AIが自社システムを1万件攻撃して脆弱性を探す——ソフトバンクの「Patching as a Service」は日本の重要インフラをどう変えるか

「AIに自社のシステムを攻撃させる」という発想は、セキュリティの世界では以前から存在した。しかし今回ソフトバンクが発表したサービスは、その規模と精度において従来の延長線上にはない。OpenAIの高度AIを使って実際に1万件もの脆弱性を自社内で発見し、孫正義氏が「大変な危機」と表現するほどの結果を目の当たりにした——そのうえで外部提供に踏み切った点に、このサービスの本質的な重みがある。歓迎すべき取り組みに見えるが、誰がどのタイミングでこの「診断」を受け入れるべきか、判断はそれほど単純ではない。

目次

「GPT-5.5 Cyber」が疑似攻撃で見つけた1万件の脆弱性とは何か

ソフトバンクグループは2026年6月16日、OpenAIのサイバーセキュリティ特化型AI「GPT-5.5 Cyber」などの技術を活用したセキュリティ対策サービス「Patching as a Service(パッチング・アズ・ア・サービス)」を発表した。

このサービスの仕組みは、企業システムに対してAIが疑似的なサイバー攻撃を仕掛け、脆弱性(セキュリティ上の弱点)を発見するというものだ。発見にとどまらず、修復方針の策定から実際の修正実装の提案まで、一気通貫で対応するとしている。OpenAIのAI技術と、ソフトバンク側の運用ノウハウを組み合わせた形で提供される。

孫正義氏が「大変な危機」と述べた背景には、このサービスをソフトバンク自身が自社システムに適用したところ、1万件にのぼる脆弱性が見つかったという事実がある。単なるPR上の演出ではなく、自社で検証した結果を率直に公開した点は、サービスの実効性を示すうえで一定の根拠となる。

電力・通信・金融——重要インフラ企業が最初の対象になる理由

提供対象として優先されるのは、日本国内の重要インフラを支える一部の企業だ。重要インフラとは、電力・通信・金融・交通など、社会機能の維持に不可欠なシステムを指す。

これらの企業は、サイバー攻撃によって社会全体が影響を受けるリスクが高い一方、既存の診断手法では見落とされやすい複雑な構成を持つことが多い。AIによる疑似攻撃という手法は、そうしたシステムの盲点を精度高く検出できる可能性がある。

日本のビジネスパーソンにとって重要なのは、このサービスが汎用ツールとしての一般提供ではなく、まず重要インフラ企業への優先提供という形で展開される点だ。自社がその対象に含まれるかどうかによって、受け取り方は大きく異なる。

「一気通貫」の診断と修復提案、日本企業が受け入れる前に確認すべきこと

このサービスが従来の脆弱性診断と異なるのは、発見から修復提案までを一体で行うとしている点だ。従来は診断会社が弱点を報告し、修復は別途自社や別のベンダーが対応するという分断が多かった。その工程を一元化することで、対応のスピードと一貫性を高める狙いがある。

一方、日本企業が導入を検討する際には、いくつかの点を慎重に確認する必要がある。まず、自社システムにAIが疑似攻撃を行うという性質上、診断プロセスそのものが予期しない影響を及ぼすリスクの管理方法について、事前の合意が不可欠だ。また、発見された1万件という脆弱性の数が示すように、診断後に提案される修復対応の量・コスト・優先順位づけをどう処理するかも、受け入れ側の体制次第で大きく変わる。

提供開始の具体的なスケジュールや、重要インフラ以外の一般企業への展開時期については、現時点で明確な情報は出ていない。優先提供の対象外である企業がいつ、どのような条件でアクセスできるようになるかは、引き続き確認が必要な点だ。

「診断を受け入れる覚悟」が問われる時代のサイバーセキュリティ

孫正義氏が「大変な危機」と語ったのは、外部の脅威についてではなく、自社システムを診断した結果として出てきた言葉だ。この順序は重要だ。AIによる高精度の診断は、これまで見えていなかった問題を可視化する力を持つ。その力は、組織が「診断結果と向き合う準備ができているか」を問う。

重要インフラを担う企業にとって、このサービスの問いは技術的な選択ではなく、経営判断の問題に近い。1万件という数字は、診断の有効性の証明であると同時に、診断後の対応負荷の現実でもある。「受けるかどうか」より「受けた後をどう動けるか」を先に問うことが、このサービスを正しく評価する軸になる。

本記事は公開情報をもとに、NEWGATA編集部で確認のうえ掲載しています。

参照元

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

コメント

コメントする

目次