インドは、政府および銀行のソフトウェアシステムに対し、Anthropicが開発したMythos AIモデルを使ったストレステストを開始した。これは、攻撃者が脆弱性を見つける前に弱点を発見するためのサイバーセキュリティ訓練である。現在進行中のこのテストは、他国の最先端AIモデルを自国の重要インフラの調査に利用した初の事例として注目されている。
AIを敵対者とするストレステスト
ストレステスト自体は新しい取り組みではない。組織は定期的に攻撃をシミュレーションし、防御がどの程度機能するかを確認している。しかし、MythosのようなAIモデルを組み合わせることで、状況は一変する。Anthropicが開発したMythosは、従来のモデルよりもコードの理解と生成に優れるよう設計されている。そのため、高度なサイバー攻撃をシミュレーションし、人間のテスターが見逃しがちな脆弱性を発見する強力なツールとなる。
インドのアプローチでは、政府および銀行のソフトウェアアーキテクチャに関する詳細をモデルに入力する。Mythosはそれらのシステムを攻撃しようと試み、暗号化、アクセス制御、データ処理の弱点を探る。その結果は、どのパッチを優先すべきか、どこに強固な防御への投資が必要かを当局が判断するのに役立つ。
銀行と政府システムに焦点を当てる理由
銀行や政府のソフトウェアは、財務記録、個人識別情報、国家安全保障情報など、国内で最も機密性の高いデータを扱う。どちらかのセクターで侵害が発生すれば、連鎖的な影響が生じる可能性がある。そのため、インドはまずこの2つの分野にストレステストを集中させている。これらのテストは、特定の脅威が検出されたことを示すものではなく、潜在的な攻撃に先手を打つための予防措置である。
Anthropicのモデルが他のモデルよりも選ばれたのは注目に値する。Anthropicは安全性に重点を置くAI企業として位置づけられており、Mythosモデルは悪用を防ぐためのガードレールを備えて構築されている。インドが防御目的でMythosを使用していることは、同社の意図する用途と合致している。Anthropicはこのテストについてコメントしておらず、インド政府当局者も範囲やスケジュールに関する詳細を明らかにしていない。
何が危険にさらされているのか
ストレステストで重大な脆弱性が明らかになった場合、その影響は広範囲に及ぶ可能性がある。政府機関はシステムにパッチを適用するため、デジタル・イニシアチブを一時停止する必要が生じるかもしれない。銀行はアップデートが必要な場合、一時的なサービス停止に直面する可能性がある。一方、問題がないと判定されれば、AadhaarやUPIなどのプログラムを通じて急速に拡大してきたインドのデジタル・インフラへの信頼が高まるだろう。
また、これらのテストは、国家のサイバーセキュリティにおけるAIの役割について疑問を投げかけている。ある企業のモデルを使って別の企業のシステムをテストすることは、競争と協力の境界線を曖昧にする。テスト結果を公開するかどうかはまだ決定されておらず、他国がインドの例に追随するかどうかも不明である。
未解決の疑問
最大の未知数は、ストレステストがどの程度の期間続くのか、そして政府や銀行のソフトウェアを超えて拡大するのかどうかである。当局は完了期限を明らかにしておらず、どの具体的なシステムがテストされているのかも明らかにしていない。明確なのは、インドが自らの弱点を他者に先んじて発見する最善の方法として、AIの敵対者に賭けているということだ。
