AIモデルを活用したソフトウェア脆弱性の発見が広がるなか、悪用リスクへの警戒も強まっている。こうした状況を受け、AnthropicやOpenAI、Palo Alto Networksは相次いで対策を打ち出した。各国政府や金融機関の間でも、高性能なAIサイバーセキュリティモデルへのアクセスを確保しようとする動きが広がっている。

Anthropicは4月、主要企業・機関が同社のAIモデル「Mythos」を使って脆弱性の発見や対応を進められるよう支援する「Project Glasswing」を発表した。OpenAIも、AIを活用して脆弱性の特定やパッチ検証、セキュリティ強化を加速するサイバーセキュリティ施策「Daybreak」を打ち出した。

Palo Alto Networksは、先端AIモデルを活用してサイバー脅威に対処する「AI Defense（Frontier AI Defense）」イニシアチブを発表した。AIネイティブのセキュリティプラットフォームに、Unit 42のコンサルティングや脅威対応の知見、戦略パートナーを組み合わせ、AI起因の脅威への対応力を高める方針だ。

実際に、AnthropicのMythosやOpenAIの「GPT-5.5 Cyber」を使ってソフトウェア脆弱性を検出した事例も報告されている。Palo Alto Networksは、両社の高性能AIサイバーセキュリティモデルを導入してから1カ月で、自社製品から75件の脆弱性を発見したと説明した。月平均の発見件数である5～10件を7倍超上回る水準だという。

一方で、Mythosの脆弱性発見能力については、評価ほど高い性能は確認できないとの見方もある。

AIモデルを攻撃に使う動きへの懸念も強い。Googleは、サイバー犯罪者がAIを使ってゼロデイ脆弱性を発見し、攻撃に転用した初の事例を確認したと明らかにした。Mythosが数千件のソフトウェア脆弱性を発見したとされ、世界の銀行やテクノロジー企業、政府の警戒感が高まるなか、セキュリティ専門家からは「同様の能力は既存モデルでも再現可能だ」との指摘も出ている。

MythosやGPT-5.5 Cyberへのアクセス確保をめぐっては、各国の動きも加速している。韓国政府も対応を急いでおり、科学技術情報通信部はAnthropicのサイバーセキュリティ協議体「Project Glasswing」への参加を打診しているという。政府は早ければ5月末にも、AI起因のサイバーセキュリティ脅威に関する総合対策を公表する見通しだ。

欧州連合（EU）では、OpenAIの「GPT-5.5 Cyber」へのアクセスについて協議が進む一方、AnthropicはMythosをEUでは公開していない。日本でも、3メガバンクが近くMythosへのアクセス権を確保する見通しだと報じられている。

国際通貨基金（IMF）は、MythosのようなAIモデルを個別金融機関の運用課題としてではなく、金融システム全体に関わるシステミックリスクとして捉える必要があると指摘した。

関連動向として、Palo Alto Networksは、人、マシン、AIエージェントのアイデンティティを単一の権限アクセス管理フレームワークで統合管理するアイデンティティセキュリティプラットフォーム「Idira」を発表した。Ciscoは、LLMを使ったITシステムのセキュリティ評価を標準化する「Foundry Security Spec」をオープンソースとして公開した。

また、侵害の封じ込めを手がけるIllumioは、企業のサイバーセキュリティ課題として「ラテラルムーブメント（横移動）」の危険性を強調した。攻撃者の移動経路を可視化し、侵害の拡大を防ぐため、マイクロセグメンテーションをゼロトラスト戦略の中核に据えるべきだと訴えている。

Googleは、Androidにスパイウェア侵害の痕跡を記録・分析できるセキュリティ機能「Intrusion Logging」を導入する。

NH農協銀行は、金融セキュリティ院とデジタル資産サービスの技術検証およびセキュリティ強化に向けた業務協約（MOU）を締結した。

このほか、今年下半期からは、主要公共システムと大規模な個人情報を扱う約1700の高リスクシステムを対象に定期点検が実施される。個人情報保護に先行投資した企業・機関には、相応のインセンティブも付与する。個人情報保護委員会は、こうした内容を盛り込んだ「予防中心の個人情報管理体制への転換計画」を、大統領主宰の国務会議で報告した。