DX開発事業部 フルスタックセクションの田村です。
Google Cloud Next 2026 よりセッションの要点解説をお届けいたします。
今回は「The 2026 AI threat landscape」セッションを聴いてきました。
はじめに
登壇したのはWiz(現Googleグループ企業)のVP of AI and Threat Researchで、AIはサイバーセキュリティのすべてを変えている」というメッセージを、Wiz Researchの実際のデータと事例で語ったセッションでした。
発表当日の1時間前にOpenAIから新モデルがリリースされるなど、「スライドを2週間前に提出することはもはや不可能になった」という冗談から始まったのが印象的でした。
AIが変える3つの軸
AIが変えている3つの軸は以下の観点で語ることができます。
- How We Build(どう作るか)
- How Attackers Operate(攻撃者がどう動くか)
- What We Protect(何を守るか)
Wizはこの3軸を自社顧客の実数値で裏付けて説明しており、Fortune 100における50%以上を顧客に持つ立場から見ると以下のような分布になっているとのことです。
- MCP Server採用率80%
- マネージドAIエージェント利用37%
- セルフホストモデル88%
- AIコーディングコパイロット80%
AIはもうどこにでもあるため毎回数字を更新するのをやめた、と話されていましたがそれほどまでにAI利用がシステム開発のデファクトスタンダードになりつつあることを示しているのがわかりますね。
攻撃者の変化とハッキングの民主化
最も力を入れて語られたのが攻撃者の行動変化です。
Time-to-Exploit(CVE公開から実際の悪用までの時間)が数時間から数分にまで縮まっていることがわかります。
MongoDBの重大脆弱性では、MongoDBが公開したCVEページのテキストをそのままLLMに渡すだけでエクスプロイトが生成できているようです。
「サイバーセキュリティのバックグラウンドがなくても、スマートフォンだけでエクスプロイトを作れる時代になった」という意味でハッキング自体が誰でも行いやすい状況になっている = ハッキングの民主化が進んでいるということを端的に示していますね。
Wiz ResearchはオープンプロジェクトのCyber Model Arenaを公開しています。
Wiz自身が発見したゼロデイを含む257件の実際の脆弱性を用いたベンチマークで、Claude Opus 4.6 + Claude Codeの組み合わせが全体成功率47.6%(APIセキュリティは84.2%)という結果でした。
正直、私が思っていたより高い数字になっていて衝撃を受けました。
ランキング上位にClaude Opus 4.6が並んでおり、ベンチマーク自体はWizが実際に発見したゼロデイを含む実環境の脆弱性で構成されているため、CTFの問題解きとは性質が異なるという点を補足されていました。
Living-off-the-LLMとバイブコーディングのリスク
Living-off-the-LLM
2025年8月のサプライチェーン攻撃で、ビルドシステム「Nx」のnpmパッケージが侵害されることで、攻撃者はパッケージに悪意あるコードを仕込んで「Living-off-the-LLM(LLMの乗っ取り)」という新手法を実行しました。
対象環境にGemini CLIやClaude Codeがインストールされているかを確認して、インストールされていればLLMにプロンプトを送って機密ファイルを探させる仕組みのようです。
スライドに示された実際のプロンプトコードでは.ethereum・keystore.json・.secret・id_rsaといったファイルを再帰的に検索するよう指示する内容になっていることがわかります。
Wizはこの攻撃者がガードレールに引っかかるたびにプロンプトを試行錯誤するのも観察しており、「セキュリティテストを実行している」と偽装するプロンプトに切り替えた経緯まで追えていたとのことです。
バイブコーディングリスク
Wiz ResearchがLovableと共同調査した結果、バイブコーディングを利用する組織の5社に1社がシステミックなリスクにさらされていることが判明した様です
同じプロンプト・同じモデルを使えば、同じセキュリティ上の問題が再現されてしまいます。
例えば「HRチームが社内ギフト選びアプリをバイブコーディングで作ったが、セキュリティレビューは誰もしていなかった」という事例が挙げられました。
「コードを書けるチームが増えた、だがセキュアに書けるチームが増えたわけではない」という現実がサイバーセキュリティのリスクを急拡大させていますね。
非エンジニアでも簡単にコーディングができる様になった一方で、サイバーセキュリティに対するAIコーディングが追いついていないことは明白だと思います。
エンジニアとしては単にコードが書けるだけではなく、十分なセキュリティ対応ができるかという点が評価指標にもなってきそうですね。
エージェントのスケール問題
Wizが顧客環境で観測した数字として、1時間に42,000件のCloud API呼び出し・4分間に300件のIAMアクション(削除・権限変更含む)・Q1のエージェント利用量が12倍という値が示されていました。
現在のモニタリング・ガバナンスシステムはこのスケールに対応できていないという点を問題提起されていました。
エージェントの利用が増えても人間の対応には限界があるため、いかにエージェントの思考をモニタリングする手法や自動化方法を模索していくかが今後の課題になってきますね。
AIで防衛するWiz Researchの実例
イランの脅威アクター「MuddyWater」
公開サーバーに誤って放置されていた1TBのマルウェアデータを発見し、LLMとツールを組み合わせて1日で分析完了させています。
バイナリ・ツール・スクリプト・窃取データが入り混じる量で、従来のリバースエンジニアリングチームなら数週間かかる作業とのことでした。
GitHubワーム「Shai-Hulud」への対応
ワームがGitHub上のプライベートリポジトリのシークレットを公開ブランチに書き出すのをリアルタイムで発見し、ツールを15分で作成してすべての公開ブランチのデータを収集。DataDog・OpenAI・Postmanに直接開示し、30,000のリポジトリ・約1,200の組織に影響していることを特定・通知しました。
どちらの事例についても、AIなしには不可能な対応スピードであることがわかりますね。
AI Needs Context. Defenders Have It.
セッション全体を通じて最も印象に残ったスライドがこれでした。
AIの能力は現実問題コンテキストの量に比例していることをグラフで示されていました。
防衛側が持っているもの
| 用語 | 意味 |
|---|---|
| Code Context | ソースコードの内容・構造・意図。コードが何をしているかを内側から知っている |
| Runtime Context | 実行時の動作状況。通常と異なる挙動をリアルタイムで把握できる |
| Cloud Context | クラウド環境の構成全体。どのリソースがどう接続されているかの地図 |
| Ownership | 各システム・データの担当者情報。「このバケットは誰のものか」を知っている |
| Internal Architecture | 内部システムの設計。マイクロサービスの関係性やデータフローの全体像 |
| Privilege Graphs | IAMや権限の関係グラフ。誰が何にアクセスできるかの完全な経路図 |
| Deployment Reality | 設計書ではなく、実際に本番にデプロイされている状態 |
| Live Behavior | 本番の実際のトラフィックパターン。何が「異常」かを判断できる基準 |
攻撃者が持っているもの
| 用語 | 意味 |
|---|---|
| Generic Models | 特定組織の内部情報を持たない汎用の学習済みモデル |
| Public/Exposed Data | 外部スキャンや公開情報から得られるデータのみ |
攻撃者は外部からスキャンできても、ビジネスコンテキスト・コードの意図・アーキテクチャの全体像は持っていません。
今、私たちは有利な立場にいる。この優位性を速く活かさなければ攻撃者に追いつかれる
これがセッション全体のメッセージでした。
セッション全体を振り返って
AIによるスキャンがすべてのレガシーコードの弱点を一気に明らかにする瞬間が来るという予測があるという事実がとても印象に残っており、今後これが準備できている組織とそうでない組織の差がそこで一気に開く可能性がある様に思いました。
現在バイブコーディングで作られたアプリが急激に増えている中で、セキュリティレビューなしに本番に出る現実と合わせて考えてみると、「コードを書ける人が増えた」ことと「セキュアなコードを書ける人が増えた」ことは別の話だと痛感しました。
ツールやプラットフォーム側でセキュリティを担保する仕組みを整えていかないと、セキュリティ対応に追われる日々がやってくるのではないかなと思います。
簡単30秒