ソフトバンクとOpenAIが2026年6月、AIで企業のセキュリティの弱点を自動で見つけ、自動で修復するサービスを発表した。電力・鉄道・空港など日本のインフラを支える企業約3000社が対象だ。この発表が生まれた理由は、ソフトバンク自身が「実験台」になって自社システムを調べた結果にある。
ソフトバンクの自社検証で穴が4000件
ソフトバンクは毎月5万回のサイバー攻撃(インターネット経由で不正に侵入しようとする行為)を受け、すべて防いできた実績を持つ。日本有数のIT企業として、セキュリティには自信があった。
その同社が、OpenAIの人工知能を使って自社の重要システム約700件の安全性を調べた。結果、セキュリティ上の「穴」(専門的には「脆弱性」と呼ぶ)が合計1万500件見つかった。そのうち約4000件は「早急に直さなければならない深刻な穴」だった。
月5万回の攻撃を防いできた企業が、AIで自社を調べたら深刻な穴が4000件見つかった。これは技術力がない会社の話ではない——日本有数のIT企業でこの数字が出たという事実が、「穴はどの会社にもある、ただ見えていないだけ」という現実を示している。
AI攻撃が「竹槍」から「機関銃」に
その背景には、攻撃する側の急激な変化がある。
孫正義会長は今回の発表でこう語った。「人間がやる従来の攻撃は竹槍だ。AIによる攻撃は、全方位からの機関銃になる」。
竹槍とは、人間が1つずつ手作業でシステムの弱点を探し、試みる攻撃だ。機関銃とは、AIが何千もの弱点を同時に、猛烈な速さで繰り返し突いてくる攻撃を指す。その差が、今まさに広がっている。
ソフトバンクのモバイル事業だけで、2025年度は月3億件の「偵察行為」が検知された。偵察行為とは攻撃の前段階にあたる——「ここに弱点はないか」とシステムを探り続ける動きだ。これだけの量になると、人間の目で追うことはもはやできない。
世界全体で見ると、サイバー犯罪による被害額は年間10.5兆ドル(約1,575兆円)に達するとの推計がある(米調査会社Cybersecurity Ventures)。AIを使った攻撃の増加が、その主な押し上げ要因とされている。
攻撃する側がAIを手にした以上、守る側もAIを使わなければ間に合わない——ソフトバンクが4000件の穴と向き合ったあとに出した結論は、そこにある。
AIが穴を見つけ、どう直すかまで提案する
ソフトバンクとOpenAIが共同で設立した合弁会社「SB OAI Japan」は、この経験をそのままサービスに変えた。名前は「Patching as a Service(パッチング・アズ・ア・サービス)」。「パッチ」とは、プログラムの穴をふさぐ修正データのことだ。
これまでの診断サービスは「穴がここにあります」と報告して終わりだった。どう直すか、ちゃんと直ったかを確認するのは人間の専門家の仕事で、そこに時間と費用がかかっていた。パッチング・アズ・ア・サービスは、穴の発見から修正プログラムの作成、正しく直ったかのテストまでをAIが一貫して代行する。人間が手を動かしていた部分を、まるごと自動化した。
効果はソフトバンク自身が証明している。自社システムにこのサービスを使ったところ、あるシステムでは未解決の穴が22件から11件、7件、5件へと段階的に減っていった。診断と修正を繰り返すたびに数が減る——その積み重ねが、このサービスの核心だ。
対象は電力・金融・通信・空港・鉄道など、暮らしを支えるインフラ企業約3,000社。まず重要度の高い約300社から提供を始め、2026年内に全体への展開を目指す。
あわせて、初回の脆弱性診断を無料で受けられる体制を整える。セキュリティ専門の技術者を1,000人規模で増やす計画も発表された。
