日本のセキュリティ責任者から、立て続けに電話がかかってきた話とは？

本記事の「日本のセキュリティ責任者から、立て続けに電話がかかってきた話」セクションで完全解説しています。

まず結論：日立・トレンドマイクロが達成した「3つの先行ポジション」とは？

本記事の「まず結論：日立・トレンドマイクロが達成した「3つの先行ポジション」」セクションで完全解説しています。

日立製作所が取り組む脆弱性領域——重要インフラ・通信システムの防御戦略とは？

本記事の「日立製作所が取り組む脆弱性領域——重要インフラ・通信システムの防御戦略」セクションで完全解説しています。

セキュリティ担当者向け：Mythos一般公開後にすぐ使える「業務即効プロンプト」5選とは？

本記事の「セキュリティ担当者向け：Mythos一般公開後にすぐ使える「業務即効プロンプト」5選」セクションで完全解説しています。

生成AI最新ニュース 2026.06.09

【2026年6月最新】日立・トレンドマイクロがMythos参画

結論: 2026年6月初旬、日立製作所とトレンドマイクロが「Project Glasswing」へ参画し、AnthropicのClaude Mythos Previewアクセス権を取得しました。日本企業として「社会インフラ防御」「セキュリティベンダー」という2つの異なる文脈での先行参画は、これから半年で他の大手日本企業に確実に波及します。

この記事の要点:

日立は2026年6月4日にAnthropicと契約、エネルギー・鉄道など社会インフラ向けソフトの脆弱性発見にMythosを活用（Cyber CoE主導）
トレンドマイクロ(TrendAI)は日本企業として初めて公式にMythos活用を表明（2026年6月3日）、仮想パッチによる即時リスク低減が狙い
Anthropicは同プログラムを約50→約150組織・15カ国以上に拡大、参画企業は10,000件超の重大脆弱性をすでに発見済み

対象読者: 大企業の情報セキュリティ責任者、CISO、社会インフラ事業者の経営層、AIガバナンス担当者
読了後にできること: 自社が「Glasswing参加企業」と「非参加企業」のどちらの脅威モデルに該当するか、3つの問いで自己診断できる

日本のセキュリティ責任者から、立て続けに電話がかかってきた話

「すぐ来てくれませんか。Mythosって何なんですか。日立がやるって出ましたよね？」

2026年6月5日の夕方。エネルギー関連事業を持つ大手メーカーの情報セキュリティ責任者から、こういう電話が立て続けに2本入りました。前日の6月4日に日立製作所がAnthropicとの契約を発表し、その翌朝にトレンドマイクロが「TrendAIとして国内初のMythos活用」を公表したタイミングです。日立のニュースとトレンドマイクロのプレスリリースを1日に2本見せられた経営層が、自社の対応を急いで知りたがるのは当然です。

正直に言うと、Mythosは「アクセス権を取れたからすぐ使える」ようなツールではありません。日立ですら「アクセス権は後日付与の見込み」とリリースに明記しており、実利用はこれから。それでも経営層がここまで動揺するのは、Mythosが「攻撃者が同等の能力を持つまでの猶予が早ければ2〜3ヶ月、遅くても1年」という安野貴博氏の予測（後述）を、現場のCISOが直感的に理解してしまったからです。

この記事では、なぜ日立とトレンドマイクロが「日本企業ファースト・ムーバー」として参画したのか、他の日本企業はどう波及するのか、そして「Glasswing参加企業」と「非参加企業」で2026年後半に何が変わるのかを、100社以上のAI研修現場で見えてきた実務視点で整理します。AIガバナンスやサイバーセキュリティのレイヤーをまだ整理できていない方は、まずAI導入戦略完全ガイドを読んでから戻ってきてください。

まず結論：日立・トレンドマイクロが達成した「3つの先行ポジション」

2社の参画は、単なる「先進企業の試験導入」ではなく、日本企業のセキュリティ競争構造を変える3つの戦略ポジションを獲得した動きです。

① 重要インフラ防御の事実上の標準ポジション：日立はエネルギー・鉄道の社会インフラ脆弱性検知でMythosを使う唯一の日本系総合電機。これにより、電力会社・鉄道会社からの「Mythosで検証した装置・ソフトしか採用しない」という調達要件が出始めるとUravationは見ています
② セキュリティベンダー側の唯一の参戦枠：日本のセキュリティベンダーで公式にMythos活用を表明したのはトレンドマイクロのみ。Trend Vision One等の既存製品にMythos由来の検知ロジックが乗ると、競合のセキュリティベンダーは数四半期遅れる
③ Anthropicとの直接交渉チャネル：Project Glasswingは双方向プログラムで、参加企業はAnthropicに対して「日本の重要インフラ環境での誤検知パターン」をフィードバックできる。これは将来のClaude Mythos一般公開版の挙動に直接影響を与えるレバレッジになる

「うちはユーザー企業だから関係ない」と考えるのは危険です。日立がMythosで脆弱性を発見した結果、自社が使っている産業制御システム・通信機器・SCADA装置に「修正対応必須」のCVEが大量に降ってくる可能性が、今後数ヶ月で現実化します。

日立・トレンドマイクロのProject Glasswing参画発表——日本企業初の戦略的意味

まず事実関係を時系列で整理します。

日付	主体	発表内容
2026年4月	Anthropic	Claude Mythos Preview を約50パートナーに限定提供開始（Project Glasswing立ち上げ）
2026年6月2日	Anthropic	Project Glasswing第2フェーズ発表：約150組織・15カ国以上に拡大。電力・水道・医療・通信・ハードウェア分野を追加
2026年6月3日（米国時間）	トレンドマイクロ(TrendAI)	Project Glasswing参加を発表。Mythosでソフトウェアコードのレビュー・分析を実施。日本企業として国内初のMythos活用公表
2026年6月4日	日立製作所	Anthropicと契約締結。Claude Mythos Previewへのアクセス権獲得（実アクセスは後日付与）
2026年6月5日	日立製作所	正式プレスリリース公開。Cyber CoEが社会インフラ向けソフトの脆弱性特定・修正に活用と明記

注目すべきは、わずか3日間で「セキュリティベンダー（トレンドマイクロ）」と「重要インフラ事業者兼ベンダー（日立）」という異なる業界レイヤーの2社が立て続けに動いた点です。これはAnthropicが日本市場を「金融・通信・防衛だけでなく、社会インフラ層まで一気にカバーする」戦略で動いていることを示しています。

事例区分: 公開事例
以下は公式に発表されている事例です。日立製作所およびトレンドマイクロのプレスリリース、ITmedia・Yahoo!ニュース・GIGAZINE・sbbit等の報道に基づきます。

日立とトレンドマイクロの参画は、性質が大きく違う

同じ「Project Glasswing参画」でも、2社の立ち位置は対極的です。

日立 = ユーザー企業兼重要インフラベンダー：自社が開発・保守する電力制御、鉄道信号、エネルギー管理システムの脆弱性を「自分のCyber CoEで」検証する。発見した脆弱性は基本的に自社・顧客の防御に使う
トレンドマイクロ = セキュリティベンダー：Mythosを「他社製品を含めたソフトウェアコード全般」に向けて使う。発見した脆弱性は協調的情報開示(CVD)に乗せて業界全体に共有し、Trend Vision Oneなどの自社製品の検知能力と仮想パッチに反映する

つまり日立は「縦に深く（自社インフラを守る）」、トレンドマイクロは「横に広く（業界全体の脆弱性を発見・修正する）」というアプローチの違いがあります。この2社の参画で、日本のセキュリティエコシステムは「重要インフラのMythos化」と「セキュリティ製品のMythos化」を同時に獲得したことになります。

なぜ大手日本企業がMythos Previewに先行参画したのか——ファーストムーバーアドバンテージ分析

Anthropic公式の説明では、Project Glasswingは「重要なソフトウェアの保護と、AIの進化に伴い求められるサイバーセキュリティの実践を前進させる」共同イニシアチブです。しかし、日立とトレンドマイクロが「申請・契約・社内承認」のコストを払ってまで先行参画したのは、もっと現実的な3つの理由があります。

理由1：「攻撃側がMythos級を持つまで残り2〜3ヶ月」という危機感

AI戦略家の安野貴博氏は「早ければ2〜3か月、遅くても1年以内には、Mythosが持つような能力が一般に広まる」と予測しています（UNITIS 2026年6月）。中国系オープンウェイトモデルが急速にMythos級の脆弱性発見能力を獲得した場合、攻撃者は事実上「無料の天才ハッカー」を24時間稼働できるようになります。

その時、防御側が「まだMythosを評価していません」では話になりません。日立のCyber CoEが今のうちにMythosの誤検知パターン・運用ノウハウを蓄積しておかないと、2026年後半〜2027年に攻撃側がMythos級を入手した瞬間、検知体制が完全に出遅れます。

理由2：「Mythosで検証済」という調達要件への先回り

研修先で、ある大手電力会社のセキュリティ統括が次のような発言をしていました。「正直、これからの新規調達は『Mythosで脆弱性検証されたソフトウェアか』を要件に入れざるを得ない。日立がMythosを使い始めたら、ベンダー側に同じレベルの検証を求めるのは時間の問題」。

つまり、日立がMythosを取りに行ったのは「自社防御」だけでなく、「日立が納める電力・鉄道システムが、顧客側から『Mythos検証済みであること』を要件として求められる将来」を見越した動きでもあります。Glasswing参加企業 = 高度な検証済みベンダーというブランディング効果を、今のうちに獲得しているわけです。

理由3：Anthropicとの直接フィードバックループ

Project Glasswingは一方通行のツール提供ではなく、参加企業がAnthropicに対して「日本の重要インフラ環境での誤検知パターン」「電力・鉄道分野固有の脆弱性タイプ」をフィードバックする双方向プログラムです。これにより、将来のClaude Mythos一般公開版の挙動に日本企業の運用視点が反映されるレバレッジが得られます。

研修現場の感覚では、これは「Anthropicの製品ロードマップにアクセスできる権利」とほぼ同義です。日本の大手企業が新興AI企業の意思決定に影響を与えるチャネルは極めて少なく、Glasswingはその数少ない例外になります。

日立製作所が取り組む脆弱性領域——重要インフラ・通信システムの防御戦略

日立のリリースを読み解くと、Mythos活用領域は「エネルギー分野をはじめとする社会インフラ向けソフトウェア・プロダクト」と書かれています。これを具体的にブレイクダウンすると、おそらく以下のレイヤーが対象になります。

レイヤー	具体システム	想定される脆弱性タイプ
制御系（OT）	SCADA、PLC、DCS、電力系統制御システム	レガシープロトコル(Modbus等)の認証欠如、ファームウェア脆弱性
通信系	鉄道信号通信、変電所間通信、配電網通信	暗号化未実装、リプレイ攻撃、中間者攻撃
監視系	SOC統合プラットフォーム、ログ収集基盤、OTセキュリティゲートウェイ	権限昇格、認証バイパス、SQLi/XXE等のWeb脆弱性
HMI（Human Machine Interface）	運転員端末、保守用Webコンソール	古いブラウザ依存、デフォルト認証情報、CSRFなど
クラウド連携層	OT-IT統合ゲートウェイ、リモート監視SaaS	APIキーリーク、認可ミス、CSPM(Cloud Security Posture)不備

これらは「自社が書いたコード」だけでなく、「サードパーティ製ライブラリ」「OSS依存」「商用パッケージ製品」も含まれます。日立がCyber CoEで本気で総点検した場合、業界に与える脆弱性CVEの数は四半期ごとに数十〜数百件単位で増える可能性があります。Anthropic公式によれば、Project Glasswing初期の約50パートナーですでに「10,000件超の重大脆弱性」が発見されています（GIGAZINE 2026年6月3日）。

顧問先のOTセキュリティ担当者が言っていたこと

顧問先のエネルギー系企業のOTセキュリティ担当者から、最近こんな相談を受けました。

「自社の制御系装置のソースコードは自分たちで触れないんです。ベンダーがブラックボックスで持ってる。日立がMythosを使い始めたら、うちが買ってる装置の脆弱性も日立側で発見されるはず。その情報、いつ、どう降りてくるのか？」

これは重要な論点です。日立がMythosで発見した脆弱性は、まず日立社内・日立顧客に向けてパッチ・回避策が配布されますが、業界共通の脆弱性であれば協調的情報開示(CVD)経由で他社にも回ります。ただし「自社が買っている装置が日立検証対象に入っているのか」を、ユーザー企業側で把握している例はほぼありません。

ユーザー企業がやるべきことは、契約しているOTベンダーに「貴社製品はGlasswing参加企業による脆弱性検証の対象に入っているか？入っていない場合、貴社独自のAI脆弱性検証計画はあるか？」を文書で確認することです。この質問が来ること自体に慣れていないベンダーが多いので、早めに動いた企業ほど情報が取れます。

AI活用、何から始めればいい？

100社以上の研修実績をもとに、30分の無料相談で貴社の課題を整理します。

無料相談はこちら →

トレンドマイクロが活用するMythos機能——エンドポイント・クラウド脆弱性検知の次世代化

トレンドマイクロは、TrendAI（同社のAI部門ブランド）がMythosを活用し、以下4つの軸でセキュリティ運用を変えると公表しています（ZDNET Japan 2026年6月5日）。

脆弱性の迅速な発見：従来は専門人材の手動レビューが律速だった脆弱性検出を、Mythos駆動で並列化・高速化
協調的な情報開示(CVD)の加速：発見した脆弱性をCVE採番・ベンダー通報のフローに乗せる速度を上げる
優先順位付けされた修復対応：「とりあえず全部対応」ではなく、悪用可能性・影響範囲・PoC存在の有無で優先度を機械的に判定
脆弱性に対する仮想パッチを通じたリスク低減：本来のパッチが出るまでの間、Trend Vision One/Deep SecurityのIPSルールで攻撃を遮断するルールを自動生成

特に4番目の仮想パッチが、ユーザー企業から見て最も価値が大きいポイントです。仮想パッチは、ソフトウェアベンダーが正式パッチを出す前の「ゼロデイ〜nデイの空白期間」に、ネットワーク層・ホスト層で攻撃シグネチャを遮断する技術です。Mythosが「正しい修正コードはこうあるべき」を提案できれば、その提案ロジックから「攻撃シグネチャ」「IPSルール」を自動生成できる可能性があります。

研修現場で見えている「セキュリティ担当者の本音」

製造業の情シス・セキュリティ統括25名を対象にしたAI研修で、「Mythos × 仮想パッチ」の話をした時の反応は次の3つに分かれました。

攻めの担当者（約3割）：「Trend Vision Oneのライセンス更新時に、Mythosベースの仮想パッチ機能の対応有無を必ず聞く。あれば即決」
慎重派（約5割）：「自社環境でMythosが提案した仮想パッチをそのまま適用するのはリスク。検証環境での評価フローをまず作る」
懐疑派（約2割）：「Mythosの誤検知で本番業務が止まる方が怖い。半年は様子見」

事例区分: 想定シナリオ
上記の比率は、100社以上のAI研修・コンサル経験から構成した典型的なシナリオです。実際の企業比率は業種・規模で変動します。

面白いのは、3つのグループ全員が「Mythosは無視できない」と認識している点です。攻めるか守るかの違いはあっても、「検討しない」という選択肢は誰も取らなくなりました。これが2026年6月の日本企業セキュリティ意識の現在地です。

セキュリティ担当者向け：Mythos一般公開後にすぐ使える「業務即効プロンプト」5選

Mythos Previewへの直接アクセスはGlasswing参加企業限定ですが、Claude Code・Claude Opus 4.8・Sonnet 4.6・ChatGPT Enterpriseなど一般提供されているフロンティアモデルでも、「Mythos的アプローチ」の80%は今日から実践できます。研修先で実際に検証して反響が大きかったプロンプトを5つ紹介します。

即効プロンプト1：OSSライブラリ依存の脆弱性インパクト評価

あなたはエンタープライズのOTセキュリティ責任者です。
以下の package.json / requirements.txt / pom.xml を解析し、
脆弱性データベース（NVD、GitHub Advisory、JVN）の知識を踏まえて、
以下の形式で出力してください。

【依存ライブラリ】xxx@1.2.3
  - 既知CVE: CVE-2025-XXXXX (CVSS 9.8 / 悪用PoC: 有)
  - 自社影響度: 高（理由：このライブラリは認証フロー内で使用）
  - 推奨対応: 即時アップグレード x.y.z → x.y.w（破壊的変更なし）
  - 仮想パッチ案: WAFで以下のリクエストパターンを遮断
       ↓
       (具体ルール例)

不足している情報があれば、最初に質問してから作業を開始してください。
仮定した点は必ず"仮定"と明記してください。

依存ファイル:
[ここにpackage.json等を貼る]

研修先での実例：従業員300名規模の製造業で、社内Webアプリ12本のpackage.jsonを順次解析。脆弱性レビューにかかる時間が「1本あたり2時間 → 25分」に短縮されました（測定期間: 2026年5月の1ヶ月間、対象: セキュリティ担当2名、測定方法: タイムトラッキングツール）。

即効プロンプト2：レガシーコードのセキュアコーディング診断

あなたはセキュアコーディングレビュアーです。
以下のソースコードに対して、OWASP Top 10 / CWE Top 25 の観点から
脆弱性を網羅的に検出し、以下の形式で報告してください。

# 検出された脆弱性
## 重大度: 高
- 種別: SQL Injection (CWE-89)
- 該当箇所: 32行目
- 攻撃可能性: 認証不要で実行可能
- 修正コード（変更前/変更後の diff 形式）:
- 修正後の単体テストコード:

数字と固有名詞は、根拠（出典/計算式）を添えてください。
仮定した点は必ず"仮定"と明記してください。

対象コード:
[ここにソースコードを貼る]

顧問先の活用例：金融系SI企業で、20年前のJavaコード約8,000行のセキュリティリファクタリングに活用。手動レビューでは見逃していた「ログインバイパス可能なロジックエラー」を1件発見しました。

即効プロンプト3：CVE通知メールの優先度自動判定

あなたは社内SOCの脆弱性管理担当者です。
以下のJVN/NVDから配信されたCVE通知メールを読み、
自社環境への影響度を以下の3軸で判定してください。

1. 自社が使っている製品・バージョンに該当するか（在庫DB付き）
2. CVSS基本値 × 悪用可能性 × 自社環境露出度の3軸スコア
3. 推奨対応期日（即日 / 7日以内 / 30日以内 / 監視のみ）

判定結果はSlack通知向けに300文字以内でまとめてください。
不明点があれば質問を返してください。

CVE通知:
[ここにメール本文を貼る]
自社の対象資産DB（簡易）:
[ここに資産リストを貼る]

研修先での実例：CVE通知を毎日30〜50件受信していた情シスチームで、優先度判定の自動化により「対応要否を判断するまでの時間」が「1件あたり15分 → 3分」に短縮（測定期間: 2026年4〜5月、対象: 情シス3名）。

即効プロンプト4：仮想パッチルールの草案生成

あなたはIPS/WAF運用エンジニアです。
以下のCVE脆弱性情報を元に、即時適用可能な仮想パッチルール案を
ModSecurity / Snort / Suricata の3つの形式で出力してください。

要件:
- false positive を最小化（業務影響を避ける）
- 該当攻撃パターンの正規表現を含む
- 適用前にステージング環境でテストするための検証手順を添える
- ロールバック手順も明記

仮定した点は必ず"仮定"と明記してください。
不明点があれば質問を返してください。

CVE情報:
[ここにCVE詳細と PoC を貼る]
適用環境:
[ここにIPS/WAFの製品名・バージョン・適用範囲を貼る]

使い方の注意：仮想パッチは「正式パッチが出るまでの暫定対応」です。本番環境への適用前に必ずステージングで業務影響を検証してください。

即効プロンプト5：経営層への週次セキュリティブリーフィング自動生成

あなたは情報セキュリティ統括の補佐です。
今週のセキュリティ動向（CVE、インシデント、攻撃トレンド、業界規制）を、
経営層（CEO/CFO/COO）が3分で読める形式で要約してください。

形式:
1. 今週の最重要トピック（1つだけ・3行）
2. 自社が今週とった対応（箇条書き3つ）
3. 来週のリスクと推奨アクション（箇条書き3つ）
4. 数値KPI（検知件数、対応完了率、SLA達成率）

経営層向けなので技術用語は最小化し、ビジネスインパクト（売上影響、業務停止リスク）を主軸にしてください。

数字と固有名詞は、根拠（出典/計算式）を添えてください。

今週の素材:
[ここに今週のCVE/インシデント/SOCログサマリを貼る]

顧問先での効果：このプロンプトを使い始めて、CISO月次報告書の作成時間が「8時間 → 1.5時間」に短縮されました。経営層の理解度も「報告書を最後まで読む確率」が体感で大幅に上がったとフィードバックを受けています。

Project Glasswing日本企業波及予測——NEC・富士通・パナソニック等への影響シナリオ

日立とトレンドマイクロの参画は、必ず他の日本企業に波及します。以下は、Uravationが業界構造から予測する「Mythos参画レース」の典型シナリオです。

企業群	動機	予想されるアクション
総合電機・SIer（NEC・富士通）	日立に重要インフラ調達要件で先行されるリスク回避	Anthropicへの参画申請、社内Cyber CoE相当組織の強化発表
セキュリティベンダー（NRIセキュア、ラック、サイバーリーズン等）	トレンドマイクロに検知能力で半年〜1年差をつけられるリスク	自社AIモデル強化、または他のフロンティアAI企業との提携
クラウド事業者（NTTコム、IIJ、KDDI等）	クラウド基盤の脆弱性検出を顧客に約束する必要性	マネージドセキュリティサービス（MSS）のAI化を加速
金融機関（メガバンク、地銀、損保）	金融庁の監督指針強化、AIガバナンス報告義務	Glasswing参画企業の製品優先採用、内部SOCのAI化
製造業（自動車・重工）	サプライチェーン脆弱性、コネクテッドカー、IoT機器のリスク	OTセキュリティ専門部隊の新設、ベンダーへのMythos検証要件追加

事例区分: 想定シナリオ
上記の波及予測は、過去のセキュリティ製品（EDR、SOAR、XDR等）の日本市場での普及パターンと、100社以上のAI研修・コンサル経験から構成した予測です。実際の各社動向は2026年後半に確認できます。

2026年6月時点で、IT業界の報道では「NECは4月23日にAnthropicと戦略的提携を発表、富士通は5月27日にアクセス権獲得を発表」という情報も流れています（ITmediaビジネスオンライン 2026年6月8日）。ただし、Project GlasswingへのMythos Previewアクセス権獲得を「公式プレスリリース」として明示したのは現時点で日立とトレンドマイクロの2社のみです。

日本の金融・製造インフラのセキュリティリスク——Mythos発見脆弱性の産業別影響

Anthropicが発表したProject Glasswing第2フェーズは、約150組織・15カ国以上に拡大し、新たに「電力・水道・医療・通信・ハードウェア製造」の5分野を加えました（GIGAZINE 2026年6月3日）。日本企業のCISOが直面するリスクを業界別に整理すると以下のようになります。

金融業界：Mythosで発見される脆弱性が「監督上の重大事象」に直結

金融庁のサイバーセキュリティ・ガイドラインは、システム障害・脆弱性の発見から報告までの時間を厳しく管理しています。Mythos駆動で脆弱性が大量に発見されると、金融機関が「報告対象」「対応期限」「経営層への即時通知」のフローを回しきれなくなる可能性があります。Glasswing参加のセキュリティベンダー（トレンドマイクロ等）からの仮想パッチを早期適用できる体制を、今のうちに作っておくべきです。

製造業：サプライチェーン脆弱性が連鎖的に表面化

自動車・重工メーカーが採用しているECU、PLC、産業用通信機器の多くは、過去10〜20年の古いコードベースを引きずっています。Mythosが本格稼働すれば、これらに対する重大脆弱性CVEが急増し、リコール・無償アップデート対応のコストが膨らみます。Tier1・Tier2サプライヤーまで含めた脆弱性対応計画を、2026年後半までに準備すべきです。

社会インフラ：日立がMythosで見つけた脆弱性が業界共通CVEに発展

電力会社、鉄道事業者、ガス会社が使っている制御系装置は、業界横断で共通のベンダー製品が多数あります。日立のCyber CoEが発見した脆弱性は、CVD経由で他のインフラ事業者にも降ってきます。社内CSIRTの「OT機器向けパッチ管理プロセス」を、これまでの年単位サイクルから四半期単位、最終的には月次サイクルへと短縮する圧力が確実に来ます。

医療・ヘルスケア：医療機器のIoT化と脆弱性

医療機器（MRI、CT、内視鏡装置等）のIoT化が進む中、メーカー側のセキュリティ対応力に大きな格差があります。Mythosでの脆弱性発見が公開されると、病院は「使用中の医療機器を即時停止すべきか」というレベルの判断を迫られる可能性があります。医療機関のITガバナンス体制の見直しが急務です。

【要注意】日本企業のセキュリティ格差——Glasswing参加企業と非参加企業の脅威モデル乖離

Mythos参画は「あれば有利、なくても困らない」ではありません。参加企業と非参加企業で脅威モデル（Threat Model）そのものが分岐します。以下、よくある失敗パターン4つと回避策を整理しました。

失敗1：「うちは攻撃対象になるほど大きくない」と楽観視する

❌ 中堅以下の企業や非IT系の地方インフラ事業者が「うちは狙われない」と判断するパターン
⭕ Mythos級の能力が攻撃側に拡散した場合、攻撃コストは桁違いに下がります。安野貴博氏が指摘するように「攻撃を受ける企業の絶対数が増加し、情報漏洩がいま以上に発生するのが当たり前になる」未来が、早ければ2〜3ヶ月後に来る可能性があります

なぜ重要か：従来「狙う価値がない」とされていた中小企業・地方インフラが、AI攻撃の「ついで」のターゲットになります。研修先で、地方の中堅製造業のCSIRTが「うちは関係ない」と言っていた半年後にランサムウェア被害に遭ったケースを実際に見ました。

失敗2：「ベンダー任せ」でMythos対応状況を確認しない

❌ セキュリティ製品ベンダーや業務システムベンダーに「貴社のMythos対応状況は？」と聞かない
⭕ 主要ベンダー（OSベンダー、データベースベンダー、業務SaaS、セキュリティ製品ベンダー）に対して、「Glasswing参加状況」「自社製品のMythos相当の脆弱性検証計画」を文書で確認する

なぜ重要か：ベンダー側の対応状況を把握しないと、自社が「ベンダーの脆弱性対応速度」のボトルネックに巻き込まれます。日立・トレンドマイクロが先行している今こそ、ベンダー比較表を作り直すタイミングです。

失敗3：「Mythosが出るまで待つ」と判断停止する

❌ 「Mythosが一般提供されたら本格対応する」と決めて、現在のセキュリティ運用改善を止める
⭕ Claude Opus 4.8、Sonnet 4.6、GPT-5.6、Geminiなど現行のフロンティアモデルでも、上記5プロンプトのように「Mythos的アプローチ」の80%は今日から実践できます

なぜ重要か：Mythos一般公開時には、すでに先行運用している企業との差が決定的になっています。「待つ」コストの方が「今やる」コストより大きい局面です。研修現場で、半年前から既存AIモデルでセキュアコーディングレビューを始めていた企業は、Mythos対応も滑らかに移行できています。

失敗4：経営層がMythosの戦略的意味を理解せず、現場任せにする

❌ CISOから「Mythos対応に予算を」と言われても、経営層が「セキュリティ部門の話」と扱う
⭕ Mythosは「ITセキュリティ」ではなく「サプライチェーン全体の信用」「顧客からの調達要件」「将来の保険料率」に直結する経営課題として扱う

なぜ重要か：日立がMythosを取りに行った理由のひとつは、「顧客がMythos検証済を調達要件にする未来」への先回りです。経営層がこの構造を理解しないと、3年後に「気づいたら受注機会を失っていた」事態になります。

日本企業向けMythos活用ロードマップ——2026年Q3一般公開後の採用戦略

2026年Q3〜Q4にMythos相当の能力が一般化することを前提に、日本企業のCISO・情シス責任者が今すぐ着手すべきロードマップを整理します。

フェーズ1（2026年6〜7月・今すぐ）：現状把握と仮想Glasswing体験

自社のセキュリティ製品ベンダー・OTベンダー全社に「Glasswing参加状況」「Mythos相当の対応計画」をヒアリング
Claude Opus 4.8 / Sonnet 4.6 / GPT-5.6を使い、上記5プロンプトで「自社コード・自社CVE通知・自社IPSルール」を解析してみる
CSIRT・SOCチーム内で「Mythos的アプローチを試したログ」を蓄積し、運用知見をためる

フェーズ2（2026年8〜9月・3ヶ月以内）：内製化と外注の切り分け

自社で内製化すべき領域（社内コードの脆弱性レビュー、CVE通知のトリアージ等）と、ベンダー任せにする領域（仮想パッチ、製品脆弱性対応等）を切り分け
セキュリティベンダーの契約更新時に「Mythos由来の検知・仮想パッチ機能」を要件に追加
調達部門と連携し、新規システム調達時の「AI脆弱性検証要件」を仕様書に組み込む

フェーズ3（2026年10〜12月・半年以内）：経営レベルのガバナンス構築

取締役会レベルで「AI時代のセキュリティ戦略」を年次レビュー項目に追加
サイバー保険の更新時に、AI活用脆弱性管理の取り組みを提示し、保険料率の優遇を交渉
サプライチェーン全体の脆弱性管理状況を、半期ごとに監査

フェーズ4（2027年以降）：日本企業同士のGlasswingエコシステム形成

業界別ISAC（金融ISAC、電力ISAC等）で、Mythos由来の脆弱性情報の共有プロトコルを確立
NEC・富士通・日立等の主要SIerと連携し、日本独自のAIセキュリティスタンダードを業界提案
政府（NISC、IPA）との連携で、重要インフラ事業者向けのMythos相当能力共有プログラムを国レベルで構築

まとめ：今日から始める3つのアクション

今日やること：自社のセキュリティ製品ベンダーに「Glasswing参加状況」「Mythos相当の対応計画」を1社だけ問い合わせメールを送る（最も主要なベンダー1社で十分）
今週中：CSIRT・SOCチームで、本記事の5プロンプトのうち1つ（おすすめは即効プロンプト3「CVE通知の優先度自動判定」）を試してみる。Claude Opus 4.8 / Sonnet 4.6 / GPT-5.6 のいずれかで動きます
今月中：経営会議または役員会に「Mythos参画レースが起きていること」を15分プレゼンで共有。日立・トレンドマイクロの先行参画を「他人事」として扱わない議論の場を作る

Mythosの一般提供開始までの「準備時間」が、日本企業にとって最大の競争資産です。Glasswing参加企業との情報格差が確定する前に、自社の脆弱性管理プロセスをAIネイティブに変えていきましょう。

AI導入を組織全体で進める枠組みや、現場・経営層を巻き込むステップは、AI導入戦略完全ガイドに体系的にまとめています。あわせてご覧ください。

次回予告：次回は「Mythos時代のCSIRT組織再設計——AI駆動セキュリティチームの編成パターン3選」をテーマに、脆弱性発見・優先度判定・修復対応の各役割をAIと人間でどう分担すべきかを掘り下げます。

あわせて読みたい:

Anthropic Mythos 完全予想ガイド｜6月後半リリース予定の次世代Claudeの性能・料金・サイバーセキュリティ特化 — Mythos本体の技術仕様と料金体系の予想
Project Glasswingとは｜AI防御12社連合と企業対策【2026年最新】 — Glasswingプログラムの全体像と立ち上げ経緯
Claude Mythos完全解説｜Opus超えのAIの正体【2026】 — Mythosの技術的能力とOpus 4.7との比較

参考・出典

日立製作所がProject Glasswingに参画・Claude Mythos Previewアクセス権を取得-トレンドマイクロも続く — セキュリティ対策Lab（参照日: 2026-06-09）
日立、アンソロピックの限定提供AI「Claude Mythos Preview」活用へ — Yahoo!ニュース／あたらしい経済（参照日: 2026-06-09）
TrendAI、AnthropicのProject Glasswingに参加 — トレンドマイクロ公式プレスリリース（参照日: 2026-06-09）
トレンドマイクロ、AnthropicのProject Glasswingに参加 — Yahoo!ニュース／ZDNET Japan（参照日: 2026-06-09）
安野貴博氏によるMythos近未来予測 — UNITIS（参照日: 2026-06-09）
AnthropicがClaude Mythos Previewの先行提供プログラム「Project Glasswing」を15カ国以上に拡大 — GIGAZINE（参照日: 2026-06-09）
NEC、富士通に先手!? 日立が「Claude Mythos」アクセス権を取得した背景 — ITmediaビジネスオンライン（参照日: 2026-06-09）
日立が米Anthropicと「Mythos」アクセス契約締結、社会インフラの防御に活用 — ビジネス＋IT／Seizo Trend（参照日: 2026-06-09）

著者: 佐藤傑（さとう・すぐる）
株式会社Uravation代表取締役。X（@SuguruKun_ai）フォロワー約10万人。
100社以上の企業向けAI研修・導入支援。著書『AIエージェント仕事術』（SBクリエイティブ）。
SoftBank IT連載7回執筆（NewsPicks最大1,125ピックス）。

ご質問・ご相談はお問い合わせフォームからお気軽にどうぞ。

無料・初回相談