コグニザント、GPT-5.5をサイバー防御に人間監視下で導入

オフィスでテクノロジー活用を象徴する写真 AI

OpenAIとコグニザントが2026年7月2日、サイバーセキュリティ分野での提携を発表しました。コグニザントは新モデル「GPT-5.5 with Trusted Access for Cyber」を導入し、自社のセキュリティ運用に組み込みます。これはOpenAIが定めるサイバー領域向けの限定アクセス制度で、権限範囲や監視体制を絞った上でモデルを使わせる仕組みです。コグニザントはまず自社内で運用し、その実績をもとに企業顧客向けサービスへ広げる計画です。生成AIを実運用のセキュリティ現場に組み込む具体事例として注目されています。

背景と文脈

これまで大規模言語モデルをサイバーセキュリティ業務に使う取り組みは、研究目的の実験や攻撃側視点の疑似侵入テストが中心でした。モデルの出力をそのまま防御に使うと、誤検知や過剰な自動対応につながるおそれがあるためです。悪用すれば攻撃者の脆弱性探索を手助けしかねない懸念も根強くありました。実際の企業システムに接続し、コードや通信ログを扱わせる段階まで進んだ事例は、これまで多くありませんでした。OpenAIはこうした課題に対応するため、サイバー領域専用の限定アクセス制度を用意しました。その名称が「GPT-5.5 with Trusted Access for Cyber」です。利用できる操作の範囲をあらかじめ絞り、利用状況を継続的に監視し、最終判断には必ず人が関わる設計です。今回コグニザントは、この制度の下でGPT-5.5を使う「Daybreak Cyber Partner Program」の参加企業となりました。コグニザントは世界各地の企業からセキュリティ運用を受託する大手ITサービス企業で、脆弱性対応や監視業務の実務経験を豊富に持ちます。フロンティアモデルと呼ばれる最新世代のAIを、研究段階ではなく実際の防御業務に持ち込む土台として、この提携は位置づけられます。単独のツール導入ではなく、権限設計と運用ルールをセットで整備した点が、これまでの事例と異なります。同様の枠組みは他業界にも広がる可能性があり、金融や医療など機密性の高い分野でも参考にされそうです。企業がAIベンダーと連携し、業務範囲を限定した形で導入する手法は、今後の標準的な進め方になるとみられます。

技術/ビジネス面

セキュリティ運用のテクノロジー活用をイメージした写真
Photo by Microsoft Copilot on Unsplash

コグニザントはGPT-5.5 with Trusted Access for Cyberを、まず自社のセキュリティ運用へ適用します。これは自社を最初の利用者と位置づける「Client Zero」の進め方です。安全性を自ら検証してから、外部の企業顧客に展開する順序を取ります。社内では、ソースコードの脆弱性を洗い出すセキュアコードレビューにモデルを使います。加えて、変更差分ごとの脆弱性の絞り込みと妥当性確認、開発パイプライン上でのプルリクエスト審査にも使います。企業顧客向けには、さらに脅威モデリングや検知ルールの設計にも用途を広げます。脅威ハンティング(攻撃の痕跡を能動的に探し出す調査活動)や、インシデントレスポンス(侵入や障害発生後に原因究明と復旧を進める一連の対応)も対象です。いずれの工程でも、モデルが出した判断や修正案をそのまま実行はしません。候補として提示された脆弱性の修正案は、必ず担当者が内容を読み、妥当性を確認してから適用します。検知ルールの追加や既存システムへの変更も、承認フローを経て初めて反映されます。コグニザントの担当者は、フロンティアAIが防御側の前提を変えつつあるとしつつも、モデルの力は実際の企業内でどう運用するかで決まると述べています。権限範囲を絞り、利用ログを監視し、要所に人の判断を挟む三段構えの枠組みが、この取り組みの中心にあります。従来のように出力を鵜呑みにせず、人が最終責任を持つ設計を保ったまま、脆弱性発見から修正確認までの時間短縮を狙う点が特徴です。

これからどうなるか

今回の提携は、フロンティアモデルを実運用のセキュリティ現場に持ち込む具体例として、他のITサービス企業やクラウド事業者にも波及しそうです。コグニザントの自社実践がどこまで成果を出せるかは、企業顧客への展開時期を左右する要因になります。監視ログや人による承認の記録が、AI活用の信頼性を裏付ける材料として蓄積される点にも注目です。同種の限定アクセス制度を他のAI企業が用意するかどうかも、今後の焦点になりそうです。開発者やセキュリティ担当者にとっても示唆があります。自分のプロダクトのCI/CDパイプラインにコードレビューAIを組み込む際にも参考になります。権限範囲を絞り、修正案は必ず人が確認してから反映する設計です。社内SOCツールにLLMを使う場合も同じ考え方が使えます。全自動化を急がず、人が最終判断を担う仕組みを先に固める進め方が、実務導入の現実的な選択肢といえそうです。小規模なチームでも、まず低リスクな業務から人の確認を挟んで試す進め方は取り入れやすいはずです。

まとめ

コグニザントは2026年7月2日、OpenAIのGPT-5.5 with Trusted Access for Cyberの活用を発表しました。まず自社セキュリティ運用に導入します。自社を最初の利用者とするClient Zeroの形で検証し、企業顧客向けにも展開します。脆弱性対応から脅威ハンティングまで幅広い用途を想定しつつ、人による確認を軸にした設計が特徴です。

参考リンク

アイキャッチ画像: Photo by Quilia on Unsplash

タイトルとURLをコピーしました