Anthropicは「安全ガードレール」を譲らず――DPAとサプライチェーン指定が基盤モデルに迫る新リスクです

今日の深掘りポイント

• 米国防総省（DoD）がAnthropicに対し、安全ガードレールを緩和または無制限アクセスを求め、応じなければ制裁やDPA活用を示唆したと報じられています。報道ベースの段階ですが、実現すれば前例となり、基盤モデルの供給網全体に波及します。
• DPA（国防生産法）は政府が民間企業に対し国家安全保障目的で優先供給や能力確保を命じ得る強力な枠組みです。AIモデルや「安全バイパス」機能がDPAの射程に入ると、モデル配備や運用のガバナンスに新しい規律が生まれます。
• 「安全ガードレールの解除」や「特別ビルド」は、それ自体が高価値の秘密情報・制御機能になり、漏洩・悪用の攻撃面を広げます。MITRE ATT&CK観点でもSaaS・クラウド認証情報の窃取やサプライチェーン混入の典型シナリオが想定されます。
• 日本企業にとっては、契約条項の再設計（Change-in-Law条項、特権機能の可視化・監査、モデル二重系の冗長化）と、ゼロトラスト前提のAI API統制（鍵の分離・短命化・動的レート制御）が急務です。
• 即時性と波及性の高さに比べ、足元の確実な制度化は未確定です。だからこそ「先行して準備できるガードレール」を設計する組織が、リスク低減と調達交渉力の両方を得ます。

はじめに

TechCrunchは、Anthropicが米国防総省からAIモデルへの無制限アクセスや安全ガードレールの緩和を求められ、応じなければ「サプライチェーンリスク」指定や国防生産法（DPA）の適用といった圧力に直面していると報じました。Anthropicは米国内監視や完全自律型兵器への使用を拒む方針を崩しておらず、対立が深まっているとされています。この動きは、基盤モデルを政府調達の延長線上で扱う前例となり得て、クラウド／AI SaaSを前提とする企業の調達・運用・開示に直接的な再設計を迫る可能性があります。

もっとも現時点では、DoD側の公式命令や通達の原本が公開されているわけではなく、一次情報は限られます。従って本稿では、公開情報と既存制度（DPA、DoDの自律型兵器方針、連邦政府のAI使用ガイダンス）に照らし、CISO/SOC/Threat Intelの現場が「先に何を準備できるか」を軸に整理します。報道が全面的に制度化しなかったとしても、同様の要請・特権アクセス・例外ビルドが各所で求められる蓋然性は高く、対応は無駄にならないはずです。

参考: TechCrunchの当該報道は以下を参照ください。

• TechCrunch: Anthropic won’t budge as Pentagon escalates AI dispute

深掘り詳細

事実関係と制度の読み解き（ファクト）

• DPA（国防生産法）の射程
  • DPAは、大統領（および委任先の省庁）に対し、国家防衛のために特定の財・サービスの優先供給や生産能力確保を命じる権限を与えます。COVID-19下でも医療機器の確保に活用されました。AIモデルやその運用能力（推論環境、特権機能）が「国家安全保障上の資産」と見なされれば、対象になり得ます。米国法典 Title 50, Chapter 55、FEMA: Defense Production Act Program を参照ください。
• DoDの自律型兵器方針との整合
  • DoDは自律型兵器に関し「適切な人間の判断」を要求する方針を明確にしており、完全自律化の無制限容認ではありません（DoD Directive 3000.09, 2023年改定）。DoDD 3000.09 (PDF)
• 連邦政府のAI使用ガバナンス
  • OMBのM-24-10は、各省庁にAIのリスク管理・透明性・監督を義務付け、NIST AI RMFの実装を促します。安全ガードレールの撤廃を一般原則にする趣旨ではなく、統治の枠組みを強化するものです。OMB M-24-10、NIST AI Risk Management Framework
• Anthropicの公表方針（倫理・安全）
  • Anthropicは責任あるスケーリングと安全基準（ASL）を掲げ、モデルの悪用防止を強調しています。監視・兵器用途の拒否は、同社の公開ポリシーと整合的です。Anthropic Responsible Scaling Policy

以上を踏まえると、「安全ガードレールの緩和」や「特権アクセス」要求が本当にDPAや調達SCRM（供給網リスク指定）の手段と結びつくかは最終的に公的決定の有無に依存します。ただ、制度の潜在能力としては十分に可能であり、企業側の備えを着手する合理性は高いです。

インサイト（示唆）

• 「安全バイパス」は存在自体が攻撃面です
  • たとえ限定利用（例：国家安全保障用途）であれ、ガードレールを一時的に無効化できるAPI、フラグ、特別ビルド、モデル重み、推論スイッチは、高価値のシークレットです。鍵・トークン・ビルド署名・配布パイプラインのいずれかが侵害されれば、攻撃者は一般提供版では不可能な出力や行為を引き出す可能性があります。これはSaaSの「裏口」問題と本質的に同じで、ゼロトラストと職務分離、強い監査証跡が不可欠になります。
• 二系統化（一般版と特権版）はガバナンス負債を増やします
  • バリアント（派生モデル／特別設定）の数が増えるほど、挙動ドリフトの検知とリリース統制は非線形に難しくなります。第三者監査（SOC 2/ISO 27001）だけではモデル安全の特権機能を十分に可視化できず、「AI-BOM（AI Bill of Materials）」やモデルカード、特権機能のアテステーション（誰がいつ何を有効化できるか）を契約条項として要求する必要が出てきます。
• 調達・法務・セキュリティの三位一体で交渉力をつくるべきです
  • 安全ポリシーの「例外運用」や「政府要請への応答プロセス」は、CISベンチマークやNIST AI RMFの域を超え、契約義務と結びつけないと可視化されません。Change-in-Law条項、重大変更の事前通知、特権機能の有無・鍵管理境界の開示、証拠保全の義務化など、法務と一体でのテンプレート設計が効きます。

脅威シナリオと影響

以下は現時点の公開情報に基づく仮説シナリオです。具体的な攻撃手順の助長を意図せず、組織の備えを促す目的で記載します。

• シナリオ1：特権API鍵／フラグの漏洩による「安全ガードレール」無効化の不正利用
  • 想定：政府向けに用意された安全バイパスのAPI鍵や環境フラグが、サプライヤ／下請け／個人端末から流出し、第三者により悪用されます。
  • ATT&CKマッピング（例）:
    • Valid Accounts（T1078.004: Cloud Accounts）
    • Unsecured Credentials（T1552.001/004）
    • Subvert Trust Controls（T1553）
    • Modify Cloud Compute Infrastructure（T1578）
  • 影響：モデル出力の逸脱（法令・規約違反）、内部統制違反、ブランド毀損、規制当局・監督官庁への報告義務、リーガルリスクが発生します。
• シナリオ2：特別ビルドの混入によるAIサプライチェーン汚染
  • 想定：特権機能を含むビルドが誤って一般テナントにデプロイ、または署名・配布パイプラインの侵害により改変が配布されます。
  • ATT&CKマッピング（例）:
    • Supply Chain Compromise（T1195）
    • Subvert Trust Controls: Code Signing（T1553.002）
    • Compromise Software Supply Chain（関連戦術横断）
  • 影響：想定外のモデル挙動、誤検知・誤回答の増大、外部からの検証で露見した場合の信用失墜、強制停止・切替による業務中断が発生します。
• シナリオ3：政府要請に伴うログ・メタデータの集中管理が二次的リスクを増幅
  • 想定：法令準拠のためにプロバイダ側に利用ログやプロンプト/出力のメタデータ保管が拡大し、クラウドストレージからの窃取リスクが上がります。
  • ATT&CKマッピング（例）:
    • Data from Cloud Storage（T1530）
    • Exfiltration Over Web Service（T1567）
    • Credentials from Password Stores（T1555）
  • 影響：機密プロンプトや業務フローが漏洩し、模倣攻撃・フィッシング・業務妨害の精度が上がります。
• シナリオ4：輸出管理・調達制限の急変に伴う強制フェイルオーバー時の攻撃機会
  • 想定：規制や契約変更により特定モデルが突如停止し、代替モデルへの切替中に認証境界やレート制御が緩む短時間の脆弱期間が生じます。
  • ATT&CKマッピング（例）:
    • Exploit Public-Facing Application（T1190）
    • Abuse Elevation Control Mechanism（T1548）
    • Resource Hijacking（T1496）
  • 影響：SaaS統合の不整合、ジョブ詰まりによるDoS、キュー先読みを狙う攻撃の成功確率上昇が想定されます。

総じて、脅威は「モデルそのもの」よりも「モデル運用の特権平面（制御面）」に集中します。制御面が増えるほど、攻撃面は増えます。これはクラウドSaaSの歴史が繰り返し示してきた法則です。

セキュリティ担当者のアクション

• 契約とガバナンスを前倒しで再設計します
  • Change-in-Law／Government Order条項の明確化（重大変更時の通知・協議・解約権・SLA補償）を入れます。
  • 特権機能（安全バイパス、特別ビルド、モード切替）の有無・適用範囲・鍵保管境界・監査ログ保持を開示・監査可能にする条項を要求します。
  • ベンダの政府要請・法執行リクエスト対応プロセス（通知可否、挑戦方針、透明性レポート）を文書で取り交わします。
• アーキテクチャは「二系統・二段鍵・短命トークン」を標準にします
  • マルチモデル冗長化（主要機能は2社以上のモデルで代替可能に）と、フェイルオーバー時の精度・安全性評価の自動化を準備します。
  • API鍵はKMSでラップし、クライアント側保管を禁止、発行は短命・スコープ限定・環境別に分離します。レート制御は動的（振る舞いベース）にします。
  • 特権機能に関与する全操作は人手による二要素承認（four-eyes）と相互監査を義務化します。
• 監視・検知は「制御面の逸脱」を捉えるように設計します
  • ベースラインからの出力量・拒否率・安全検知の変動（モデルドリフト）を監視し、A/Bで逸脱を検知したら自動でセーフモードへ切替えます。
  • APIエラー種別・HTTPヘッダ・User-Agent・ASNの変化、鍵利用の地理・時間帯異常をSIEMで相関し、T1078/T1552系の兆候を検知します。
• データ最小化と機密分離を徹底します
  • 機微データは原則オンプレ/TEEで前処理（マスキング・要約）し、サードパーティ推論には出さない設計にします。
  • プロンプト・出力ログは暗号化・短期保持・アクセス分離を行い、クラウドストレージからの横取り（T1530/T1567）を抑制します。
• 供給網の可視化を「AI-BOM」で進めます
  • モデルカード、重みの版数、学習/微調整データの系譜、評価ベンチと安全テスト結果、署名・配布パイプラインの説明責任を、RFPの必須要件にします。
  • NIST AI RMFのGOVERN/MAP/MEASURE/MANAGEを自社S-SDLC/ML-SDLCにマッピングし、変更審査に組み込みます。NIST AI RMF
• インシデントレスポンスの台本をAI前提で更新します
  • ケース1：特権機能の漏洩疑い、ケース2：政府要請による停止、ケース3：特別ビルド混入――の3本を最低ラインとして、連絡網・迂回経路・通知義務・法務対応を定義します。
• 日本拠点ならではの越境配慮を入れます
  • 米国法・命令が間接的に影響するクラウド運用の洗い出し（データ所在地、リージョン固定、ジオフェンス、代替クラウド）を完了させ、運用手順に落とし込みます。

最後に。今回の一件は、技術論というより「誰がどこまで制御権を持つか」の話です。モデルの賢さが増すほど、制御面の小さな設計判断が巨大なリスク差を生みます。報道がどの程度現実化するにせよ、いま整えるべき基盤は明確です。制御面を可視化し、契約で縛り、運用で監視し、代替を持つ――この基本に立ち返ることが、最適な防御になります。

参考情報

• TechCrunch: Anthropic won’t budge as Pentagon escalates AI dispute
• U.S. Code Title 50, Chapter 55 – Defense Production Act
• FEMA: Defense Production Act Program
• DoD Directive 3000.09 – Autonomy in Weapon Systems (2023)
• OMB M-24-10: Advancing Governance, Innovation, and Risk Management for Agency Use of AI
• NIST AI Risk Management Framework
• Anthropic Responsible Scaling Policy
• MITRE ATT&CK