Googleは4月13日、情報通信研究機構(NICT)とデジタル庁への技術支援を通じて、AIを活用した日本のデジタル基盤を設計段階から保護する2つの取り組みを発表した。また、Google サイバーセキュリティ研究拠点による包括的なレポート「日本社会におけるサイバーセキュリティの課題と方策」を公開した。
日本のデジタル基盤を設計段階から保護
Googleは、AIモデルの「Gemini」をはじめ、オープンソースプラットフォームの「OSS-Fuzz」「Agent Development Kit」「Secure AI Framework(SAIF)」などの技術提供を通じて、NICTのAIセキュリティ研究センター(CREATE)が主導するAIを用いた脆弱性検知エージェントの開発の支援を開始した。
同システムは、自動車、医療機器、IoT機器などの日本の重要業界を主な対象とし、AIエージェントによる自動化でソフトウェアの内部構造を解析して、プログラムコードのバグを特定し、ソフトウェアの脆弱性の発見率の向上に寄与するという。
また、ソフトウェアが正しい手順と環境で作られたことを証明するGoogle の技術を基盤にしたオープンソースのセキュリティフレームワーク「SLSA(Supply-chain Levels for Software Artifacts)」が13省庁1700の地方公共団体が対象となるデジタル庁ガバメントクラウドの開発サービスに採用された。
SLSAが日本政府のデジタルインフラに組み込まれ、ソフトウェアの真正性を確認できる証明書の作成や検証ができるようになり、ソフトウェアサプライチェーンリスク管理の向上を目指す。ソフトウェア開発プロセスにおいて、問題が起きてから対処するだけではなく、セキュリティ対策やテストを可能な限り初期段階に組み込むことで、運用開始後の修正コストを削減することができるという。
Japan Cybersecurity Initiativeの取り組み
さらに、Googleは2025年3月に企業や技術だけでは対処できない脅威に対し、産学官が一丸となって取り組むため、Japan Cybersecurity Initiativeを発足。4月13日には、イニシアティブの中核である有識者会議での議論を集約したレポート「日本社会におけるサイバーセキュリティの課題と方策」を公開。同レポートでは、社会を構成する一人ひとりが主体的にセキュリティに関わる「生活者中心の視点」を重視した3つの重点テーマを提示している。
1つ目は国民の意識向上として、サイバーセキュリティを専門家だけの課題とせず、一人ひとりが「自分ごと」として捉えるための「周知」「浸透」「制度化」の3つの方向性を整理。教育現場での啓発や「オレオレ詐欺」のように直感的に伝わる言葉への転換、行動を後押しするルール整備を通じて、セキュリティを身近な習慣として定着させるアプローチを提案している。
2つ目は経営者が取り組むべきサイバーセキュリティとし、セキュリティをIT部門の課題にとどめず、事業継続(BCP)に直結する「最優先の経営課題」へと再定義する重要性を強調した。
「適切なデータが示されれば、56%の企業が対策費用の価格転嫁を許容できる」という調査結果もふまえ、中小企業の制約に配慮した多角的な支援策やサプライチェーンの可視化を推進し、セキュリティを単なる「コスト」ではなく企業価値を高めるための「戦略投資」として位置付けることを求めている。
3つ目はサイバーセキュリティ人材のすそ野の拡大だ。国内で不足する約17万人の人材の内訳を構造的に可視化。不足数の約8割は高度な技術者ではなく、ビジネス部門の知見にセキュリティ視点を併せ持つ「プラス・セキュリティ人材」と指摘しており、非専門職へのスキル付与と専門職による実務理解の深化という「双方向のアプローチ」を通じて、人材の定着と自律的成長を支えるエコシステムの構築を提言している。
こうした重点テーマのもと、2026年はJapan Cybersecurity Initiativeの活動をさらに深化させ、金融や交通、エネルギー、医療といった重要インフラセクターに特化した分科会形式の有識者会議を順次展開していく。
