OpenAIがセキュリティ専門チーム向け「GPT-5.5-Cyber」を限定公開

概要

OpenAIは2026年5月7日、同社最新モデル「GPT-5.5」のサイバーセキュリティ特化チューニング版「GPT-5.5-Cyber」を、審査済みのセキュリティチームに向けた限定プレビューとして公開した。セキュリティ防御側が利用できる最も許可範囲が広いモデルとして位置づけられ、脆弱性の概念実証作成や攻撃シミュレーションを支援する設計となっている。

※本記事は公開情報をもとに編集部が再構成したサマリです。一次情報は出典欄をご参照ください。

事実のポイント

• 公開日と対象: 2026年5月7日、審査済みパートナー（承認済みセキュリティチーム）向けの限定プレビューとして展開
• 主な用途: 組織内のバグに対する概念実証の作成、セキュリティ態勢テストのシミュレーション
• プログラム名: 「Trusted Access for Cyber（TAC）」として提供。すでに開発者・セキュリティチームへの一般的なGPT-5.5展開も進行中
• 英国AISI評価: 32ステップの模擬企業サイバー攻撃で、GPT-5.5は10回中2回完了。Anthropicの「Mythos」は10回中3回完了
• 基盤モデル: GPT-5.5をベースに、より許可的なサイバーワークフロー向けにチューニングしたもの

用語・背景の補足

「概念実証（PoC: Proof of Concept）」とはセキュリティ分野で、特定の脆弱性が実際に悪用可能であることを実証するコードや手順を指す。攻撃者がどのように脆弱性を突けるかを理解することは、防御策の設計に不可欠である。

「Trusted Access for Cyber（TAC）」はOpenAIが設けた、サイバーセキュリティ目的での高度なAI機能利用を承認されたユーザーに限定して提供する枠組み。一般向けとは異なる、より広い動作範囲を持つモデルが提供される。

英国の「AI安全研究所（AISI）」は、大規模言語モデルの安全性評価を独立して実施する機関。政府機関として、商業リリース前のモデル評価において中立的な立場を担う。

解説

AIを攻防両面のサイバーセキュリティに活用する取り組みは2025年から加速しており、2026年に入り商業的な形での展開が本格化している。GPT-5.5-Cyberの公開は、AIが「防御ツール」として機能しうる可能性を示す一方で、同時に慎重な管理の必要性も示している。

英国AISIの評価結果は注目に値する。「10回中2回の完了」という数字は低いように見えるが、模擬とはいえ32ステップにわたる企業ネットワーク攻撃を自律的に遂行できる能力の存在を意味する。これは防御の自動化だけでなく、悪用リスクの管理がいかに重要かを示している。

OpenAIが「審査済みパートナー限定」という枠組みを採用したことは、能力の公開と安全管理のバランスを取る試みといえる。競合のAnthropicが「Mythos」をセキュリティ特化モデルとして公開（5月初旬）しており、AI企業間のセキュリティAI領域での競争が本格化している。

注意点

• 限定プレビューのため、一般のセキュリティエンジニアが即座に利用できる状態ではない
• 模擬サイバー攻撃テストの結果は実際の攻撃環境とは条件が異なる
• 防御目的のツールは攻撃的利用を防ぐ管理策とセットで導入する必要がある

編集部見解

（追記予定）