ソフトバンクグループ株式会社・ソフトバンク株式会社・SB OAI Japan合同会社の3社は2026年6月16日、公式リリースで、OpenAI Group PBCの高度なAI技術を活用したサイバーセキュリティー対策ソリューション「Patching as a Service(パッチング・アズ・ア・サービス)」の提供を開始すると発表しました。こ
のソリューションはOpenAIの技術とソフトバンク株式会社の運用ノウハウを組み合わせ、脆弱性診断から修復方針の策定、実装の提案までを一気通貫で支援するもので、SB OAI Japan合同会社が日本国内で順次提供します。
まず、ソフトバンク株式会社が日本国内の重要インフラを支える一部の企業に対し、脆弱性診断の申し込み受付について順次案内する計画です。ソフトバンク株式会社は自社システムを対象にOpenAIのサイバーセキュリティー技術を活用した大規模な脆弱性診断を実施済みで、その有効性を確認したとしています。
ソフトバンクグループ代表取締役 会長兼社長執行役員の孫正義氏は「今後、最先端AI活用のサイバーアタックが氾濫する。我々は最先端AIで守り抜きたい」と述べています。本記事ではリリースの内容・OpenAIのサイバーセキュリティー技術の系譜・想定される利用シーン・日本の重要インフラ防御における意義を解説します。
サマリー
発表日:2026年6月16日
提供主体:ソフトバンクグループ株式会社・ソフトバンク株式会社・SB OAI Japan合同会社の3社(日本国内提供はSB OAI Japan合同会社が担当)
サービス名:「Patching as a Service(パッチング・アズ・ア・サービス)」
技術提供元:OpenAI Group PBCの高度なAI技術
サービス内容:脆弱性診断 → 修復方針の策定 → 実装の提案までを一気通貫で支援
対象:法人顧客。まずソフトバンク株式会社が日本国内の重要インフラを支える一部の企業に対し、脆弱性診断の申し込み受付を順次案内
先行実証:ソフトバンク株式会社が自社システムを対象にOpenAIのサイバーセキュリティー技術を活用した大規模な脆弱性診断を実施し、有効性を確認
背景となる課題:AIを悪用したサイバー攻撃の自動化・大規模化が進み、重要インフラへの脅威が深刻化。攻撃の巧妙化・自動化により脆弱性の継続的特定と迅速な対応の難易度が上昇
AIと専門家チームの役割分担:AIモデルは幅広いセキュリティ業務を支援できる一方、脆弱性診断・優先順位付け・修復方針策定では専門家チームが引き続き重要な役割を担うと明記
孫正義氏(ソフトバンクグループ代表):「今後、最先端AI活用のサイバーアタックが氾濫する。我々は最先端AIで守り抜きたい」
宮川潤一氏(ソフトバンクCEO):「OpenAIのサイバーセキュリティー技術の活用で得た実践的な知見を武器に、日本の重要インフラを狙う高度化するサイバー脅威に立ち向かいます」
サム・アルトマン氏(OpenAI CEO):「ソフトバンクとの協業を通して、OpenAIのサイバーモデルがもたらす革新的な価値を、日本のより多くの企業に提供し、私たちが日々頼りにしているシステムの強化に貢献できることをうれしく思います」
サービスの仕組み—「診断・方針策定・実装提案」の一気通貫支援
Patching as a Serviceの3段階
リリースによれば、Patching as a Serviceは以下の3段階を一気通貫で提供するサービスです。
①脆弱性診断:OpenAIのAI技術を用いて企業のシステムにおける脆弱性を評価
②修復方針の策定:発見された脆弱性に対する対応方針の策定を支援
③実装の提案:具体的な修復の実装方法を提案
この3段階を単発のサービスとしてではなく一気通貫で提供する点が特徴であり、企業が脆弱性を発見した後に「どう直すか」「誰が実装するか」で立ち止まってしまう課題に対応する設計と考えられます。
提供体制——3社の役割分担
リリースに明記された体制は以下のとおりです。
主体
役割
ソフトバンクグループ株式会社
グループ全体としての発表・推進
ソフトバンク株式会社
重要インフラ企業への脆弱性診断の申し込み案内を担当。自社運用ノウハウを提供
SB OAI Japan合同会社
日本国内でのサービス提供主体
OpenAI Group PBC
AI技術の提供元
「SB OAI Japan合同会社」という社名が示す通り、ソフトバンク(SB)とOpenAI(OAI)の協業に特化した日本法人がサービス提供の中心を担う体制です。
OpenAIのサイバーセキュリティー技術の系譜——Aardvark・Codex Security
今回のPatching as a Serviceの基盤となるOpenAIのサイバーセキュリティー技術は、以下のような開発の系譜を持っています。
Aardvark(2025年10月30日発表)
OpenAIは2025年10月30日、GPT-5を基盤とした自律型セキュリティ研究エージェント「Aardvark」をプライベートベータで公開しました。Aardvarkは以下の多段階プロセスで脆弱性の特定・説明・修正を行います。
分析:リポジトリ全体を解析し、プロジェクトのセキュリティ目標・設計を反映した脅威モデルを生成
コミットスキャン:新規コードのコミット時にリポジトリ全体・脅威モデルに対して変更を検査し脆弱性をスキャン
検証:隔離されたサンドボックス環境で潜在的な脆弱性を実際にトリガーし、悪用可能性を確認
パッチ適用:OpenAIのAIコーディングツール「Codex」と連携し、修正パッチを生成・提案
Codex Security(2026年3月6日展開開始)
2026年3月6日、OpenAIはAardvarkの進化形である「Codex Security」の展開を開始しました。ChatGPT Pro・Enterprise・Business・EduユーザーにCodex Web経由でリサーチプレビューとして提供されています。
ベータ期間中の直近30日間で外部リポジトリ全体の120万件以上のコミットをスキャンし、深刻度「Critical」の問題を792件、「High」の問題を10,561件発見したと報告されており、OpenSSH・GnuTLS・GOGS・Thorium・libssh・PHP・Chromiumなど多数のオープンソースプロジェクトの脆弱性が含まれていたとされています。
今回のPatching as a Serviceは、こうしたOpenAIの自律型セキュリティ研究エージェント技術の実用化・商用化を、日本市場における重要インフラ企業向けサービスとして展開する取り組みと位置づけられます。
関連:戦略物資化するAIと発展するAI ブロック経済ーClaude Fable 5/Mythos 5の全世界停止から考える
なぜ「AIによる脆弱性診断」が今必要なのか
AIを悪用した攻撃の自動化・大規模化
リリースは「悪意ある攻撃者によるAIを悪用したサイバー攻撃の自動化および大規模化が進んでおり、重要インフラを支えるシステムに対する脅威はこれまで以上に深刻化している」と明記しています。
これは攻撃側がAIを使って脆弱性スキャン・攻撃コード生成・標的選定を高速化させている現状を踏まえた防御側の対応です。当サイトでもFBI・Googleが摘発した中国発AI悪用フィッシングサービス「Outsider Enterprise」のように、攻撃側のAI活用は既に現実化していることを報じてきました。
「AIと専門家チームの併存」という設計思想
リリースで注目すべき記述は「AIモデルは幅広いサイバーセキュリティー業務を支援できる一方で、サイバーセキュリティーに特化した専門家チームは、脆弱性診断や優先順位付け、修復方針の策定において引き続き重要な役割を果たす」という一文です。
これはAIによる完全自動化を志向するのではなく、AIが大量のコード・システムを高速にスキャンし、専門家がその結果を評価・優先順位付け・方針策定するという人間とAIの協働モデルを前提としていることを示しています。
日本の重要インフラ企業への影響と意義
なぜ「重要インフラ企業」が最初の対象なのか
リリースは「まず、ソフトバンク株式会社が、日本国内の重要インフラを支える一部の企業に対し、脆弱性診断の申し込み受付について順次案内します」と明記しています。
電力・ガス・通信・金融・交通など重要インフラを担う企業のシステムが侵害された場合、社会全体への影響が極めて大きくなります。当サイトが報じたBAE Systems × NECの能動的サイバー防御MOUでも触れた通り、日本では2025年5月に成立した能動的サイバー防御関連法(サイバー対処能力強化法)の本格施行が2026年秋〜11月に迫っており、重要インフラ事業者には脆弱性管理・インシデント報告体制の強化が求められています。今回のPatching as a Serviceは、こうした政策的要請と重要インフラ企業のセキュリティ強化ニーズの両方に応える形でのサービス展開と捉えられます。
自社実証を踏まえたサービス化
ソフトバンク株式会社は自社システムを対象に大規模な脆弱性診断を実施し、その有効性を確認した上で、そこで得た知見をサービス展開に活用するとしています。これは「自社で実証した技術を顧客向けサービスとして外販する」という、通信事業者がセキュリティベンダーとしての役割を強化する動きの一例でもあります。
情報システム担当者への示唆
①AI活用型脆弱性診断サービスの選定における比較ポイント
今後、AI技術を活用した脆弱性診断サービスは複数のベンダーから提供されることが予想されます。サービス選定時には以下の点を確認することが推奨されます。
AIが発見した脆弱性をどのように検証するか(サンドボックスでの実証等)
偽陽性(false positive)の比率と、それを減らすための仕組み
修復方針の策定・実装提案までをどこまでカバーするか
専門家によるレビュー・最終判断のプロセスが組み込まれているか
②重要インフラ企業における脆弱性管理体制の見直し
能動的サイバー防御関連法の施行を控える中、重要インフラ事業者は「特定重要電子計算機の届出」「インシデントの報告義務」等の新たな義務に対応する必要があります。AIを活用した脆弱性診断サービスの導入は、こうした規制対応の一環としても検討する価値があります。
③AI技術提供元(OpenAI等)のデータ取り扱いポリシーの確認
自社の脆弱性情報・システム構成情報をAIサービスに提供する際は、データの保存期間・利用目的・第三者提供の有無などのデータ取り扱いポリシーを事前に確認することが重要です。
参考情報
この記事をシェアする
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ製品を手がける上場企業にて、SOC(セキュリティオペレーションセンター)運営およびWebアプリケーション脆弱性診断の営業に8年間従事。その後、システムエンジニアへ転身し、MDMや人事系SaaSの開発に携わる。
8年の実務経験と開発者としての知見を活かし、「セキュリティ対策Lab」ではダークウェブ調査、セキュリティインシデントの分析、および高度なセキュリティ対策解説の執筆・編集を統括しています。
LinkedIn(外部サイト)