From PGP to Mythos: Why Cybersecurity Export Controls Never Work

30年もの間、各国政府はサイバーセキュリティソフトウェアの世界的な流通を制限しようと試みてきましたが、一貫して目標を達成できずにきました。この長く、無効であることが証明された歴史があるにもかかわらず、規制当局は最新のターゲットである Anthropic の高度なサイバーセキュリティモデル「Mythos」において、過去の過ちを繰り返そうとしています。デジタル時代の根本的な現実は、コードに国境などないということです。そして歴史は、暗号化やセキュリティツールに対する輸出規制が、悪意ある攻撃者を止めることにはほとんど役立たず、正当な研究の妨げになるだけであることを証明しています。

この無駄な努力の最も有名な初期の事例は、1990年代の PGP（Pretty Good Privacy）です。Phil Zimmermann が開発した PGP は、一般大衆に強力な暗号化をもたらしました。しかし米政府はこれを兵器に分類し、厳格な輸出規制の対象としました。Zimmermann はこれらの規制を巧みに回避し、ソースコードを印刷された書籍として出版しました。これは修正第1条の保護を利用して、ソフトウェアを世界中で利用可能にしたのです。PGP の騒動は前例を作りました。セキュリティツールが規制されれば、オープンソースコミュニティと意志の固い個人が、必ず代替の配布方法を見つけ出すという前例です。

2026年になり、規制の状況は従来の暗号化アルゴリズムから人工知能へと焦点を移しています。高度なサイバーセキュリティアプリケーション向けに設計された Anthropic の洗練された AI モデル「Mythos」は現在、輸出規制の厳しい審査に直面しています。議員たちは、このような強力な AI が敵対国によって武器化され、壊滅的なサイバー攻撃に利用される可能性があると主張しています。その結果、Mythos や同様のモデルを制限技術に分類し、審査を通過した国内の機関にのみ展開を制限する動きが強まっています。

しかし、TechCrunch が指摘するように、ソフトウェア配布の根本的なダイナミクスは何も変わっていません。Mythos のような AI モデルの輸出を制限することは、現代テクノロジーの非中央集権的な性質を無視しています。モデルの重みは漏洩したり、複製されたり、海外のアクターによって独自に開発されたりする可能性があります。オープンソースの代替手段は、すでにプロプライエタリシステムとの差を急速に縮めています。ツールが存在し、それが有用である限り、ワシントンの規制の野心などお構いなしに、世界中のハッカーや開発者コミュニティがそれにアクセスするでしょう。

根本的な問題は、輸出規制が「イノベーションは地理的に封じ込めることができる」という欠陥のある前提に基づいて機能していることです。ビットとバイトの領域では、これは物理的に不可能です。輸出規制は、防御と攻撃のサイバーセキュリティツールの拡散を抑え込むどころか、国内産業にペナルティを与え、世界的なセキュリティ研究の協力を遅らせるのが常です。PGP の時代から Mythos の時代へと移り変わっても、教訓は変わりません。サイバーセキュリティソフトウェアの流れを止めるのは無駄な努力であり、なぜ今回違う結果を期待する人がいるのか、全く理解できません。