GPT-5.4-CyberとClaude Mythos|AIがサイバー攻撃から企業を守る時代が始まった
2026年4月、サイバーセキュリティの世界に大きな転換点が訪れました。OpenAIがGPT-5.4-Cyberを、AnthropicがClaude MythosをProject Glasswingとして相次いでリリースし、「AIが企業を守る」時代が本格的に始まっています。
従来のセキュリティ対策は、人間のエンジニアが脆弱性を発見し、パッチを当てるという流れでした。しかし、AIが数千件のゼロデイ脆弱性を自律的に発見できるようになった今、攻撃側も防御側もAIを活用する「AI vs AI」の構図が現実になっています。
この記事では、2つのAIセキュリティモデルの特徴と、中小企業がこの変化にどう備えるべきかを解説します。
GPT-5.4-Cyberとは──OpenAIの防衛特化モデル
GPT-5.4-Cyberは、OpenAIが2026年4月15日に公開した防衛用サイバーセキュリティ特化モデルです。GPT-5.4をベースに、セキュリティタスク向けにファインチューニングされています。
通常のAIモデルは、脆弱性の調査やエクスプロイトの解析といった「セキュリティ上デリケートな質問」を拒否する傾向があります。GPT-5.4-Cyberはこの制限を緩和し、正当な防衛目的での利用を可能にしました。
主な機能
- バイナリリバースエンジニアリング:ソースコードがなくても、コンパイル済みソフトウェアのマルウェア分析や脆弱性調査が可能
- 脆弱性チェーンの分析:攻撃手法やエクスプロイトチェーンに関する質問に回答し、防御策の構築を支援
- デュアルユースクエリへの対応:標準モデルでは有害と判定される質問にも、防御目的なら回答できる
アクセス方法
OpenAIはTrusted Access for Cyber(TAC)プログラムを通じて、数千人の認証済みセキュリティ研究者やチームにアクセスを提供しています。個人の研究者はChatGPTから申請でき、企業チームはOpenAIのセールスチャネル経由で利用可能です。
Claude Mythosとは──Anthropicの最強セキュリティAI
Claude Mythosは、Anthropicが開発した最新の汎用AIモデルで、コーディングとエージェント的タスクに特に強い性能を持ちます。そのセキュリティ能力は衝撃的です。
ゼロデイ脆弱性の大量発見
AnthropicがClaude Mythosを使って調査したところ、すべての主要OSとすべての主要Webブラウザで数千件のゼロデイ脆弱性(開発者にも知られていなかった欠陥)が発見されました。
特に注目されたのは、FreeBSDに存在した17年間未発見のリモートコード実行脆弱性(CVE-2026-4747)です。Mythosはこの脆弱性を完全に自律的に発見し、インターネット上の認証されていないユーザーがサーバーの完全な制御権を取得できることを実証しました。
Project Glasswing
AnthropicはMythosの能力を責任ある形で活用するため、Project Glasswingというイニシアチブを立ち上げました。AWS、Apple、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksなど、約40の主要テック企業が参加しています。
Anthropicはこのプロジェクトに最大1億ドルの利用クレジットと、オープンソースセキュリティ組織への400万ドルの寄付を約束しています。
2つのモデルの比較──アプローチの違い
GPT-5.4-CyberとClaude Mythosは同じ「AIでサイバー防衛を強化する」という目標を掲げていますが、アプローチが大きく異なります。
OpenAI:広くアクセスを開放
OpenAIは、認証済みの研究者やセキュリティチームに幅広くアクセスを提供する方針です。数千人規模のセキュリティ専門家がGPT-5.4-Cyberを使えるため、多くの組織が自社のシステムを検査できます。
Anthropic:厳格にアクセスを制限
AnthropicはMythosのアクセスを約40社の重要インフラ企業に限定しています。Mythosの脆弱性発見能力が極めて高いため、悪用リスクを最小化する狙いです。「最も重要なシステムを先に防衛し、その後に広げる」という段階的なアプローチを取っています。
共通する懸念
どちらのモデルにも「デュアルユース問題」が存在します。防衛用にファインチューニングされたモデルが、攻撃者の手に渡れば脆弱性の発見と悪用に転用される可能性があります。両社ともアクセス制御やガバナンス体制でこのリスクに対処していますが、セキュリティ業界では議論が続いています。
中小企業への影響──なぜ他人事ではないのか
「うちは大企業じゃないから関係ない」と思うかもしれません。しかし、AIによるセキュリティの変化は中小企業にも確実に波及します。
攻撃の自動化が進む
AIが脆弱性を自動で見つけられるということは、攻撃者側も同じ技術を使えるということです。これまで大企業を狙っていた高度な攻撃が、コストの低下とともに中小企業にも向かう可能性があります。
利用しているソフトウェアが対象
Mythosが発見した脆弱性は、主要OSやWebブラウザなど広く使われているソフトウェアに存在していました。中小企業が日常的に使っているシステムが対象である以上、パッチの適用やソフトウェアの更新はこれまで以上に重要になります。
セキュリティ製品がAI対応に進化する
GPT-5.4-CyberやMythosの技術は、やがて市販のセキュリティ製品にも組み込まれます。CrowdStrikeやPalo Alto NetworksがProject Glasswingに参加しているのはその布石です。中小企業がこうした製品を導入すれば、AIの恩恵を間接的に受けられます。
今すぐできるセキュリティ対策3つ
AIセキュリティモデルを直接使えなくても、中小企業が今すぐ取り組めることがあります。
- ソフトウェアの自動更新を有効にする:OS、ブラウザ、業務アプリケーションの自動更新を必ず有効にしてください。AIが発見した脆弱性のパッチが配布されたとき、すぐに適用できる体制が最大の防御です
- 多要素認証(MFA)を全アカウントに導入する:パスワードだけの認証は、AIが自動化する攻撃に対して脆弱です。Google Authenticatorなどの多要素認証を、メール、クラウドストレージ、業務システムすべてに設定してください
- バックアップの3-2-1ルールを実践する:データを3つのコピーに、2種類の媒体で、1つはオフサイトに保管します。ランサムウェア攻撃を受けても、バックアップがあれば事業を継続できます
まとめ:AIセキュリティ時代に企業が備えるべきこと
GPT-5.4-CyberとClaude Mythosの登場は、サイバーセキュリティが「人間の専門家だけが守る時代」から「AIが最前線で防衛する時代」に移行したことを示しています。
中小企業にとって重要なのは、AIセキュリティモデルを自社で運用することではありません。AIが発見した脆弱性に対するパッチを素早く適用し、基本的なセキュリティ対策(自動更新、MFA、バックアップ)を徹底することが、この新しい時代の最善の防御策です。
株式会社Sei San Seiでは、中小企業のセキュリティ体制の見直しやDX推進を支援しています。システムの安全性に不安がある方は、お気軽にご相談ください。