「日本を守る」　ソフトバンクとOpenAIが重要インフラのサイバー防御を提案

ソフトバンクグループ 孫正義会長

ソフトバンクグループ、ソフトバンク、SB OAI Japanは、OpenAIの技術を活用したサイバーセキュリティー対策ソリューション「Patching as a Service」を提供開始する。日本国内の重要インフラを支える一部の企業に対して提供し、脆弱性診断の申し込み受付を順次案内する。

16日には日本のインフラ企業などを集めた説明会を開催。ソフトバンクグループの孫正義会長は、最近のサイバーセキュリティの脅威を「黒船」に例えて説明。AIによりサイバー攻撃側の攻撃力が増したことを、「竹槍から機関銃」と表現し、「今後サイバーアタックが氾濫する。我々は最先端AIで守り抜きたい」と強調し、OpenAIとソフトバンクグループによるソリューションで対応できると訴えた。

重要インフラを守るための取り組み

パッチング・アズ・ア・サービス(Patching as a Service/PaaS)は、OpenAIの技術とソフトバンクの運用ノウハウを組み合わせ、脆弱性診断から修復方針の策定や実装の提案までを一気通貫で支援するソリューション。SB OAI Japanが日本国内で順次提供する。まずは、日本国内の重要インフラを支える企業が対象となる。

AIの爆発的な進化とともに、サイバー攻撃へのAI活用が大きな問題となっており、経済的な問題だけでなく、安全保障上の課題ともなっている。そのため、攻撃者が手にできない最新のAIモデルやソリューションを一部の社会インフラなどに提供し、攻撃者より先に防御側の準備を高めるための仕組みとなる。

主に、OpenAIによるDayBreakを活用。インフラ企業がもつソースコードなどを読み込ませて、脆弱性を発見し、パッチまでを準備する。このサイクルを複数回行なうことで、サイバー攻撃への対応力を高めていく。

DayBreakにおいては、OpenAIのCodexやCodex Security Plugin、APIなどを活用。特に重要なのがセキュリティリサーチ(脆弱性発見)で、それを評価し、パッチを作成、レビューして適用する。

OpenAIのセキュリティへの取り組み「DayBreak」を活用

会場では、銀行サービスを模したデモ環境で、PaaSによるセキュリティ検知からパッチ修正、再チェックまでの流れも紹介した。SaaS型のサービスのソースコードを読み込み、6件の脆弱性を特定し、パッチ作成から適用までの流れなどを説明し、検出だけでなく、その後の脆弱性対応と継続的なセキュリティ検証が行なえる点をアピールした。

実際にソフトバンクグループでは、6月から700のシステムでこのPaaSをテスト。その結果も紹介された。

ソフトバンクでは、毎月6万の不正アクセス試行を受け、DDoS攻撃は2,800件/月、偵察行為については3億件を検出。日々こうした攻撃にさらされてきた厳しい環境となっている。そのため、ソフトバンクの宮川潤一CEOも「通信会社として20年続けてきて、大きなサイバーアタックによる影響はなく、それなりに自信があった」とする。

しかし、5.5 Cyberを含むPaaSを活用した脆弱性テストを700のシステムで行なったところ、10,500の脆弱性が見つかったという。

そのうち、4,000は要対応のもので、外部からの攻撃については対応を完了したという。このように相当にセキュリティ投資をしてきた、ソフトバンクのような企業においてもAIにおける攻撃対応は容易ではないと紹介。さらに、脆弱性修正が終わり、再度テストを行なうと新たな脆弱性が見つかるなど、セキュリティ対応は継続的な対策が必要となるという。

ソフトバンクグループの孫正義会長は、会場に集まった日本の大企業の担当者に向けて、「日本には重要なインフラが数多く存在する。我々はこれらに対するサイバー防御策の手立てをできるだけ早く、年内に一気に講じていきたいと考えています。この取り組みを通じて『日本を守る』を実行していきたい」と訴えた。

OpenAIのサム・アルトマンCEO

このPaaSについては、大手インフラ企業から開始し、来場した対象企業は、2億行が無料で利用可能とする。ただし、申込みは明日17日までと紹介すると、会場からは笑いが漏れた。