背景と概要
Anthropicは2026年4月〜5月にかけて、未公開フロンティアモデル「Claude Mythos Preview」と、それを核としたサイバーセキュリティ連合「Project Glasswing」を発表した。Mythos Previewは過去数週間の運用で主要OS・ブラウザ全種において数千件のゼロデイ脆弱性を自律検出。代表例として、OpenBSD内の27年前の脆弱性(リモートクラッシュ可能)、FFmpegに潜む16年前の脆弱性(自動テスト500万回でも未検出)、Linuxカーネルにおける権限昇格チェーンを特定している。セキュリティ脆弱性再現ベンチマーク「CyberGym」では83.1%(Opus 4.6比:66.6%)、SWE-bench Verifiedでは93.9%(Opus 4.6:80.8%)を記録。Project GlasswingにはAWS、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networksが参画し、Anthropicは最大1億ドルのモデル利用クレジットとオープンソースセキュリティ団体への400万ドルの寄付を拠出。モデルは一般公開されず、参画企業・審査済み組織のみ利用可能。プレビュー後の価格は入力$25/出力$125(100万トークンあたり)が予定されている。
本質的な課題
ソフトウェアの脆弱性発見は長年、世界最高峰のセキュリティエンジニアのみが保持するスキルに依存してきた。発見コスト・時間・専門性の高さが「守る側」のボトルネックとなり、攻撃者との非対称性が生じていた。Mythos Previewはこの構造を根本から変える:AIが自律的にコードベース全体をスキャンし、人間が数十年見落としてきた脆弱性を数週間で大量発見できる時代が到来した。同時に、この能力が悪意ある主体に拡散した場合、攻撃コストの劇的低下によりサイバー攻撃の頻度・規模・精度が全て向上するという二重リスクが顕在化している。
日本市場における障壁
法的障壁:個人情報保護法・経済安全保障推進法によるコード外部送信規制
日本企業が自社の基幹システムのソースコードをAnthropicのAPIに送信して脆弱性スキャンを行うことは、個人情報保護法の越境データ移転条項や経済安全保障推進法の特定重要情報保護の観点から法務リスクを伴う。特に金融機関・防衛関連企業・インフラ事業者は、監督官庁(金融庁・経産省・防衛省)への事前確認なしに運用できない可能性が高く、調達から本番稼働まで12〜18ヶ月を要すると予測する。
文化的障壁:稟議文化とゼロリスク志向による意思決定遅延
日本企業の稟議(Ringi)プロセスは、特に「前例のない技術」の導入において極めて保守的に作用する。Mythos Previewのような「AIが自律的にゼロデイ脆弱性を発見する」という概念は、経営層の理解を得るまでの社内教育コストが高い。また、万が一の誤検知・過検知が発覚した場合のレピュテーションリスクを過度に恐れる傾向があり、PoC(概念実証)フェーズが長期化するリスクがある。
インフラ的障壁:レガシーシステムとAIスキャンの技術的不適合
日本の金融機関・行政・製造業の多くはCOBOL製メインフレームや独自プロトコルのレガシーシステムを基幹に持つ。Mythos Previewは現在C/C++、Python、Java、JavaScript等のモダンな言語・環境における脆弱性発見に強みを持つが、日本固有の「ガラパゴスIT遺産」に対してどこまで有効か不明である。また、オンプレミス・エアギャップ環境でのデプロイ需要が高い日本市場では、クラウドAPI型のMythos Previewをそのまま活用できないケースが多発すると見られる。
影響を受ける産業
この変化の影響は一部の業界にとどまらない。とりわけ従来型ペネトレーションテスト会社(NRIセキュアテクノロジーズ、ラック、FFRI Security等)、ソフトウェア品質保証(QA)専業ベンダー、SOC(セキュリティオペレーションセンター)人材依存型マネージドサービス事業者、脆弱性診断コンサルティング(単価:人日ベース請求モデルの企業)、セキュリティ資格・認定試験の運営機関(スキル価値の急速な変化による需要減)といった領域では、既存のビジネスモデルや競争構造の見直しを迫られる可能性が高い。
今後のシナリオ
楽観シナリオ
日本版Glasswing参画、国家主導の先行者利益獲得(2027年Q1実現)
NISCおよびIPAがProject Glasswing相当の国際連携フレームワークへの参加を表明し、三菱UFJ・NTT・NECなどが第一陣として参画。Mythos Previewを活用した「国産レガシー脆弱性スキャン」特需が発生し、CrowdStrike・Palo Alto Networksの日本法人が急成長。経済安全保障推進法の特例措置として「防衛・重要インフラ向けAIセキュリティ特区」が設定され、2027年前半から政府機関への本格導入が始まる。
現実シナリオ
外資系SI・大手通信3社経由の限定展開、中小企業は蚊帳の外
Cisco・Microsoft・CrowdStrikeの日本法人がMythos Preview相当の機能をマネージドサービスとして提供し始め、NTTデータ・富士通・日立がシステムインテグレーター経由で大企業向けに間接展開。しかし価格($25/$125/Mトークン)と導入ハードル(英語APIドキュメント、海外ベンダー依存)により、日本の全企業数の99.7%を占める中小企業への普及は2029年以降にずれ込む。結果として、日本の大企業と中小企業の間にサイバーセキュリティの「AI防衛格差」が生じる。
悲観シナリオ
官製調達の硬直化と北朝鮮・中国のAI攻撃先行による被害拡大
日本政府が「AI脆弱性スキャンの国内審査基準未整備」を理由に導入を2年以上先送りする一方、国家支援ハッカー集団(Lazarus Group等)が同等の自律攻撃AIを悪用し、日本の金融機関・防衛産業・電力インフラへの大規模侵害が発生。手動セキュリティ診断に依存し続けた日本企業が世界最悪レベルの被害を受けるシナリオ。現在でも推定11万人の不足が指摘されるサイバーセキュリティ人材ギャップが「埋めようのない構造欠陥」として露呈する。
編集部の見立てでは、これらの動きが日本市場へ本格的に波及するまでには、 およそ本格展開まで18〜24ヶ月(2027年末〜2028年初頭)。ただしProject Glasswing参画企業の日本法人(Cisco Japan、Microsoft Japan、CrowdStrike日本法人等)経由での限定的活用は2026年Q3〜Q4に開始されると予測する。を要すると考えられる。
日本市場での事業機会
従来の人海戦術型ペネトレーションテストをAI自律スキャンに代替した「AIネイティブ・セキュリティ診断サービス」
日本のセキュリティ診断市場(推定3,000億円規模)は現在、熟練エンジニアの人日単価による価格設定が主流。Mythos Previewと同等の自律スキャンAPIを組み込んだSaaS型診断ツールを開発し、従来比1/10以下のコストと10倍以上のスキャン速度を提供するビジネスモデルが成立する。特に中小企業向け「月額定額制脆弱性モニタリング」は空白市場であり、参入障壁が低い今が起業のタイミングである。
Mythos Preview × 日本固有の「コンプライアンス証跡」生成機能の統合
日本のISMS・SOC2・金融庁ガイドライン・重要インフラ14分野の安全基準に準拠した「脆弱性診断レポート自動生成システム」として特化させる。単なる技術的脆弱性の列挙に留まらず、日本語での改善推奨事項、リスク評価スコア(日本の監督官庁向けフォーマット)、修正パッチの自動PR作成までをワンストップで提供する。日本市場での差別化ポイントは「監査対応ドキュメントの自動化」にある。
脆弱性発見から修正パッチ適用までの「人間レビュー待機時間」の排除
日本企業において脆弱性発見後のパッチ適用まで平均6〜18ヶ月を要するという調査結果がある(IPA「情報セキュリティ白書2025」)。Mythos Preview相当のモデルを活用し、発見・分類・修正案生成・テスト・デプロイまでを自律的に完結させる「ゼロ遅延パッチシステム」を構築することで、この構造的遅延を根本排除できる。CI/CDパイプラインへの直接統合を前提とした日本語SaaSとして展開が可能。
戦略的アクション
経営層が取るべき行動
【即時(今後90日以内)】Project Glasswing参画企業(Cisco、Microsoft、CrowdStrike、Palo Alto Networks)の日本法人に対し、Mythos Preview相当機能へのアーリーアクセスに関する非公式ブリーフィングを要請すること。同時に、自社法務部門にてソースコードの海外AIサービス送信に関する法的リスク評価を依頼し、「送信可能なコードの範囲と条件」を先行定義する。ROIの観点からは、現在の人力セキュリティ診断コストと、AI自律診断への移行コストの比較試算を2026年Q3の予算計画に組み込むべきである。最大のリスクは「静観」である——競合が防衛力を高める間に、北朝鮮・中国の国家支援攻撃者が同等の能力を攻撃利用するタイムラインは18ヶ月以内と見る。
エンジニアが取るべき行動
【技術習得優先度:最高】Anthropic公式のClaude APIを用いた自律コード解析エージェントの実装経験を今すぐ積むこと。具体的には、Claude Opus 4.6(現在アクセス可能)を使いStaticAnalysis・CodeQL等の既存ツールと組み合わせた「AI拡張脆弱性検出パイプライン」をサイドプロジェクトとして構築することを推奨する。起業の隙間(アービトラージ機会)は「日本語コンプライアンスレポート生成」×「ISMS/金融庁ガイドライン特化プロンプト設計」の交差点にある。Mythos Preview一般公開前に、同等機能の日本向けラッパーSaaSを構築し先行ポジションを確立する起業家が、2027年のサイバーセキュリティ市場で圧倒的優位を握る。



