米AI企業 Anthropic が開発した最新AI「Claude Mythos（クロード・ミュトス）」について、日本の3メガバンクが利用に向けた調整を進めているとの報道がありました。特に注目すべきは、このAIが“サイバーセキュリティ上の脆弱性発見能力”を大幅に高めている点です。

AIの進化は、業務効率化や生産性向上だけでなく、サイバーセキュリティや不正対策の在り方そのものを大きく変え始めています。そして今回のニュースは、金融機関だけではなく、あらゆる企業に対し「AI時代のガバナンス」を再考する必要性を突き付けていると言えるでしょう。

「守るためのAI」と「悪用されるAI」

Claude Mythosは、本来は既存システムの脆弱性を検知し、攻撃を未然に防ぐための高度なAIとして期待されています。

しかし同時に、こうした能力は“攻撃側”に利用される危険性もはらんでいます。

これは近年の不正・サイバーリスクに共通する特徴です。

高度な技術は、防御にも攻撃にも利用可能
AIによって攻撃速度・規模・巧妙性が飛躍的に向上
従来型の内部統制や人的監視だけでは限界がある

特に金融機関は、社会インフラとして巨大な資金・情報を扱うため、国家レベルのサイバー攻撃や高度不正の対象になりやすい業界です。そのため、日本政府や金融庁、日銀、大手銀行が官民連携で議論を始めている点は非常に重要な動きと言えます。

AI時代の不正リスクは「内部」からも発生する

サイバー攻撃というと外部脅威に目が向きがちですが、ACFEの視点では“内部不正”との融合リスクにも注目すべきです。

例えば、

AIを用いた不正送金スキーム
AIによる巧妙なフィッシングメール
内部者による機密情報のAI流出
AI生成コードによる不正アクセス補助
AIを利用した証憑偽装や音声偽装

など、従来より低コストかつ高度な不正行為が可能になりつつあります。

特に近年は、「生成AIを業務で自由に使える状態」が先行し、統制・ルール整備が追いついていないケースも少なくありません。

これは単なるIT課題ではなく、

「ガバナンス」「コンプライアンス」「内部統制」「不正リスク管理」

そのものの課題です。

企業に求められる“AIガバナンス”

今後、企業に求められるのは「AIを禁止すること」ではありません。

むしろ、

AIをどこまで許可するか
どの情報を入力禁止にするか
誰が利用ログを監督するか
AI生成物をどう検証するか
AIによる判断を誰が最終承認するか

といった「AIガバナンス」の整備です。

特に経営層や監査部門、リスク管理部門、情報システム部門が連携し、“AIを前提とした統制環境”へ移行する必要があります。

従来の内部統制は、「人がミスをする」ことを前提として設計されていました。しかし今後は、

“AIが高速かつ大規模に誤りや不正を増幅する可能性”

まで含めて考えなければなりません。

ACFE JAPANとしての視点

AIは、今後の不正対策・監査・リスク管理において極めて強力な武器となる一方、その悪用リスクも急速に高まっています。

今回のClaude Mythosを巡る動きは、日本でも「AIとサイバーセキュリティ」「AIと不正リスク」が経営課題として本格化し始めた象徴的な事例と言えるでしょう。

ACFE JAPANとしても、

AI時代の不正リスク研究
AIガバナンスに関する啓発
経営層向け教育
内部監査・不正対策へのAI活用
AI悪用リスクへの対応力向上

などを通じ、企業の健全なガバナンス強化に貢献していくことが求められています。

AIは「脅威」でもあり、「防御手段」でもあります。

重要なのは、“AIを使うかどうか”ではなく、

「AIをどのように統制し、健全に活用するか」

という視点なのかもしれません。