時代を、私たちはいま生きているのだと感じています。

[← 前編はこちら]

小薗井 康志 2026/05/24 08:12:18 Comment(0)