アメリカの重要なインフラをサイバー攻撃から守る責任を担う連邦機関は、2025年初頭以来、従業員の約3分の1を失った。そして、状況はさらに悪化する見込みだ。
サイバーセキュリティ・インフラセキュリティ庁(CISA)は、2027会計年度で7億700万ドルの予算削減が提案されており、これによりさらに766のフルタイム職が削減される可能性がある。このタイミングで、AI駆動のサイバー脅威が、ほとんどの組織がシステムをパッチするよりも速く進化している。
計算を変えたAIの脅威
2026年4月7日、Anthropicは、数千のゼロデイ脆弱性を特定し、自律的な攻撃を実行できるAIモデル「Claude Mythos Preview」をリリースしました。
ゼロデイ脆弱性とは、ソフトウェア製造者がまだ認識していないセキュリティ上の欠陥です。攻撃者が行動を起こした際にはパッチが存在しないため、最も危険な種類の攻撃です。過去には、これらの脆弱性を発見するには、高度な専門知識を持つエリートハッカーが数週間から数ヶ月かけてシステムを調査する必要がありました。Claude Mythos Previewは、そのタイムラインを劇的に短縮しました。
初期のホワイトハウスでのAI脅威対応に関する議論において、代理CISA長官のニック・アンダーセンは「テーブルにはいるが、ゲームには参加していない」と評されている。これは、機関の意見が聞かれているが、意思決定を主導していないという、丁寧な言い方である。
さらに悪化しているのは、CISAが2025年にその職位が空席になって以来、最高AI責任者を補充していないことです。そのため、国家のデジタルインフラを防衛する責務を担う機関は、脅威の構造を変革している技術を理解するために専任された上級リーダーを欠いています。
人的損失が拡大する脅威に対応
CISAの従業員数を約3分の1削減したのは、計画的な退職勧奨と予算対策の組み合わせによるものです。
CISAは、積極的に悪用されているセキュリティ脆弱性のカタログを維持し、連邦機関に対してパッチ適用の期限を設定する「既知の悪用脆弱性プログラム」(KEV)を運営しています。現在の議論では、これらのパッチ適用期間を数週間から最短3日以内に短縮することを検討しています。
元官僚たちは、CISAの従来の役割からの戦略的転換が、AI駆動の機能により迅速な対応がこれまで以上に重要になっているこの時期に、脆弱性管理を損なう可能性があると公に懸念を表明している。