サイバー攻撃がAIによって自動化・大規模化する時代に、ソフトバンクが選んだ答えは「AIで守る」でした。OpenAIの技術を使い、日本の重要インフラを担う企業の脆弱性を評価・修復するサービス「Patching as a Service」が始まります。孫正義氏が「危機」と語り、人員を50人から1,000人規模へ拡大するという本気度の裏側を、基盤技術から規制の動きまで掘り下げます。
ソフトバンクグループ(SoftBank Group Corp.、SoftBank Corp.、SB OAI Japan GK)は2026年6月16日、OpenAI のAI技術を活用したサイバーセキュリティソリューション「Patching as a Service」の提供開始を発表した。
これは、SB OAI Japan が提供する OpenAI の技術と SoftBank Corp. の運用ノウハウを組み合わせ、企業の脆弱性評価から修復計画の立案、導入アドバイザリーまでを支援するもので、日本においては SB OAI Japan GK を通じて提供される。SoftBank Corp. は、日本の重要インフラを支える対象企業に段階的に働きかけ、脆弱性評価の申し込みを受け付ける。
同社は OpenAI のサイバーセキュリティ技術を用いて自社の社内システムで大規模な脆弱性評価を実施しており、その知見を本サービスの展開に活用する。発表では孫正義、宮川潤一、サム・アルトマンがコメントを寄せた。
【編集部解説】
今回の発表で、まず押さえておきたいのは「Patching as a Service」という名称が与える印象と、実態とのあいだに少しだけ距離がある、という点です。リリースが説明しているのは、脆弱性の評価から修復計画の立案、導入アドバイザリーまでの支援であり、AIがパッチを全自動で当ててくれる魔法の箱ではありません。
むしろリリースは、脆弱性の評価・優先順位付け・修復計画の立案において、専門のサイバーセキュリティチームという人間の役割が引き続き重要だと明言しています。AIは作業を加速させる存在であって、判断の主体は人間側に残る、という構図です。
技術的な裏側にも触れておきます。SoftBank のリリースは具体的な製品名を明示していません。OpenAI が公開している近接領域の技術としては、2025年10月30日に発表され、2026年3月にはCodexへ統合されて「Codex Security」となった自律型セキュリティエージェント「Aardvark」があります。GPT-5 を基盤に、コードの脆弱性を検出し、悪用可能性の評価から修正案の提示までを行う設計です。
その Aardvark について、「golden(ゴールデン)」と呼ぶ検証用リポジトリでのベンチマークで、既知および人為的に埋め込んだ脆弱性の92%を検出したという数字が OpenAI から示されています。これは Patching as a Service の実測値ではなく、基盤技術の参考データという位置づけです。コードを実際に読み、サンドボックス内で再現を試み、修正案までつなげる——人間のセキュリティ研究者の手順をなぞる点が、従来型スキャナーとの違いです。
なぜ今このサービスなのか。背景には、攻撃側がすでにAIで武装し始めているという現実があります。サイバー攻撃のリスクは、攻撃者が侵害を高速化・大規模化するためにAIを使うことで増大しています。同じ技術が「矛」にも「盾」にもなる二面性のなかで、ソフトバンクは防御側への実装に踏み出した、と読めます。
このサービスを提供する SB OAI Japan は、OpenAI が50%、ソフトバンク側(C Holdings Corporation)が50%を出資する合弁会社です(C Holdings の内訳は SoftBank Corp. が51%、SoftBank Group Corp. が49%)。「ソフトバンク対 OpenAI が半々」という構造ですが、ソフトバンク側は中間持株会社を介して出資している点が実務上のポイントになります。
規模感も見ておきましょう。報道によれば、立ち上げに携わる人員は現在およそ50人で、これを約1,000人規模へ拡大する計画だと、ソフトバンク株式会社CEOの宮川潤一氏が16日のプレゼンテーションで述べています。対象についても、空港・電力・交通網など、日本の重要インフラを担う上位3,000社を狙うと報じられています(ただしリリース本文では「選定された対象企業」とあるのみで、具体的な社数までは明記されていません)。
この動きは、巨額の投資を「事業」へと転換する局面の象徴でもあります。報道によれば、ソフトバンクグループは OpenAI の最大級の出資者であり、2026年末時点での累計コミット投資額は646億ドル(原文:$64.6 billion)に達するとされます(1ドル=150円換算で約9兆6900億円)。出資して終わりではなく、SB OAI Japan を通じて自ら収益事業として運営する——投資家が運営者になる、という流れです。
潜在的なリスクも公平に見ておきます。ひとつは、防御の核となる高性能AIが攻撃側にも渡りうる「デュアルユース」の問題。もうひとつは、重要インフラの脆弱性情報という極めて機微なデータが、一企業の提供する基盤に集約されることへの懸念です。利便性と集中リスクは、つねに表裏一体だといえます。
規制・地政学の文脈も無視できません。ロイターは、米政府が先週、OpenAI の競合であるアンソロピックの Fable 5 および Mythos 5 モデルへの外国人のアクセスを、安全保障上の懸念から停止したと伝えています。高度AIが安全保障の対象として扱われ始めた今、「どの国の誰が、どのAIで重要インフラを守るのか」という問い自体が、政策の論点に浮上しつつあります。
長期的に見れば、これは「セキュリティの民主化」と「セキュリティの寡占化」が同時に進む入り口かもしれません。専門人材が慢性的に不足する日本で、AIが防御の底上げを担う意義は大きい一方、その守りを少数のプラットフォームに委ねる構図が定着するのかどうか。innovaTopia としては、華々しい発表の先にあるこの分岐点こそ、読者とともに見届けたいテーマだと考えています。
【用語解説】
Patching as a Service
ソフトバンクグループが2026年6月16日に発表した、企業向けサイバーセキュリティ支援サービスの名称である。脆弱性の評価から、修復計画の立案、導入アドバイザリーまでを一貫して支援する。名称に「パッチ(修正プログラム)」とあるが、AIが自動で修正を当てきるものではなく、人間の専門チームによる判断を前提とした支援サービスだ。
サイバーモデル(OpenAI のサイバーセキュリティ技術)
OpenAI が開発する、セキュリティ用途に特化したAIの総称としてリリースが用いている表現である。具体的な製品名までは明示されていない。
GPT-5
OpenAI が2025年8月に公開した大規模言語モデルで、Aardvark(現 Codex Security)の基盤技術である。タスクの複雑さに応じて内部のモデルを選び分ける仕組みを備える。
Fable 5 / Mythos 5
OpenAI の競合であるアンソロピック(Anthropic)が提供するAIモデルの名称である。ロイターによれば、米政府が安全保障上の懸念から、これらへの外国人のアクセスを停止したと報じられている。
【参考リンク】
SoftBank Group Corp.(企業サイト)(外部)
ソフトバンクグループの公式サイト。経営方針や各事業、IR情報など、本件の背景を一次情報でたどれる出発点となるページである。
OpenAI(公式サイト)(外部)
ChatGPTやGPT-5を開発する米AI企業の公式サイト。今回のサービスの基盤となるサイバーセキュリティ技術を提供する側である。
OpenAI「Introducing Aardvark」(外部)
自律型セキュリティエージェントAardvark(現Codex Security)の公式紹介ページ。検出から検証、修正提案までの仕組みを説明する。
SB OAI Japan 設立リリース(SoftBank Group)(外部)
本サービスの提供主体である合弁会社SB OAI Japanの設立(2025年11月)を伝える公式リリース。出資構成や事業内容も記載されている。
Anthropic(公式サイト)(外部)
解説に登場したFable 5・Mythos 5を開発する米AI企業アンソロピックの公式サイト。OpenAIの主要な競合の一社にあたる。
【参考記事】
SoftBank Stock: Japan Launches OpenAI Cybersecurity Patching Service(CoinCentral)(外部)
対象を重要インフラ上位3,000社とし、人員を約50人から1,000人へ拡大、累計投資額を2026年末で$64.6 billionと報じる記事。
SoftBank, OpenAI Patching as a Service Cybersecurity(CEO Today Magazine)(外部)
孫氏が脅威を機関銃の比喩で語った点や、累計投資額$64.6 billion、人員拡大を整理し、投資家が運営者へ転じる構図を論じた記事。
OpenAI Launches Aardvark GPT-5 Agent to Automatically Detect and Fix Vulnerabilities(Cyberpress)(外部)
Aardvarkがベンチマークで脆弱性の92%を検出した点や、2024年に4万件超のCVEが報告された点を伝える基盤技術の解説記事。
SoftBank Launches OpenAI-Built Cybersecurity Service(TechEconomy)(外部)
攻撃者によるAI悪用でリスクが増している背景や、対象が重要インフラ関連の選定企業で、働きかけが段階的に始まる点を説明する記事。
【関連記事】
OpenAIが発表したAardvark:GPT-5が脆弱性を自動発見・パッチングする時代へ
今回のサービスの基盤にあたるOpenAIの自律型セキュリティ技術Aardvark(現Codex Security)を単体で詳しく解説した記事。
Anthropic Fable 5・Mythos 5停止、日本の金融防衛にも影響か|AI主権という宿題
本記事が触れた米政府の規制が、日本のインフラ防衛とAI主権に投げかける課題を論じた記事。「誰のAIで守るか」を深掘りできる。
金融庁×Anthropic・OpenAI・Google、AI脅威に挑む官民作業部会発足|Claude Mythos時代の金融防衛戦略
日本の重要インフラ防衛を官民連携で進める動き。民間主導の本サービスと対比して読める関連記事である。
【編集部後記】
「攻撃にAIが使われるなら、守りにもAIを」という発想は、とても自然に響きます。けれども、その守りを誰の、どのAIに託すのか——そこには思いのほか重い問いが隠れているように感じます。
みなさんがお使いのサービスや、お勤め先のシステムも、こうした流れとどこかでつながっているかもしれません。攻撃と防御がAI同士で加速していく時代に、私たちは何を基準に「安心」を選んでいくのか。この問いを、読者のみなさんと一緒に考え続けていきたいと思っています。
