ソフトバンク、OpenAIのAIを活用したセキュリティソリューション「PaaS」を提供　脆弱性の検出から修正までを自動化

　ソフトバンクグループ（ソフトバンクグループ株式会社、ソフトバンク株式会社およびSB OAI Japan合同会社）は、フロンティアAIモデルによって企業システムの脆弱性を検出し修正するサイバーセキュリティ対策ソリューション「Patching as a Service（PaaS）」の提供を、6月16日に開始した。

Patching as a Service（Patching as a Service）

　“Patching”の名のとおり、脆弱性の診断と、それに対する修正の2段階で対応する。OpenAIのサイバーセキュリティに特化したAIモデル「GPT-5.5-Cyber」や、AIによって脆弱性の特定からパッチ修正・検証までを行う「Daybreak」などを用いる。

　まずは、システムが止まると社会活動が止まってしまうような社会の重要インフラ企業3000社を対象とし、「願わくば、年内に一気に開始していきたい」と、ソフトバンクグループ株式会社の孫正義氏（代表取締役 会長兼社長執行役員）は語った。

　同日、ソフトバンクはそうした重要インフラ企業を招待したイベントを開催し、その場で「PaaS」が発表された。イベントに参加した企業には、無償提供する（最大2億行）とのことだった。

PaaS提供開始

OpenAIの技術とソフトバンク株式会社の運用ノウハウを組み合わせる

脆弱性の診断と、それに対する修正の2段階

まずは重要インフラ企業に提供

ソフトバンク自身のシステムで試して1万500件の脆弱性を発見

　ソフトバンクグループ株式会社の孫正義氏（代表取締役 会長兼社長執行役員）は、開口一番、「日本にとって黒船の襲来以来の大変な危機になると心配している。黒船はその時代で最も進んだ技術だったが、今回はそれがAIの最先端モデルだ」と語った。

　AnthropicのClaude Mythosに端を発した、フロンティアAIモデルのシステム脆弱性発見によってサイバー攻撃のリスクが急増する問題だ。孫氏は従来のサイバー攻撃は人間による攻撃で「いわば竹槍」だったのが、AIによって悪意のある人や組織が「機関銃のように攻撃してくる」と指摘。これに対して、OpenAIとの協力によって「日本を守っていく」と孫氏は述べた。

　孫氏は、モバイル通信事業などを行っているソフトバンクでは2025年に、不正侵入の試行が月6万件、偵察行為が月3億件起きていることを紹介。そのうえで、それでも破られていないと語った。

　この実績に自信を持っていたというが、カスタマーゼロとして自社システムに今回のAI脆弱性検出を実行してみたところ、1万500件の脆弱性が見つかったという。

ソフトバンクグループ株式会社の孫正義氏（代表取締役 会長兼社長執行役員）

ソフトバンクへのサイバー攻撃件数

ソフトバンク自身を診断してみたら1万500件の脆弱性が検出された

扱える技術者を1000人まで増やし、利用企業に入り込んで指導

　自社の診断の内訳としては、ソフトバンクの約1800のシステムのうち、自社でソースコードを管理している700システムを対象にしたと、ソフトバンク株式会社の宮川潤一氏（代表取締役 社長執行役員 兼 CEO）は説明した。

　このシステムに対し6月2日から、フロンティアAIモデルのGPT-5.5-Cyberや、セキュリティ拡張機能のCodex Security、ユーザーインターフェイスのCodexなどを使って、脆弱性診断と修正提案を実行した。見つかった脆弱性の中でも、早急にパッチをあてるべきものが約4000件あったという。

　ひとつ興味深いのが、その修正の過程の説明だ。700システムのうち2システムでの事例として、まず22件の脆弱性が発見された。それを修正して再度検査したところ、今度は新たに11件が発見された。さらにそれを修正して検査すると7件、その修正後に検査するとさらに5件と、修正を重ねても新たに脆弱性が発見されるという。これは、リンゴの実が成っているのを採るようなもので、AIはまず採りやすいものから採り、その後はまた違うものを採ってくる、という説明だった。

　「これに終わりがあるかどうかも含め、われわれがモルモットとなって実績を作って発信していきたい」（宮川氏）。

　宮川氏が危惧するのが、GPT-5.5-CyberやClaude Mythosのようなフロンティアモデルと同様のオープンモデルが登場するまでの時間だ。LLMとしてGPT-3が出てからオープンモデルが出るまでが3年。画像生成モデルはその半分の1年半、動画生成モデルはさらにその半分近い10カ月だった。「サイバーモデルが出るまで、ひょっとしてこの法則のとおりだとすると、5カ月かもしれない。それまでに早く防御策に着手しなければいけない」（宮川氏）。

　PaaSを扱える技術者は、現在50人だという。「これを1000人まで増やしたい。現地の会社に入り込ませていただき、これを使えるようにいっしょにご指導させていただく」（宮川氏）

ソフトバンク株式会社の宮川潤一氏（代表取締役 社長執行役員 兼 CEO）

ソフトバンク自身の診断

診断結果

検出して修正した結果、また新たな脆弱性が検証されたという例

オープンモデルが出てくる危惧

エージェントが検出からパッチ作成、検証までするデモ

　Daybreakのデモも、SB OAI JapanのCTOで、OpenAIのGlobal Head of Forward Deployed EngineeringであるColin Jarvis氏により行われた。

　Jarvis氏はまず、「Daybreakは単一のプロダクトではない」として、モデルと、サービス、そして調査や検証・修正などのワークフローの3つからなると説明した。

　実際の作業は、検出、優先順位付け、検証、パッチ作成、適用後検証の5段階をカバーする。

　デモでは、銀行のローン申請サービスを題材にセキュリティ検査を実行し、いくつもの脆弱性が発見された。それらの脆弱性をエージェントが優先順位付けして、その中でもSQLインジェクションを選んで検証を実行したところ、顧客データにアクセスできてしまうことがわかった。

　続いてエージェントが修正パッチを作成。それを人間が承認して適用して、回帰テストも実行されて成功を確認。さらに本番環境のコピーで再度実行して、SQLインジェクションがブロックされたことが確認された。

SB OAI Japan CTO / OpenAI Global Head of Forward Deployed EngineeringのColin Jarvis氏

Daybreakの3要素

5段階の作業

デモ対象の銀行のローン申請サービス

セキュリティ検査を実行

エージェントが優先順位を付けた中からSQLインジェクションの問題を選ぶ

SQLインジェクションによって顧客データが表示されてしまう

修正パッチが提案される

修正パッチの適用を確認

回帰テストが成功

修正されて顧客データが表示されないことを確認