背景と概要
日立製作所は2026年6月5日、AnthropicのAI活用サイバーセキュリティプログラム「Project Glasswing」への参画契約を締結し、一般公開されていないフロンティアAIモデル「Claude Mythos Preview」へのアクセス権を取得すると発表した。Claude Mythosは2026年4月7日に発表されたモデルで、CyberGymベンチマーク83.1%を記録し、OpenBSDで27年間・FFmpegで16年間潜伏していた脆弱性を発見するなど、最高水準の脆弱性発見能力を持つ。Anthropicはサイバー攻撃への悪用リスクを理由に一般公開を見送っており、防衛目的のパートナー企業・政府機関のみに限定提供している。日立は専門組織「Cyber CoE」がMythosを活用し、エネルギー・交通などの社会インフラ向けソフトウェアの脆弱性特定と修正に取り組む。なお5月19日に締結した戦略的パートナーシップでは、グループ約29万人へのClaude展開と約10万人のAI人材育成、「Frontier AI Deployment Center」の設立も発表済みで、今回のMythosアクセスはその安全保障面での発展形と位置づけられる。
本質的な課題
日本の重要インフラ(電力・鉄道・金融・製造)を支えるソフトウェアは、数十年前に設計されたレガシーコードを内包したまま稼働しており、従来の人手によるコードレビューやペネトレーションテストでは発見が困難なゼロデイ脆弱性が大量に潜在している。Claude Mythosに代表されるAI世代の脆弱性探索ツールが悪意ある勢力に渡れば、単一の標的を攻撃するのではなく日本のインフラ全体を同時かつ自動的に危機に晒す「AIスケールのサイバー攻撃」が現実化し、従来型の防衛策は無力化される。
日本市場における障壁
人材・組織のサイロ化
日本の大手SIerや重要インフラ企業では、IT部門とOT(運用技術)部門が縦割り構造で分断されており、最先端AIを用いた統合的な脆弱性管理を担える人材が極端に不足している。Anthropicとの共同チームを100人規模で立ち上げる日立のアプローチは例外的であり、大多数の中小インフラ事業者には同様の体制構築は当面困難である。
規制・調達の硬直性
重要インフラ分野では政府調達や安全基準への適合が必須であり、外資系AIモデルの本番環境導入には経済安全保障推進法上のリスク審査や経産省・総務省との調整が伴う。Project Glasswingへの参画可否も政府の意思決定スピードに左右され、民間企業が単独で動ける余地は制度的に狭い。
レガシーシステムへの依存とリスク許容度の低さ
日本の電力・交通・金融インフラの中核を成すシステムは24時間365日無停止運用が求められるため、AIによるコード解析・修正を本番環境に適用する際の変更管理コストと心理的障壁が非常に高い。脆弱性を発見しても「修正による副作用リスク」を嫌ったまま放置されるケースが生まれやすく、Mythosの能力を活かしきれない運用上のボトルネックが生じる。
影響を受ける産業
この変化の影響は一部の業界にとどまらない。とりわけ電力・エネルギー(送配電・原子力監視システム)、鉄道・交通インフラ(信号制御・運行管理システム)、金融(銀行基幹系・決済インフラ・証券取引所)、製造・サプライチェーン(産業用制御システム・SCADA)、医療・病院情報システム(電子カルテ・医療機器ネットワーク)、大手SIer・ITゼネコン(レガシー保守・セキュリティ監査ビジネス)といった領域では、既存のビジネスモデルや競争構造の見直しを迫られる可能性が高い。
今後のシナリオ
楽観シナリオ
「AIシールド列島」——日本が国産AIセキュリティの輸出国へ
日立・NEC・富士通・3メガバンクが横断的なProject Glasswing知見を統合し、日本版「AIサイバー防衛コンソーシアム」が形成される。政府の旗振りのもとClaude Mythosレベルのモデルを活用した脆弱性情報共有基盤が整備され、重要インフラの自動パッチ適用サイクルが飛躍的に短縮する。さらに培われたノウハウがASEAN・欧州の社会インフラ向けセキュリティソリューションとして輸出され、日本はAIサイバー防衛の実証フィールドから技術輸出国へと転換する。
現実シナリオ
「大手先行・段階的波及」——2〜3年かけて産業全体へ標準化
日立・NEC等のメガSIerが2026年内にMythosを活用した自社インフラのセキュリティ強化を完了し、そのベストプラクティスが顧客向けサービスとして商品化される。政府は経済安全保障の枠組みで「AIを用いた脆弱性診断サービス」の調達基準を整備し、2027〜2028年にかけて地方インフラ・中小金融機関への普及が進む。ただしレガシーシステムの修正コスト・人材不足が足枷となり、発見された脆弱性の完全修正には5年以上を要するケースが多発する。
悲観シナリオ
「アクセス格差」が生む二極化——中小インフラの無防備化
Claude MythosへのアクセスがProject Glasswing参画企業(大手数社)に限定される状況が長期化し、アクセス権を持たない中小インフラ事業者・地方自治体のシステムが攻撃側のターゲットになる構造的格差が生まれる。一方で悪意ある国家アクターや犯罪組織がMythos同等の能力を独自開発・入手し、防御側が追いつけない非対称戦争が慢性化する。国内規制の硬直性から脆弱性情報の公開・共有が遅延し、発見から修正まで数ヶ月を要するギャップが常態化する。
編集部の見立てでは、これらの動きが日本市場へ本格的に波及するまでには、 およそ既に到達済み(2026年6月時点で日立・3メガバンクが参画)、中小インフラ事業者への波及は6〜12ヶ月を要すると考えられる。
日本市場での事業機会
AI脆弱性診断BaaS(Bytes-as-a-Service)——中小インフラ事業者向けMythos代替SaaS
Project Glasswingに参画できない中小電力会社・地方鉄道・地銀向けに、Claude Mythos相当の脆弱性発見能力をAPIで提供するクラウドサービスを構築するスタートアップ機会。日立・NECが蓄積したMythos活用ノウハウをOEM供与または独自オープンソースモデルで代替し、月額SaaS型で重要インフラのコード自動スキャン・レポーティング・修正優先順位付けを提供する。経済安全保障審査を通過した国産クラウド基盤(さくらインターネット等)上で構築することで、外資系AIへの依存懸念を回避できる。
OT×AI脆弱性ナレッジグラフ——産業制御システム特化の攻撃シミュレーション基盤
日本の製造業・エネルギー業に特有のSCADA・PLCシステムのコード・構成情報とClaude Mythosが発見した脆弱性パターンをナレッジグラフとして統合し、攻撃経路を可視化するB2Bプラットフォームを構築する。既存のSOC(セキュリティオペレーションセンター)ツールと連携し、「AIが発見→人間が判断→自動修正候補提示」というワークフローを完結させる。横河電機・オムロンなどOTベンダーとの共同開発でドメイン知識を補完し、グローバルの製造業向けにも展開できる。
「サイバー免疫ドック」——AIによる企業インフラの定期健診サービス
人間の健康診断をモデルにした法人向けサービス。Mythos相当のAIが企業のソフトウェア資産を年1〜4回定期スキャンし、脆弱性リスクスコア・業界偏差値・修正ロードマップをレポートとして提供する。経営層向けに「サイバーセキュリティ格付け」を可視化し、取締役会への報告資料として活用可能にする。金融庁・経産省が策定中のAIサイバーリスク開示規制に対応したコンプライアンスツールとしても訴求でき、上場企業のガバナンス需要を取り込める。
戦略的アクション
経営層が取るべき行動
【今後90日以内の優先行動】①自社の重要インフラ向けソフトウェア資産の棚卸しを実施し、Mythosレベルのスキャン対象となるコードベースの範囲と優先順位を経営レベルで確定せよ。②Project Glasswingへの参画可否を法務・コンプライアンス・経済安全保障担当と連携して判断し、参画しない場合でも代替スキャンサービスの調達ロードマップを策定すること。③Cyber CoEまたは相当するセキュリティ専門組織の権限・予算・人員を2倍以上に強化し、AIと人間のハイブリッドSOC体制への移行計画を取締役会に提案する。④競合他社(日立・NEC・トレンドマイクロ)がMythos活用で先行する中、自社のセキュリティ対応の遅延が顧客・株主・規制当局への信用リスクになることをリスクマトリクスに明示的に組み込め。
エンジニアが取るべき行動
【技術者が今すぐ着手すべき5つのアクション】①Claude Code・Claude Opus 4等の現在アクセス可能なAnthropicモデルを使ったコード脆弱性スキャンのPoC(概念実証)を社内で構築し、Mythos導入前の準備基盤を整えよ。②OWASP・CVEデータベースとLLMを組み合わせた自動脆弱性分類パイプラインをCI/CDに組み込む実験を開始し、人手レビューとの差分を定量化せよ。③Project Glasswingの公開レポート(初期50組織の1万件超の脆弱性候補発見事例)を精読し、自社システムに類似するアーキテクチャ(Linux基盤・ファイアウォールOS)の既知パターンを先行チェックせよ。④AIエージェントが自律的にコードを修正するワークフローの設計パターン(Human-in-the-loop必須箇所の定義)を社内標準として整備し、誤修正によるシステム障害リスクを管理可能な状態にせよ。⑤Anthropic・NIST・英国AISIが公開しているフロンティアAIのサイバー評価フレームワークを自社のセキュリティ標準に統合し、次世代モデル登場時にも迅速適用できる評価体系を構築すること。



