Project Glasswing拡大、重要インフラ防御の次段階

Anthropic は 2026年6月2日、Project Glasswing を約150の新規組織へ拡大すると発表した。Project Glasswing は、Claude Mythos Preview のような高度なサイバー能力を、攻撃ではなく防御のために先に使う取り組みである。今回の焦点は、単に参加組織数が増えたことではない。電力、水道、医療、通信、ハードウェア、重要OSSを支えるベンダーまで対象を広げ、AIが見つける脆弱性を社会全体でどう処理するかへ議論が移った点にある。

日本企業にとって、この更新は Project Glasswing初報 の続報として読むべきだ。初報では、Claude Mythos Preview が高・重要度の脆弱性を大量に見つけ、検証、開示、修正、適用が新しいボトルネックになることを見た。今回の拡大は、そのボトルネックを前提に、誰へアクセスを与え、どの組織から先に守るかを決める段階へ入ったことを示している。

すでに Claude Security公開ベータ では、企業が自社リポジトリをAIでスキャンし、findings と修正案を運用へ流す方向が出ていた。今回のProject Glasswing拡大は、その個社導入より広い。自社コードだけでなく、自社が依存するOSS、クラウド、通信、医療、産業機器、委託先ソフトウェアまで含めて、AI時代の脆弱性対応を設計し直す話である。

事実: 約150の新規組織へ拡大する

Anthropic の発表によると、Project Glasswing は初期の約50パートナーから、約150の新規組織へ拡大される。新しい組織は15か国以上にまたがり、重要インフラを直接または間接に支える企業や非営利組織が含まれる。対象産業として、電力、水道、医療、通信、ハードウェアが明示されている。

ここで重要なのは、単なるセキュリティ企業の追加ではないことだ。Anthropic は、政府や多くの組織が依存するコードベースを保守するベンダーや非営利組織にも触れている。つまり、攻撃されたときに影響が1社で閉じないソフトウェア供給元が優先されている。

Anthropic は、参加する組織がセキュリティ要件を満たした後にアクセスを得ると説明している。これは、Mythos 級の能力が強力であるほど、一般公開よりも前に、信頼できる防御側へ限定提供する必要があるという判断である。発見能力が高いモデルは、防御者には強力な道具になるが、誤った相手に渡れば攻撃の自動化にも使われる。

事実: 発見からパッチへ焦点が移った

5月22日の初期アップデートでは、Project Glasswing の約50パートナーがClaude Mythos Previewを使い、1万件を超える高・重要度の脆弱性を見つけたと説明された。OSSスキャンでも、1,000件超のプロジェクトから多数の脆弱性候補が見つかり、外部セキュリティ企業による確認で高い真陽性率が示された。

しかし、Anthropic が繰り返し強調しているのは、発見そのものが最終成果ではないという点だ。制約は、脆弱性を見つける速度から、検証、開示、修正、配布へ移っている。今回の拡大でも、Anthropic は脆弱性発見ツールの提供だけでなく、開示や修正、パッチ済みソフトウェアの展開へ支援を移していく方針を示している。

この点は日本企業にも直結する。SAST、依存関係スキャン、ペンテスト、Bug bounty だけでも、AppSec チームは未処理 backlog を抱えやすい。そこへAIがロジックバグやメモリ安全性、認証・認可、暗号、プロトコル処理の問題を大量に提示するようになると、発見能力だけを増やしても守れない。必要になるのは、findings を受け、再現し、優先順位を付け、修正 owner を決める処理能力である。

分析: 日本企業は依存先も含めて見るべき

ここからは分析だ。

日本企業がProject Glasswing拡大から学ぶべきなのは、自社リポジトリをAIでスキャンするかどうかだけではない。むしろ、自社製品や業務システムが依存する外部ソフトウェアをどう把握し、パッチをどう受け取り、顧客や社内へどう展開するかである。

多くの企業はOSS、クラウドサービス、SaaS、ネットワーク機器、業務パッケージ、委託開発コードに依存している。AIが重要な依存先の脆弱性を早く見つけるほど、利用企業側には「どのサービスが影響を受けるか」をすぐ判断する能力が求められる。SBOM、依存関係管理、構成管理、WAFや設定変更による補償統制、緊急リリース手順は、以前より重要になる。

この文脈では、GoogleとNICT・デジタル庁のAIサイバー防御 とも接続できる。日本でも、AIを使った脆弱性検知や供給網の完全性は、公共・重要インフラの話になっている。Project Glasswing が示すのは、その国際版であり、民間企業、OSS、政府、重要インフラが同じ問題を共有し始めたということだ。

分析: アクセス設計が製品価値の一部になる

今回の発表で見落としやすいのは、AIセキュリティ機能の価値が、モデル性能だけで決まらない点である。Anthropic は、Mythos級の能力を一般公開するには、強く精密な安全策が必要だが、まだ十分ではないと説明している。そのため、まずはProject GlasswingやCyber Verification Programのような枠組みで、信頼できる防御側に限定して能力を渡している。

これは企業導入でも同じだ。AIが脆弱性を見つけ、修正案を書けるなら、誰がそのAIにソースコードを渡せるのか、どのリポジトリまで読ませるのか、findings を誰に見せるのか、修正PRを誰がレビューするのかを決めなければならない。Claude containment で扱ったように、モデルが賢いほど、実行境界、認証情報、MCP、ネットワーク、監査ログを先に設計する必要がある。

日本企業では、委託先や子会社を含む開発体制が多い。AIスキャンを本社だけが使うのか、委託先にも許可するのか、顧客コードを含むリポジトリを対象にするのか、No ZDRやデータ保持制約をどう扱うのかは、セキュリティ部門だけで決められない。法務、調達、開発、情シス、事業責任者が同じ判断表を見るべきだ。

導入前に点検すること

最初に、重要リポジトリと重要依存先を棚卸しする。インターネット公開サービス、認証、決済、医療・金融・公共データ、管理者権限、組み込み機器、外部連携APIを持つ領域から優先順位を付ける。AIスキャンを全リポジトリに一斉投入するより、影響が大きい場所から検証したほうがよい。

次に、findings の入口を決める。AIが出した脆弱性候補を、Jira、GitHub Issues、セキュリティチケット、GRC、SIEM、Slack のどこへ入れるのかを決める。重大度、再現手順、影響範囲、修正案、証跡、dismiss 理由を残せないと、検出数が増えるほど運用が壊れる。

3つ目は、パッチ展開の例外ルールだ。月次リリースだけでなく、高・重要度の脆弱性に対する緊急リリース、feature flag、段階 rollout、監視強化、顧客通知を事前に定義する。AIが発見を速くしても、リリース手順が遅ければ攻撃可能期間は短くならない。

最後に、外部提供元との関係を見直す。委託先契約、保守契約、SaaS契約、OSS利用ポリシーに、AI時代の脆弱性開示と修正SLAをどう反映するかを確認したい。Project Glasswing は、重要ソフトウェアを守るには単独企業では足りないことを前提にしている。日本企業も、自社だけで完結する防御計画から、依存先を含む防御計画へ移る必要がある。

まとめ

Project Glasswing の拡大は、Anthropic のサイバー向けAI能力を見せるニュースではなく、AIが脆弱性発見を加速した後の運用設計を問うニュースである。約150の新規組織、重要インフラ、ベンダー、OSS保守者への拡大は、防御側アクセスをどう配るかという実務問題を前面に出した。

日本企業は、Claude Mythos PreviewやClaude Securityの性能だけを見るのではなく、findings処理、協調的開示、パッチ展開、SBOM、委託先管理、監査証跡をまとめて見直すべきだ。AIが脆弱性を見つける速度は今後さらに上がる。防御側の勝負は、その発見を安全に受け取り、検証し、直し、利用者へ届ける処理能力に移っている。

出典

• Expanding Project Glasswing - Anthropic, 2026-06-02
• Project Glasswing: An initial update - Anthropic, 2026-05-22
• Project Glasswing: Securing critical software for the AI era - Anthropic, 2026-04-07
• Claude Security - Anthropic