2026年4月7日、米国財務長官スコット・ベッセントと連邦準備制度理事会のジェローム・パウエルがバンク・オブ・アメリカ、シティグループ、ウェルズ・ファーゴ、ゴールドマン・サックス、モルガン・スタンレーのCEOをワシントンに招集した。この会議は金融政策に関するものではなく、同日限られた企業へ公開されたAnthropicの人工知能モデルClaude Mythos Previewに関する警告だった。
警告の内容は明確である:Mythosは、ソフトウェア、ブラウザ、セキュリティシステムにおける極端な脆弱性を商業上で前例のない精度で検出できる。Anthropicはこのツールが誤った手に渡った場合、攻撃者に情報を盗んだり、重要なインフラを中断させたりする優位性を与えうると開き直り、リリースを制限した。そのため、政府は銀行に呼びかけたのである。
Mythosが銀行のイノベーションポートフォリオを露わにする
招集された5つの銀行は、合計で20兆ドルを超える資産を管理し、米国の銀行市場の40%以上を占めている。JPMorgan Chaseは、20億件以上の取引を日々処理しているが、会議には欠席した。これらの機関の技術インフラは、定義上、あらゆる洗練された攻撃者にとって最も利益をもたらすターゲットである。
業界は既にその脆弱性に多くの代償を支払っている:2025年にはセキュリティ侵害が1件あたり平均590万ドルのコストを招き、同年のアメリカの銀行システムにおけるサイバー攻撃による損失は約120億ドルに達した。このような数字に直面して、脆弱性を自動的に検出するAIの登場は単なる学術的な新発見ではなく、攻撃と防御の戦争における力の再分配を意味する。
4月7日の会議が明らかにする構造的問題は、次の通りである:大手銀行はサイバーセキュリティに巨額の投資を行っているが、成熟したビジネスの論理に基づいて行われている。そこでの目的は、既存の収益のエンジンを標準化されたプロセス、定期的な監査、規制の遵守を通じて守ることである。Mythosはそのモデルに適合しない。これは、脆弱性の能動的な探索ツールであり、受動的な防御ではない。これを正しく吸収するためには、ほとんどの機関に実行されている組織設計が必要だ。
Anthropicは企業の中に企業を構築し、銀行はそうしていない
このケースでの最も注目すべき点は、政府の警告ではなく、Anthropicがリリースを実行した方法と、金融システムがそれに応えるための位置づけの対比にある。
AnthropicはMythosを選ばれたパートナーに対して制限付きのモデルで発表した。市場には一般公開せず、既存の製品群には統合せず、それ自体が高潜在能力と高リスクの能力として取り扱った。これは、イノベーションを自律的なユニットとして独自の運用ルールで管理する組織の在り方を示すものである。AmazonやGoogleからの80億ドル以上の支援は、この規律を支える資本を提供し、直ちには収益化されない圧力を与えていない。
一方で、銀行は逆に動作している。彼らのイノベーションユニット、内部ラボ、進んだサイバーセキュリティチームは、成熟したビジネスのいずれかと同じ指標で評価されることが多い:四半期ごとの投資収益、測定可能なコスト削減、監査の遵守など。Mythosのような技術がレーダーに現れた場合、通常のプロセスはそれをコンプライアンス部門に送信し、法的承認を待ち、レガシーシステムとの互換性を評価し、もしその官僚主義的な移行を生き延びれば、18ヶ月後にその元の潜在能力の希薄なバージョンに統合されるというものである。
連邦準備制度理事会は、これらの銀行の内部システムを評価する監査スタッフをすでに持っている。その存在は新しいものではないが、今はAIに駆動された脅威に対するキャパビリティやシステム、防御を監査している。彼らが見つけるものは、多くの場合、脅威が進化する速度と、これらの機関が、他のリスクタイプのために設計されたガバナンス構造に固定されている防御を適応させる速度との間にあるギャップである。
探索を利用のメトリクスで測るコスト
サイバーセキュリティに適用されるAIのグローバル市場は、2024年に248億ドルに達し、2030年まで年平均成長率24.5%を予測している。これらの数字は、ツールから反応的な検出へと移行し、積極的に分析を行うシステムに変わるセクターを描写している。Mythosはその曲線の到達点ではなく、予想以上に曲線が加速したことを示す信号である。
銀行にとって、自身の技術リスク管理モデルを再配置しないことのコストは2倍である。第一に直接的なコスト:洗練された攻撃者がMythosに匹敵する能力にアクセスできる場合、そのExposureは非線形で増大する。アナリストは、AIによって増強された攻撃が、現行のセクターの損失を二重化する可能性があると推定している。
第二に機会コスト:Mythosのようなツールを実際に機能的な防御運用に統合できる銀行は、害が発生する前に脆弱性を検出し封じ込めるための非対称的な優位を得られる。それは既に25%上昇したサイバー保険の保険料を低下させ、ドッド・フランク法などの規制によって発生する義務を引き起こす体系的な事象の可能性を減少させる。
障害は投資意欲ではなく、運用の安定性を目的とした構造の中に能動的探索ツールを統合するためには、実際に自律的なユニットを創出し、独自のメトリクス—検証された学習、検出速度、攻撃面の縮小—を持つ必要があるということだ。これにより、短期的に可視的な収益を生み出さないあらゆるイニシアチブを遅らせてしまう承認のサイクルから保護される。
差別化のウィンドウは思っているより早く閉じる
4月7日の会議におけるジェイミー・ダイモンの不在は、JPMorganの戦略的無関心を示すものではないが、金融システムが無視できないダイナミクスを浮き彫りにしている。AIのローンチサイクルと同じ速度で脅威が進行する場合、準備はその火曜日にCEOが利用可能だったかどうかに依存できない。
Anthropicは、学びのリスクを分離するローンチメカニズムを構築した。銀行は、通常の企業のガバナンスサイクルから防御的なイノベーションを分離するメカニズムを構築する必要がある。それを一時的な例外としてではなく、恒久的な設計として行うべきである。Mythos—またはその後継者—が市場に出るまでにそれを実現できれば、コンプライアンスのコストを測定可能な競争力に変えることができる。そうできなければ、脆弱性を経験するのが遅くなるシステムの保護のために、より高い保険料を支払い続けることになる。
