AIの安全装置を外す——それはAI企業が最も慎重に避けてきた選択だったはずだ。OpenAIは2026年4月、サイバーセキュリティ専門家向けに制限を緩和した「GPT-5.4-Cyber」を発表した。自社の安全評価でリスクを「高(High)」と判定しながら、それでも世に出すと判断した。使える人間を厳格に審査する「TAC(Trusted Access for Cyber)」プログラムを通じ、数百人の初期テスターから数千人規模の防御者へとアクセスを広げていく。
AIがセキュリティ業務を断り続けた問題
企業のセキュリティ担当者には、ハッカーと同じ手口で自社のシステムに侵入を試みる仕事がある。悪意のある攻撃者に先回りして弱点を探し出し、塞ぐための作業だ。「ペネトレーションテスト(侵入テスト)」と呼ばれ、守るために攻める——これが現代の企業防衛の現実だ。
その仕事でAIに助けを求めると、断られる。たとえば「このソフトウェアの設計図なしに内部の仕組みを解析してほしい」という依頼がある。「バイナリ解析」と呼ばれる技術で、出所不明のプログラムが実際に何をするか調べるために欠かせない。しかしAIには、正当な防御作業も攻撃の準備も文面だけでは区別がつかない。「危険なリクエスト」と判断して拒否する——依頼者が誰であるかを問わずに。
攻撃者はそのルールに縛られない。制限を回避する手段はすでに出回っており、AIを実際の武器として使い始めている。正規の手順で誠実に頼んだ防御側だけが門前払いを食らい続ける——そういう不均衡が静かに広がっていた。OpenAIの今回の発表は、この構造への一つの答えだ。
GPT-5.4-Cyberとは何か
OpenAIが2026年4月に発表した「GPT-5.4-Cyber」は、同年3月にリリースされた汎用モデル「GPT-5.4」の派生版だ。出発点の構造は同じでも、何のために使うかは根本から違う。
サイバー許容型設計の中身
通常のAIモデルは、悪用につながりうる質問に対して「回答しない」ラインを設けている。このラインの設定が、セキュリティ専門家には壁になっていた。GPT-5.4-Cyberはそのラインを、防衛目的の業務に限って意図的に下げた設計になっている。
どれほど踏み込んだ設計か——それはOpenAI自身の評価が示している。同社には「Preparedness Framework(準備フレームワーク)」と呼ばれる内部の安全評価制度がある。新しいモデルをリリースする前に、生物兵器やサイバー攻撃といった分野でどれだけ危険な使われ方をしうるかを測る仕組みだ。GPT-5.4-Cyberはこの評価で、サイバーセキュリティ分野のリスクレベルを「High(高)」と判定された。同社のモデルがこのカテゴリで「高」に分類されたのは初めてのことだ。
自社の安全評価で「高リスク」と認定した。それでも、提供に踏み切った。ここにOpenAIの判断の本質がある——制限を維持したままでは防御側が武装解除されるという認識だ。
バイナリ解析で何ができるか
GPT-5.4-Cyberが最も注目される機能が「バイナリ解析」だ。正確には「リバースエンジニアリング(逆解析)」とも呼ばれる。
分かりやすく言えば、こういう作業だ。完成した製品の設計図がないとき、製品そのものを分解して「どうやって作られているか」を読み解く。ソフトウェアの世界では、プログラムの設計図にあたる「ソースコード」が公開されていないことは珍しくない。出所が分からないプログラム、外部から導入したソフトウェア、怪しい挙動をするファイル——こうしたものが「何をしているか」を調べるには、完成品を直接分解するしかない。
これはセキュリティの専門家が手作業で、しばしば何時間もかけてやってきた仕事だ。GPT-5.4-Cyberはその分析をAIが担える。
OpenAIが今回の発表と同時に公開した評価レポートによると、実際の性能はセキュリティの専門家が腕を競う「CTF(Capture The Flag)」の競技問題をベースにした模擬攻撃シナリオで確かめられた。CTFは世界各地で開催されるハッキング競技で、参加者が実際のセキュリティ課題に取り組む。OpenAIはこの競技形式の問題群を評価セットとして用い、GPT-5.4-Cyberの合格率は73.33%だった。前世代にあたる「GPT-5.2 Thinking」の47%から、大幅に跳ね上がった数字だ。
難易度の高い課題に絞れば、成功率はさらに上がり88%に達した。逆説的に聞こえるが、難問カテゴリにはこのモデルが特に得意とするバイナリ解析の問題が多く含まれているためだ。熟練した専門家でも手こずる水準の問題を、高い確率でこなせる——そういうモデルが今回出てきた。
これほどの能力を持つモデルを、誰でも自由に使えるようにすることはできない。OpenAIはそう判断した。次に整備したのが、アクセスする人間を厳しく選ぶ仕組みだ。
TACプログラムを数千人規模に拡大
TACは「Trusted Access for Cyber」の略で、「サイバー領域への信頼済みアクセス」を意味する。GPT-5.4-Cyberを使えるのは、この制度の審査を通過した者だけだ。申請は公式サイト(chatgpt.com/cyber)から受け付けており、認定は一度に全員へ開くのではなく、段階を踏んで広げていく方式をとる。
審査は二層になっている。
- まず個人の本人確認だ。「KYC(Know Your Customer)」と呼ばれる手続きで、申請者の実在と、申告通りの経歴・身元かどうかを確認する。金融機関が口座開設時に行う本人確認に近い水準の作業だ。
- 次いで組織レベルの確認がある。申請者が所属する企業や機関が、正当なセキュリティ業務を担う組織であるかが審査される。
両方を通過して初めて「検証済み防御者」として認定され、制限緩和されたモデルへのアクセス権が付与される。
OpenAIの公式発表によると、今回の拡大では数百人の初期テスターから数千人の個人と数百チームへと規模を広げる。拡大は段階的に進める方針で、各段階で不審な使用パターンの検知と対応能力を確認したうえで次の段階へ進む。審査精度の確認と運用体制の整備を経ながら、2026年内の完了を目標にしている。並行してOpenAIは、対象となる防御チームに最大1,000万ドル分のAPI利用料を提供すると発表している。APIとはソフトウェア同士をつなぐ接続口のことで、ここでは「GPT-5.4-Cyberを組み込んだセキュリティツールを実際に動かすための費用」を肩代わりする形になる。承認した防御者が、コスト面の障壁なくこのモデルを活用できるよう整備する内容だ。
競合のAnthropicも、防御専用モデル「Mythos」を先行発表している。セキュリティ特化AIの競争が、業界全体で動き始めた。
Codex Securityとの連携
GPT-5.4-Cyberとあわせて、OpenAIは「Codex Security」の同時展開も進めている。こちらはコードベース——ソフトウェアを構成するコードの全体——を常時監視し、脆弱性(セキュリティ上の穴)の修正案を自動提案するツールだ。OpenAIが公式ブログで明らかにしたところでは、すでに3,000件以上の脆弱性修正提案の実績がある。GPT-5.4-CyberとTACが「セキュリティ専門家の深い調査作業」を担うとすれば、Codex Securityは「開発者が日常的に書くコードの防衛」を担う。攻撃に備える層と、日々の開発を守る層——この両輪でサイバー防衛の体制を組もうとする構図が見えてくる。
モデル制限から人物審査への転換
AIのリスク管理には長らく一つの前提があった。モデル自体に制限をかけ、危険な使い方に結びつく操作には一律で答えない——使う人間が誰であっても、同じルールを適用する。管理としてはシンプルだが、防御側も攻撃側も同じ制約に縛られるという問題を孕んでいた。
今回の方式は、その前提をひっくり返す。モデルの安全装置を意図的に下げながら、アクセスできる人間を事前に厳しく絞る。制限をかける対象が、モデルから人間に移った。「何を禁止するか」から「誰に許可するか」——この発想の転換が、TACプログラムの本質だ。
同じ技術が攻撃にも防御にも使える問題は、AIの登場以前からサイバーセキュリティが抱えてきた。AIはその問題を深刻化させた。高度な解析能力を、専門的な訓練を受けていない者でも引き出せるようになったためだ。攻撃者はすでにその能力を活用している。正規の手順で依頼した防御側だけが断られ続ける構造——そこへの答えが、今回「人物を審査してモデルを渡す」という形で打ち出された。AIのセキュリティリスク管理として、業界が本格的にこの問いに向き合い始めた最初の事例になりうる。
ただし、この方式で解決されない問いは残る。審査を通過した人物の認証情報が流出した場合、どう対処するか。数百人規模では管理できても、数千人に拡大したとき、審査の精度と運用コストは維持できるか。OpenAIは現時点で政府機関への提供を見送っている。商用組織での運用実績が積み上がるまでは対応が難しいという判断で、2026年内の段階的拡大の対象にも政府機関は含まれていない。
OpenAI以外でも同じ方向への動きがある。競合のAnthropicは今回の発表に先行して、防御用途に特化したモデル「Mythos」を公表していた。Anthropicの発表によると、Mythosは大手サイバーセキュリティ企業をパートナーとした限定提供からスタートし、個人の防御者へのアクセスは想定されていない。制限緩和の内容もOpenAIとは異なり、バイナリ解析よりもマルウェア(悪意のあるソフトウェア)の検出・分析に特化した設計とされる。対象者の範囲と用途の絞り方で各社の判断は分かれるが、「防御専用モデルを審査した上で渡す」という基本方針はOpenAIと共通している。一社の独自路線から、業界の方向性へ——そう読める動きが出てきた。
これまでAIの安全策は、モデルに制限をかけることが基本だった。危険に使われそうな機能は最初から封じる——それが標準的な発想だ。今回OpenAIが打ち出したのは、もう一つの選択肢だ。機能を封じるのではなく、使う人間を事前に確認して渡す。規模が大きくなったときにこの仕組みが機能するかどうかは、まだわからない。ただ、「制限をかける以外の方法」が実際の製品として動き始めた。
