OpenAI×ソフトバンクの新サービスは脆弱性管理の常識を変える？　それとも期待先行？：AIが脆弱性対応のボトルネック解消に挑む

生成AIが攻撃者の武器になった今、ソフトバンクグループとOpenAIは新たな一手を打った。単なる脆弱性診断ではなく、その先の「修復」まで踏み込むという構想だ。AIは企業のパッチ運用をどこまで変えられるのか。

» 2026年06月18日 07時00分公開

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　ソフトバンクグループは2026年6月16日、OpenAIのAI技術を活用したサイバーセキュリティ対策ソリューション「Patching as a Service」の提供開始を発表した。

　脆弱（ぜいじゃく）性診断から修復方針の策定、実装提案までを一貫して支援するサービスで、ソフトバンクグループとOpenAIが共同出資した合弁企業SB OAI Japanが国内で順次提供する。まずソフトバンクが、日本の重要インフラを支える一部企業に対し、脆弱性診断の申し込み受け付けを順次案内する。

AIでパッチ運用は変わる？　見えてこない「Patching as a Service」の中身

　AIを悪用するサイバー攻撃の自動化と大規模化が進展している。重要インフラを支えるシステムへの脅威は深刻さを増しており、脆弱性の悪用によってシステム停止や情報漏えい、サービス提供中断が発生した場合、事業継続や社会活動に大きな影響を及ぼす恐れがある。

　Patching as a Serviceは、OpenAIの技術およびソフトバンクの運用ノウハウを組み合わせたものだ。企業システムの脆弱性評価を実施し、修復方針の策定や実装に関する提案までを提供する。AIによる分析能力と専門家の知見を組み合わせることで、脆弱性対応を支援する狙いがある。

　同発表によると、AIモデルは幅広いサイバーセキュリティ業務を支援できるが、脆弱性診断や対応優先度の判断、修復方針の策定では専門家チームの役割が欠かせないという。AIの進化が続く市場環境において、潜在的な脆弱性の継続的な把握と迅速な対応判断の難しさが増している。

　ソフトバンクは、自社システムを対象にOpenAIのセキュリティ技術を使った大規模な脆弱性診断を実施した。その結果、同技術が脆弱性の特定に有効であることを確認したという。同社は、この取り組みで得た知見を新サービスの展開に反映させる方針を示している。

　ソフトバンクグループの孫正義氏（代表取締役会長兼社長執行役員）は「今後、最先端のAIを悪用したサイバー攻撃が氾濫する。われわれは最先端AIで守り抜きたい」とコメントした。また、ソフトバンクの宮川潤一氏（代表取締役社長執行役員兼 CEO）は、「OpenAIのサイバーセキュリティ技術の活用で得た実践的な知見を武器に、日本の重要インフラを狙う高度化するサイバー脅威に立ち向かう」と述べた。

　OpenAIのCEOであるサム・アルトマン氏は、AIがサイバーセキュリティ分野に変革をもたらしているとし、防御側の取り組みを促進させる継続的なプログラム構築に注力していると説明した。ソフトバンクとの協業を通じ、日本企業に同社のサイバーモデルによる価値を提供し、社会基盤を支えるシステム強化へ貢献する考えを示した。

～記者の目：ニュースをちょっと深掘り～

今回の発表で注目すべきなのは、ソフトバンクグループとOpenAIが「脆弱性の発見」ではなく、その先にある「修復プロセス」に焦点を当てた点だ。

脆弱性管理市場ではこれまで、ASM（Attack Surface Management）や脆弱性スキャナーなど、いかに脆弱性を発見するかが競争軸だった。しかし現場では、脆弱性が見つからないことよりも、見つかった脆弱性を限られた人員でどう評価し、優先順位を付け、修復するかが大きな課題になっている。企業によっては数千件、数万件規模の脆弱性情報を抱えており、「何から直すべきか」を判断するだけでも大きな負担だ。

その意味で今回のサービスは、AIを使って脆弱性情報を分析し、修復方針の策定まで支援することで、この運用上のボトルネック解消を狙ったものと考えられる。特に重要インフラ事業者では、システム停止やサービス中断が社会的な影響につながるため、修復の優先順位付けや影響分析の価値は極めて高い。

一方で、今回の発表内容には気になる点もある。それはサービスの実態がまだ見えにくいことだ。発表では「OpenAIのサイバーセキュリティ技術」という表現が繰り返し使われているが、具体的にどのようなAI技術なのかは明らかになっていない。生成AIによる分析支援なのか、サイバーセキュリティ向けに特化した専用モデルなのか、あるいは将来的に自律的なエージェントとして動作する構想なのかによって、市場へのインパクトは大きく異なる。

また、「Patching as a Service」という名称からはパッチ適用の自動化を想起させるが、現時点で説明されているのは脆弱性評価や修復方針の策定、実装提案までだ。実際にどこまで修復作業に踏み込むのかは不透明である。推奨手順を提示するのか、設定変更案や修正コードを生成するのか、それとも将来的には自動修復まで見据えているのか。この違いはサービス価値を大きく左右するだろう。

さらに、既存市場には脆弱性管理プラットフォームやクラウドネイティブアプリケーション保護プラットフォーム（CNAPP）、Exposure Management（エクスポージャー管理）製品など、リスク分析や優先順位付けを支援するソリューションが既に数多く存在する。今回のサービスが差別化できるかどうかは、OpenAIの推論能力を活用して「セキュリティ担当者が実施している判断業務」をどこまで代替・高度化できるかにかかっている。（田渕聖人）

パスキー神話崩壊　Google Password Managerの同期機能を狙う新攻撃手法
パスワードに代わる認証手段として普及が進むパスキー。しかし、研究者が公表した新たな攻撃手法は、その安全性を支える“別の仕組み”に着目していた。暗号技術そのものを破らず、Google Password Manager利用者の認証情報に到達する手法とは。
Claude Fable 5が早速脱獄される　ある研究者が検証結果を公開
Mythosの一般利用を想定して改善されたAnthropicの新モデル「Claude Fable 5」に対し、研究者が複数の手法を組み合わせて検証し、ガードレールを突破したと報告した。一体どのような手法を使ったのか。
「EDR無効化」「暗号化はしない」　2026年のランサムウェアに起きた変化
もはや「暗号化」は必須ではない。ランサムウェア攻撃が“データを人質に取る”新フェーズに突入した。支払い率の低下で攻撃者が選び始めた次の稼ぎ方とは。EDR無効化や量子耐性暗号まで導入される中、防御側の常識も揺らぎ始めている。
世界中のWebサーバが影響　Apacheが危険な脆弱性を一斉修正
Apache HTTP Serverに大規模な修正が入った。最新版ではHTTP/2処理をはじめ、プロキシやSSL、認証機能など広範囲に及ぶ脆弱性に対処している。サービス停止やメモリ破壊につながる恐れがある問題も含まれていたため急ぎ修正してほしい。
5週間で340超の企業が被害に　Microsoft 365のアクセスを奪う新型フィッシングに注意
MFAを突破されていないのに、なぜ電子メールやクラウドが“乗っ取られる”のか。5週間で340超の企業が被害に遭ったMicrosoft 365を狙う新型フィッシングは、パスワードではなく「OAuth同意」を悪用していたという。