NEC・CISO淵上真一氏が説く「フロンティアAI」時代のセキュリティ──「対峙すべきは未知ではなく、高速化された既存の課題」
「Tanium Converge 2026 Tokyo」 NEC 淵上真一氏 講演&インタビュー
Anthropicの「Mythos5/Fable5」やOpenAIの「GPT-5.5」など、フロンティアモデルの進化によって、脆弱性の発見やサイバー攻撃の自動化が加速している。こうした環境変化に、企業のセキュリティ部門はどう備えるべきか。2026年6月に開催された「Tanium Converge 2026 Tokyo」に登壇したNECのコーポレート・エグゼクティブ CISO、淵上真一氏は、「我々が対峙すべきは未知の脅威ではなく、高速化された既存の課題だ」と語る。講演では、グローバルで数万人規模の従業員を擁するNECグループのセキュリティ統括を通じて蓄積してきた知見を、具体的な取り組みとともに明らかにした。本稿では、前半で講演の要旨を整理し、後半では淵上氏へのインタビューを一問一答形式でお届けする。
3つのミッションと「フロンティアAI」がもたらす環境変化
淵上氏はまず、自らが担う3つのミッションを示した。1つはグローバルでNECグループをサイバー攻撃から守ること。もう1つはシステムインテグレーターとして、顧客に提供する製品・サービスをセキュアに保つこと。そして、顧客先で万が一インシデントが起きた際に、自社が納めたサービスでなくても要請があれば対応にあたることだという。
こうした3つのミッションを担う立場から現在の環境をどう捉えるか。淵上氏が変化の起点に挙げたのが、フロンティアAI(高性能AI)の登場だ。フロンティアAIを活用した評価において脆弱性が多数見つかった点が注目を集めがちだが、「本質的に重要なのは見つかった脆弱性の数ではなく、どれだけ緊急度の高いものが見つかっているか」だと淵上氏は指摘する。あわせて警戒するのが攻撃の自動化である。攻撃者もAIを効率的に使い始めており、NECの観測環境でも「AIがやっているのではないか」と思われる兆候が現れ始めているという。守る側もAIをどう活用するかが鍵になる、というのが淵上氏の見立てだ。
防御側の4つの課題と、経営アジェンダ化
今後さらに脆弱性が見つかりパッチが大量にリリースされる前提で、淵上氏は現在の防御側としての課題を洗い出す。出発点となるのが資産管理だ。「資産管理ができていなければ、見つかった脆弱性や公開されたパッチが自分たちに関係あるものかどうかが分からない」。さらにその粒度も問われる。今後検出されるOSS(オープンソースソフトウェア)の脆弱性が増えることが予想されるなかで、自分たちに影響のあるモジュールを的確に特定するにはSBOM(Software Bill of Materials:ソフトウェア部品表)のような仕組みが要る、と淵上氏は説いた
加えて、脆弱性を管理・修正するリソースの確保、そして従来型の対応サイクルでは追いつかなくなる世界観への備えを挙げる。「これまで経験したことのない意思決定──ビジネスアワーにサービスを止めるという判断が必要になる可能性が高くなる」。あらかじめ計画されているメンテナンスの中でサービスを止めるのか、攻撃が刺さってコントロール不能のままダウンするのか。その分かれ目を前に、誰がどういう基準でサービスを止める判断を下すのかをあらかじめ決めておくことが、経営アジェンダとして問われると淵上氏は強調した。
フロンティアAI時代への対応を経営の観点で捉えると、淵上氏は経営層主導で推進すること、攻撃者よりも先に自社資産のリスクを把握すること、侵入後に素早く止められること、そしてリソースを重大なリスクに集中させることの4点に整理する。「どんな防御も100%はありえない。一連の攻撃活動をいかに素早く止められるかどうかを、今より意識すべきだ」。
変わるのは「速度」──自動化と継続的な防御へ
基本的なサイバーセキュリティ対策やその考え方は今後も有効だ。では何が変わるのか。淵上氏が挙げた最大の違いは「速度の概念」である。攻撃のスピードが上がり、規模が大きくなり、攻撃に抜け漏れがなくなる。人間が攻撃していた頃には見逃されたポイントも、AIによる攻撃では見逃してもらえなくなる。だからこそ、自動化され継続的に実施できる防御が要る、というのが淵上氏の論旨だ。
スピードに合わせた素早い経営判断は容易ではない。そこで淵上氏は「素早く判断するというよりも、あらかじめ判断しておく」という構えの重要性を説く。守りへのAI活用も、「AIによる防御の実行と、人間による承認・統制をどうオーケストレーションするか」が基本になるという。
NECの対策は3層で構成される。最下層が社内のイントラネット、中央が外部ネットワーク、最上層がさまざまなクラウドサービスだ。特別なものを置いているわけではなく、当然やるべきことを全方位的に展開している、と淵上氏は述べる。脆弱性対応では、自動的に脆弱性を見つけてサービスと連携して修正する取り組みも進めているという。
金融庁の要請にマッピングした3つの取り組み
淵上氏は、金融庁が示すセキュリティ強化の要請に対応づける形で、NECの取り組みを3点紹介した。
1点目は、優先的に対処すべきシステムの特定だ。NECは自社が持つ「サイバー攻撃ルート診断サービス」を自社に適用し、アタックパス(攻撃経路)を判定することで、何を優先すべきかを見極めているという。2点目は資産管理の粒度を細かくすること。SBOMを活用し、技術的負債の解消につなげる。3点目はパッチ適用の優先順位付けをリスクベースで決めること。「パッチ適用の判断をリスクベースとするのは、言うのは簡単でも実際には非常に難しい」と淵上氏は率直に語る。NECはCVSS(共通脆弱性評価システム)だけに頼らず、エクスプロイトが公開されているか、その情報がどこで公開されているかといった複合的な要因を組み合わせた独自のレーティングで対応の優先順位を決め、その判定自体もAIで自動化を進めているという。
グローバル展開の成果と「クライアントゼロ」
こうした取り組みは海外拠点にも広げる必要がある。NECはCISOである淵上氏と直結のグローバルセキュリティグループを置き、各リージョンのリージョナルヘッドクオーターに担当を配することで現地とのバランスを取る。もう1つの要諦が「グローバルで同じツールを使う」ことだ。状況を把握し対応するスピードが上がる、と淵上氏は説明する。
成果は数値にも表れている。外部からネットワークの健全性を評価するBitSightのスコアは、5年間で100点上昇した。現在は760点台から780点台で日々変動し、同業種の中ではおおむねトップ2%に入るという。脆弱性への対応時間も大きく短縮した。NECは自社をゼロ番目のクライアントとする取り組みを「クライアントゼロ」──いわばゼロ番目のクライアント(顧客)──と位置づける。「スコアを5年かけて100点上げた。この5年をかけずにどう上げるか。NECが培った知見やノウハウをお客様や社会に提供していきたい」。
識別・防御・対応をどう実装するか
いまのこの転換点において必要になる対策を、淵上氏は「識別」「防御」「対応」の3つの観点で整理する。識別では、放置されがちな資産管理を自動化し、リアルタイムで可視化すること。防御では、優先度に応じたパッチ管理を人手に頼らず自律的に回すこと。対応では、脅威インテリジェンスを活用した予兆管理と、大量のアラートに対する自動隔離・対処をマシンスピードで行うことだ。
「まったく新しいことをやるのではなく、今ある防御をベースに対応のスピードを上げられるかを考えている」。AIを今の防御のどこに、どんな役割で組み込めば対応が速くなるか。被害に遭った場合もレジリエンス重視で迅速な復旧を図るとともに、パッチを超高速かつ自動的に当てる。淵上氏はこうした実装の方向性を示した。
では何から始めるか。淵上氏は「資産管理が出発点だ」と言い切る。「セキュリティの世界では『数えられないものは守れない』とよくいわれるが、その通りだ」。粒度を細かくし、管理の健全性を含めて整えること。その先に、リスクベースでの優先順位づけと、抜け漏れのない展開が続く。「我々が対峙すべきは、未知の脅威ではなく、高速化された既存の課題だ」──講演を淵上氏はこう締めくくった。
この記事は参考になりましたか?
- Security Online Press連載記事一覧
-
- NEC・CISO淵上真一氏が説く「フロンティアAI」時代のセキュリティ──「対峙すべきは未...
- PQC移行時に企業は何から始めるべき?高木教授が説く、ベンダーが売り込む「欠陥PQC」の見...
- 今や量子コンピュータは誰もがアクセス可能に──2035年に迫るPQC移行の技術課題を高木剛...
- この記事の著者
-
京部康男 (編集部)(キョウベヤスオ)
ライター兼エディター。翔泳社EnterpriseZine/AIdiverには業務委託として関わる。翔泳社在籍時には各種イベントの立ち上げやメディア、書籍、イベントに関わってきた。現在はフリーランスとして、エンタープライズIT、行政情報IT関連、企業のWeb記事作成、企業出版支援などを行う。Mail ...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
