背景と概要
Anthropicは2026年春、ゼロデイ脆弱性(未発見のソフトウェア欠陥)を自律的に発見・証明できる汎用AIモデル「Claude Mythos」を開発した。公開前評価では、主要OS・ブラウザ全般にわたる数千件の未知脆弱性を検出し、セキュリティ強化で定評あるOpenBSDにおける27年間未発見の欠陥まで特定。Anthropicは一般公開せず、重要ソフトウェア基盤を保有する50社のサイバーセキュリティ専門家に限定提供する「Project Glasswing」を立ち上げた(ホワイトハウスが50社から120社への拡大を阻止)。ところが公開から2週間も経たないうちに、マイアミ近郊出身の22歳・独学開発者Kye Gomezが、MythosをRecurrent-Depth Transformer(小規模なレイヤースタックをフォワードパスごとに複数回再帰実行する設計)と推定し、その構造を再現した公開プロジェクト「OpenMythos」をGitHubに公開。数週間で10,000以上のスターを獲得した。OpenMythosはノートPC上でも効率的な版を訓練・実行可能としており、巨大データセンターへの長期依存に疑問を投げかける。Anthropicはこの間、二次市場での評価額が1兆ドル(約150兆円)に達し、900億ドル調達ラウンドの交渉も進行中(Forbes Japan、2026年5月5日報道)。
本質的な課題
大規模計算リソースを保有する一握りの企業によるAI技術の独占が構造的に崩れつつある。フロンティアAIの核心アーキテクチャが独学の22歳開発者によって数日で推測・再現された事実は、「巨額R&D投資による技術的参入障壁」という従来のAI競争モデルが機能不全に陥っていることを示す。同時に、人間の専門家では見落とし続けた数十年来のセキュリティ脆弱性をAIが自律発見できる段階に達したことで、サイバー攻防の非対称性が根本から変化している。
日本市場における障壁
法的グレーゾーン:AIによる自律的脆弱性スキャンと不正アクセス禁止法の抵触リスク
自社システムへのAI支援ペネトレーションテストであっても、「不正アクセス禁止法」「電気通信事業法」との整合性について監督官庁との解釈調整が必要となるケースがある。特にClaude Mythosが行うような「本番環境での自律的エクスプロイト検証」は、実施主体と対象システムの所有関係が不明確な場合、法的リスクが顕在化する。経産省・IPAによる明確なガイドライン整備なしには、大企業の法務部が導入を拒否する事態が続発すると予測する。
セキュリティ脆弱性の「公開回避」文化と情報共有の阻害
日本企業は自社システムの脆弱性情報の公開に強い拒否反応を持つ傾向があり、「レピュテーションリスク」を恐れてIPAへの届出すら躊躇する事例が多い。AIが大量の脆弱性を短期間で発見した場合、その結果をどこまで開示するかの意思決定プロセスが制度化されておらず、発見した脆弱性を放置するという最悪のシナリオを招く可能性がある。
ローカル実行可能AIと国内GPU資源の不足
OpenMythosがノートPC上での実行を可能にするとはいえ、エンタープライズ級の本格的なセキュリティスキャンには相当の計算資源(A100/H100相当GPU)が依然として必要である。日本国内のGPUクラウドインフラ(さくらインターネット等)は米国勢と比べて価格・性能で劣後しており、国内中小企業が高品質なAIセキュリティ診断を利用可能なコストで調達できる環境整備に1〜2年を要する。
影響を受ける産業
この変化の影響は一部の業界にとどまらない。とりわけ国内ペネトレーションテスト専業会社(NRIセキュア・LAC・セキュアスカイテクノロジー)の人力診断サービス(国内市場規模:約1,200億円)、SIer主導の定期セキュリティ診断事業(富士通・NTTデータ・日立の関連会社)、バグバウンティ仲介プラットフォームの国内代理店事業、IPA公認セキュリティ資格(情報処理安全確保支援士)の従来型研修・試験対策事業といった領域では、既存のビジネスモデルや競争構造の見直しを迫られる可能性が高い。
今後のシナリオ
楽観シナリオ
「AIセキュリティ国家戦略」でProject Glasswing型枠組みを国内制度化
経産省・IPAがClaude Mythos相当モデルを活用した「重要インフラAI脆弱性診断制度」を2026年内に立案し、電力・金融・通信の基幹システムに対して年次AI診断を義務付け。国内セキュリティベンダー(NRIセキュア等)がAnthropicとのOEM契約でAI診断を提供し始め、2027年末には年間3,000件超の脆弱性が修正される。OpenMythosの国産フォーク版が登場し、セキュリティエンジニア育成プラットフォームとして官民で活用される。
現実シナリオ
大手金融・防衛産業の限定パイロットから始まり、OpenMythosベースの国産スタートアップが台頭
2026年内にメガバンク・大手通信キャリア・防衛産業の10〜20社がProject Glasswing参加またはAnthropicとの個別契約でClaude Mythos評価を開始。一般企業への普及は2027〜2028年。OpenMythosを技術基盤に使った日本発のセキュリティスタートアップが複数立ち上がり、中堅企業向け月額SaaS(継続的AI脆弱性診断)として2027年に初期製品リリース。既存ペネトレーションテスト市場の20〜30%が2028年末までにAI診断に代替される。
悲観シナリオ
OpenMythosが攻撃者に悪用され、国内重要インフラへの自律型攻撃が急増
OpenMythosの技術が国家支援型ハッカーや犯罪組織に応用され、日本の金融・エネルギー・交通インフラに対する高度な自律型サイバー攻撃が2026年後半から急増。防衛側の調達・対応サイクル(平均12〜18ヶ月)が攻撃側AIの進化速度に追いつけず、甚大な経済被害が発生。政府は緊急措置として特定AI技術の国内利用規制を検討するが、手遅れとなるリスクがある。
編集部の見立てでは、これらの動きが日本市場へ本格的に波及するまでには、 およそProject Glasswing相当の限定参加(重要インフラ企業50社規模)まで残り6〜12ヶ月。OpenMythosベースの国産セキュリティSaaSの登場まで12〜18ヶ月。中小企業向け低コスト普及まで24〜36ヶ月と予測する。を要すると考えられる。
日本市場での事業機会
OpenMythosアーキテクチャ × 国内SIer保有の脆弱性インシデントデータ = 「日本基幹系特化AI診断SaaS」
富士通・NTTデータ・日立が過去30年にわたって蓄積してきた金融・行政・製造基幹システムのセキュリティインシデントデータは、国内随一の脆弱性コーパスである。このデータとOpenMythosのRecurrent-Depth Transformer設計を組み合わせることで、「日本のレガシーシステム(COBOL・AS400・独自プロトコル)」に特化したAI脆弱性診断エンジンを構築できる。海外AIでは対応困難な国内固有のエンタープライズシステムをターゲットにすることで、年間1,200億円のペネトレーションテスト市場における確実な差別化が図れる。
攻撃AIを「教育ツール」に転用——AI vs. エンジニアのリアルタイム攻防演習プラットフォーム
OpenMythosを実際のサイバー攻撃シミュレーターとして活用し、「AIが攻撃・人間が防御」するリアルタイム演習環境を提供するSaaSを構築する。IPA公認のセキュリティ資格(情報処理安全確保支援士)の実技試験補助教材として申請し、国内推計11万人のセキュリティ人材不足の解消に直結させる。月額3〜5万円の企業向けサブスクと、個人向け1万円/月のプランを設定することで、大手ベンダーが参入しにくい中小企業・スタートアップ市場を先取りできる。
「発見」から「保証」へ逆転——AI診断結果を担保にしたサイバー保険サービス
Claude Mythos/OpenMythos相当のAIで自社システムを診断し、「AI診断でゼロデイが検出されなかった」ことを証明書として発行する「AIセキュリティ認証」モデルを構築する。この認証を東京海上・損保ジャパン等と連携し、サイバー保険の保険料割引条件として組み込む。AIによる継続的スキャン + 保険割引のバンドルサービスとして展開することで、診断コストを保険料削減で実質無料に近づける逆転の収益モデルが成立する。
戦略的アクション
経営層が取るべき行動
【緊急対応必須・静観は許されない】AIによる自律的ゼロデイ発見が現実となった現在、従来の「年1回の人力ペネトレーションテスト」体制は時代遅れとなった。1件の情報漏洩対応コスト(日本企業平均:5〜10億円)と比較して、AI診断ツールの年間投資額(数百万〜数千万円)は明確にROIが成立する。即時行動として:(1) Project Glasswingへの参加可否をAnthropicのパートナーであるNEC経由で照会、(2) 既存のSIerとのセキュリティ診断契約にAI診断要件の明文化と評価指標の更新、(3) CISOまたはセキュリティ責任者にOpenMythosの技術仕様の把握を指示——の3点を2026年Q2中に完了させること。最大リスクは攻撃者側が先にOpenMythosを悪用した場合の非対称被害であり、「検討中」フェーズの長期化そのものが最大のリスクである。
エンジニアが取るべき行動
【起業の観点では今が最良のタイミング】OpenMythosのGitHubリポジトリを即時フォークし、日本語コメント・ドキュメントを整備することで国内セキュリティエンジニアコミュニティでのファーストムーバー優位を確立できる。最大の技術的ハードルは「日本固有のレガシーシステム(COBOL/AS400/EDI)へのRecurrent-Depth Transformerの適応」であり、このドメイン知識とAIの組み合わせを持つエンジニアは希少価値が高い。起業アービトラージ機会:国内中小企業(従業員50〜500名)は人力セキュリティ診断を年1回すら実施できていないのが実態であり、月額1〜3万円のサブスク型AI脆弱性診断SaaSの市場空白が明確に存在する。OpenMythos技術を基盤にプロトタイプを3ヶ月で構築し、NRIセキュア・LAC等への技術提携またはM&Aを2年以内に狙うパスが最も現実的なExitシナリオである。



