「黒船以来の危機」孫正義氏が警鐘　ソフトバンクが最先端AIによるサイバーセキュリティ対策を提供

ソフトバンクグループ（ソフトバンクグループ、ソフトバンクおよびSB OAI Japan）は6月16日、企業のサイバーセキュリティの脆弱性評価と修復方針を支援するサイバーセキュリティ対策ソリューション「Patching as a Service」（パッチング・アズ・ア・サービス、以下PaaS）を発表した。

OpenAIのAI技術を活用したもので、空港や電力会社、銀行、金融機関、通信会社など日本の重要インフラを支える一部企業に対し、合弁会社SB OAI Japanが脆弱性診断の申し込み受付について順次案内するという。

日本の重要インフラを防衛するAI脆弱性診断

同日ソフトバンクグループが開催した特別イベントに登壇した、代表取締役会長兼社長執行役員の孫正義氏は、AIを悪用した組織的なサイバー攻撃が増加している現状を「黒船の襲来以来の大変な危機」と表現。

「これまでサイバーアタックは人間が竹槍で攻撃するようなものだったが、AIを悪用したサイバー攻撃では悪い組織が機関銃のように打ちまくる。そういう時代が来てしまった」と現状を例えた。

ソフトバンクグループ代表取締役会長兼社長執行役員の孫正義氏

ソフトバンクGとOpenAIの最先端AIを活用

Patching as a Serviceを順次提供する

AIによる大規模な脆弱性診断と修正提案／適用の2段階で行う

孫氏は、AIを利用したサイバー攻撃が従来の人間による攻撃とは比較にならない規模と巧妙さで社会インフラに深刻なダメージを与える危険性を指摘。例えば、ソフトバンクでは2025年度で1カ月に3億件の偵察行為、1カ月に6万件の不正侵入試行、1カ月に2,800件のDDoS攻撃を受けているという。

そこでソフトバンクでは同社が保有する約3,000システムのうち、特に重要な700システムを対象に、OpenAIの最先端サイバーセキュリティ技術（GPT 5.5 Cyber）を含むAIで大規模な脆弱性診断を実施。孫氏は「安全に自信を持っていた」というが、診断の結果、約10,500件のセキュリティリスクが発見されたという。このうち4,000件が早急に対応すべき脆弱性だったそうだ。

ソフトバンク代表取締役社長執行役員兼CEOの宮川潤一氏

2025年度のソフトバンクに対するサイバー攻撃

AI脆弱性診断を実施した結果

診断から修復までをAIが支援、企業に順次提供

ソフトバンクの代表取締役社長執行役員兼CEOである宮川潤一氏は、2つのシステムにおけるAI脆弱性診断検証で22件の脆弱性を発見したのち、全件にパッチを適用後、再診断で新たに11件を発見。これを修正し、3回目の診断で7件、4回目の診断で5件の脆弱性を発見したと明かした。

なぜ修正した後も新たに脆弱性が発見されるのか。宮川氏がOpenAI Group PBC Chief Research Officer Mark Chen氏に尋ねたところ、脆弱性の診断は何度も違うやり方で深掘りしていくものだという回答だったそうで、5回目以降も脆弱性が存在する可能性があるため現在も診断を継続し、“終点”を検証する予定とした。

なおChen氏は、孫氏との対談のなかでAIによる脆弱性診断を「リンゴ狩り」に例えた。最初は見つけやすい脆弱性から発見し、診断を重ねるほど、より見つけにくい脆弱性まで洗い出せるという。

ソフトバンクの2つのシステムにおける脆弱性診断／修正提案の具体例

PaaSの当初の対象企業は日本の重要インフラを支える企業。PaaSでは1段階目として「システムの脆弱性診断」を行い、企業のシステムに存在する脆弱性をAIでスクリーニングし、リスクを可視化。

2段階目として「診断結果を踏まえた修正提案・パッチ実装作業」を提供し、診断結果に基づき、優先度の高い脆弱性から修正（パッチング）作業を実施する。発見後の対処法など、ソフトバンクの診断で得た知見もPaaSの展開に活かす予定だ。

宮川氏はイベントで、AI技術の進化の速さに言及した。例えばLLMがオープンモデルになるまで3年かかり、画像生成モデルがオープンモデルになるまで1年半。そして動画生成は約10カ月。「サイバー攻撃に使える最先端AIモデル（Frontier AI）のオープンモデルが登場するのに、実際何カ月かかるのか。“半分の法則”でいくと、5カ月で出てくるかもしれない」と危機感を伝え、オープンなサイバー攻撃モデルが短期間で登場しうるため、防御策の準備を急ぐ必要があると呼びかけた。