ソフトバンクとオープンエーアイ、日本のサイバー防衛を重要インフラへ向ける

サイバー攻撃は、もはや画面の中だけの出来事ではない。航空機の出発、列車の運行、電力の需給、銀行の決済、港の荷役、病院の診療、工場の生産。社会を動かすほぼすべての現場が、情報システムと制御システムに結ばれている。そこへ生成型人工知能が入ってきた。コードを書く速度、脆弱性を探す速度、偽のメールを作る説得力、攻撃の自動化。そのすべてが変わりつつある。

6月16日、ソフトバンクグループ、ソフトバンク、そしてオープンエーアイとの合弁会社は、日本の重要インフラを守るための新しいサイバーセキュリティーサービスを発表した。名称は英語で「修復をサービスとして提供する」という意味を持つが、要点は単純である。企業のシステムを診断し、弱点を見つけ、修復計画を立て、実装まで支援する。狙いは、空港、交通、電力、通信、金融など、日本の暮らしを支える企業群である。

なぜ「修復」が主役になったのか

これまでのサイバー防御は、侵入を見つけること、通信を監視すること、不審な端末を止めることに重点が置かれてきた。もちろん、それらは今も必要である。しかし攻撃者が人工知能で弱点を探し、攻撃手順を自動化し、短時間で試行錯誤できるようになると、防御側に残された時間は短くなる。問題は「攻撃されるか」ではなく、「発見された弱点をどれだけ早く直せるか」になっていく。

ソフトバンクの発表が示す新しさは、サイバー防御を単なる監視ではなく、修復の実務へ寄せた点にある。診断だけでは社会は守れない。報告書だけでは空港は止まらない。必要なのは、古い装置、複雑な契約、止められない運用、限られた人材の中で、実際に弱点を閉じる力である。

重要インフラという日本の弱点

日本の重要インフラは、技術的に高度である一方、古い設備も多い。鉄道、電力、港湾、上下水道、医療、金融、放送、通信。多くの現場では、止められないシステムが長年使われ、更新のたびに慎重な調整が必要になる。インターネットに直接つながっていないから安全、という時代は終わった。保守用の接続、委託先の端末、遠隔監視、業務システムとの連携が、攻撃の入口になり得る。

政府もこの変化を認識している。2025年のサイバーセキュリティ戦略は、重要インフラ全体の水準を引き上げるため、共通基準に基づく改善の循環を強める方針を示した。港湾も重要インフラ分野に加えられ、海上物流のデジタル防御は経済安全保障の一部になった。日本にとって港は、輸出入だけでなく、エネルギー、食料、部品供給の入口でもある。

孫正義氏の「義務」という言葉

発表会で孫正義氏は、日本の重要インフラを守る体制をつくりたいと述べ、オープンエーアイの技術を防御に使うことを「義務」と表現したと報じられた。この言葉は、単なる商品発表の宣伝文句以上の意味を持つ。ソフトバンクは、通信会社であり、投資会社であり、人工知能インフラの大口投資家でもある。攻撃が人工知能で強くなるなら、人工知能の恩恵を受ける企業は防御にも責任を負う、という読み方ができる。

ただし、ここには緊張もある。民間企業が重要インフラの弱点を診断し、生成型人工知能が修復案を支援し、政府のサイバー政策と接続していく。便利である一方、説明責任、データ管理、誤検知、過剰な権限、特定企業への依存という問題も生まれる。サイバー防衛は速さを求めるが、民主社会は監視と権限に歯止めを求める。その両立こそが難しい。

人工知能は攻撃者の道具でもある

生成型人工知能は、防御側だけの道具ではない。攻撃者は、標的企業の公開情報を読み込み、自然な日本語の偽メールを作り、古い機器の弱点を調べ、攻撃コードの試作を速めることができる。従来なら高度な専門家に限られていた作業の一部が、より広い層に開かれつつある。

だからこそ、人工知能による防御は避けられない。ログの読み取り、設定ミスの発見、脆弱性情報の照合、修正手順の作成、影響範囲の推定、復旧優先順位の整理。人間だけでは追いつけない量の情報を、人工知能に補助させる必要がある。だが同時に、人工知能の提案をそのまま信じることも危険である。重要インフラでは、間違った修正が停止につながる。最後の判断は、現場を知る人間と組織が持たなければならない。

能動的サイバー防御の時代

日本は2025年、能動的サイバー防御に関する制度を大きく進めた。段階的に施行され、2027年に向けて本格運用へ向かう。狙いは、被害が出てから対応するだけでなく、攻撃の兆候を早くつかみ、官民で情報を共有し、重要インフラの被害を未然に抑えることである。

この制度の流れの中で見ると、ソフトバンクとオープンエーアイの取り組みは、単なる民間サービスではない。政府が制度を整え、民間が技術と人材を出し、重要インフラ企業が自社の弱点を見える化して直していく。その三者がつながらなければ、日本のサイバー防御は紙の上の計画に終わる。

空港、鉄道、電力、金融

空港が止まれば、人と物流が止まる。鉄道が止まれば、都市の通勤と観光が止まる。電力が乱れれば、工場、病院、冷蔵倉庫、通信基地局に影響が広がる。金融決済が混乱すれば、企業の支払い、個人の生活、国際取引が揺れる。重要インフラのサイバー攻撃は、企業の情報漏えいではなく、社会の時間を奪う攻撃である。

日本は高齢化し、人手不足が進み、地方の設備更新も重い課題になっている。サイバー人材は限られ、すべての企業が高度な専門家を抱えられるわけではない。だからこそ、人工知能を使った診断と修復支援は、専門家の不足を補う現実的な道になり得る。問題は、その品質をどう保証するかである。

千人規模の支援体制は何を意味するか

ソフトバンク側は、発表時点でおよそ50人が展開に関わり、将来的に約1000人へ広げる方針を示したと報じられている。これは、サイバー防御がソフトウェアだけで完結しないことを示している。人工知能モデルがあっても、顧客の現場を理解し、古い設備を調べ、運用停止を避け、経営陣に説明し、委託先と調整する人が必要である。

重要インフラのサイバー対策は、コードよりも組織の問題である場合が多い。誰が決めるのか。誰が予算を持つのか。古い機器を止めてよいのか。修正作業で事故が起きたら誰が責任を負うのか。人工知能は答えを速く出せるかもしれないが、実装は人間社会の中で行われる。

データ主権と外資技術の問い

この取り組みには、もう一つの論点がある。日本の重要インフラを守るために、米国発の最先端人工知能をどう使うのか。データはどこで処理されるのか。脆弱性情報は誰が見られるのか。モデルの判断は監査できるのか。外部の人工知能に頼りすぎることで、新たな依存を生まないのか。

これは反米でも反技術でもない。むしろ同盟国の技術を使うからこそ、ルールを明確にする必要がある。日本の企業、政府、通信事業者、人工知能企業は、便利さと主権、速度と透明性、集中と分散のバランスを取らなければならない。

日本企業の経営課題になる

サイバー対策は、情報システム部門だけの仕事ではなくなった。重要インフラ企業にとって、それは取締役会の議題であり、事業継続計画であり、保険であり、顧客との信頼契約である。攻撃を完全に防ぐことは難しい。だからこそ、どれだけ早く弱点を直し、被害を小さくし、社会機能を保つかが問われる。

ソフトバンクとオープンエーアイの発表は、華やかな人工知能ニュースであると同時に、日本企業への静かな警告でもある。生成型人工知能を業務効率化だけに使う時代は短い。攻撃者も使う。防御側も使う。経営者は、人工知能を便利な道具としてではなく、会社を守る基盤として考えなければならない。

日本の見えない防波堤

かつて日本の安全保障は、海と空の防衛で語られた。これからは、港の管理端末、空港の予約システム、送電網の監視画面、銀行の決済基盤、病院の電子記録も防衛の一部になる。そこには制服を着た兵士だけでなく、技術者、運用担当者、法務担当者、経営者がいる。

生成型人工知能は、サイバー攻撃の速度を上げる。同時に、防御の可能性も広げる。ソフトバンクとオープンエーアイの取り組みが成功するかどうかは、商品名では決まらない。弱点を実際に直せるか。現場の負担を減らせるか。社会を止めずに守れるか。そこに、日本の新しい防波堤がある。