AI-Papers
- OpenAIが認証済み防衛者向けに「GPT-5.5-Cyber」の限定プレビューを開始し、認可されたレッドチーミングや制御環境下での脆弱性検証などのデュアルユース機能を段階的に開放する
- Cisco・CrowdStrike等20社のセキュリティベンダーとの4層構造エコシステムで、脆弱性の開示から防御展開までを加速するセキュリティフライホイールを構築している
- フィッシング耐性アカウントセキュリティを含む3段階の認証制御により、AIの防衛活用と悪用リスク管理を両立する設計を採用している
防衛者専用モデルの限定公開
OpenAIは2026年5月7日、サイバー防衛に特化した新モデル「GPT-5.5-Cyber」の限定プレビューを開始した。重要インフラのセキュリティを担う認証済みの防衛者を対象としており、一般向けGPT-5.5に設けられた制限を緩和した状態で動作する。
このモデルは、認可されたレッドチーミングやペネトレーションテスト、制御環境下での脆弱性検証など、より専門的なデュアルユースワークフローを支援する。一方で、認証情報の窃取や第三者システムへの攻撃、マルウェアの展開といった悪意ある用途は引き続き制限される。
OpenAIは「GPT-5.5-Cyberの初期プレビューは、GPT-5.5のサイバー能力を大幅に超えることを意図していない。主にセキュリティ関連タスクに対してより許可的に振る舞うよう訓練されている」と説明している。
3段階の信頼アクセス設計
OpenAIが導入した「Trusted Access for Cyber(TAC)」は、アクセス権限を3段階に区分する認証フレームワークだ。各段階で利用できる機能とセキュリティ制御が異なり、より高い権限を得るには厳格な本人確認が求められる。
標準の「GPT-5.5」は一般用途向けで従来の安全制御が適用される。「GPT-5.5 with TAC」は認証済み防衛者向けで、セキュアコードレビューや脆弱性トリアージ、マルウェア解析、検知エンジニアリング、パッチ検証などの業務に対応する。「GPT-5.5-Cyber」はさらに上位のアクセスで、制御環境下でのエクスプロイト実証など高度な専門ワークフローを支援する。
2026年6月1日以降、最も許可範囲の広いモデルにアクセスする個人ユーザーにはフィッシング耐性を持つアカウントセキュリティの有効化が義務付けられる。組織は自社のシングルサインオンにフィッシング耐性認証を実装していることを証明することで代替措置が取れる。
セキュリティフライホイールの仕組み
OpenAIは今回の発表とともに、20社のセキュリティベンダーとのパートナーシップを公表した。「セキュリティフライホイール」と呼ぶこのエコシステムは、脆弱性の開示から防御展開までのサイクルを継続的に加速させる仕組みだ。
パートナー企業は役割別に4層に分かれる。ネットワーク・セキュリティプロバイダー層(Cisco、CrowdStrike、Palo Alto Networks、Zscaler、Cloudflare、Akamai、Fortinet)は修正展開中の露出を縮小する。脆弱性研究・パッチ層(Intel、Qualys、Rapid7、Tenable、Trail of Bits、SpecterOps)はフライホイールの起点となる脆弱性の特定と修正を担う。検知・モニタリング層(SentinelOne、Okta、Netskope)は実環境での悪用を検知して対応を早める。ソフトウェアサプライチェーン層(Snyk、Gen Digital、Semgrep、Socket)は脆弱なコードや侵害された依存関係が本番環境に到達する前に遮断する。
AIを活用したセキュリティ研究の実績として、Claude MythosがFirefoxで271件のバグを発掘し月次修正件数を15倍以上に引き上げた事例がある。GPT-5.5-Cyberも同様に、AIが防衛側の生産性を大幅に向上させる取り組みの一環として位置付けられている。
Codex Securityと今後の展開
OpenAIはあわせて「Codex Security」を公開した。コードベース固有の脅威モデルを構築し、現実的な攻撃経路を探索して単独環境で脆弱性を検証した上で、人間によるレビューを前提としたパッチを提案する。重要なオープンソースプロジェクトのメンテナ向けには、「Codex for Open Source」プログラムを通じた条件付きアクセスが提供される。
今後は本人確認や組織認証、承認済み用途の範囲指定、悪用モニタリングの精度が向上するにつれてアクセス対象を段階的に拡大する計画だ。アルファテストの段階でGPT-5.5-Cyberはすでに重要システムの自動レッドチーミングや高深刻度の脆弱性検証に活用されており、OpenAIは責任ある開示の一環として技術的詳細を今後公開するとしている。
