AWS、Anthropic、Apple、Google、マイクロソフト、NVIDIAなど12社が2026年4月7日、世界の重要ソフトウェアインフラの安全確保を目的とした共同イニシアチブ「プロジェクト・グラスウィング」の発足を発表した。
クラウド・AI・半導体・セキュリティ・金融という異なる業種の巨人が一堂に会した点が最大の注目点だ。電力・金融・医療などの基盤を支えるソフトウェアが侵害されれば、連鎖的な社会インフラ崩壊につながりかねず、単一企業の脆弱性問題とは次元の異なる脅威となる。
「重要ソフトウェアセキュリティ」とは、社会インフラが依存するコア・コードを守ることを指す。サプライチェーン攻撃(例:ソーラーウィンズ事件)やゼロデイ脆弱性、オープンソース部品の汚染が長年の課題だ。Linuxファウンデーションの参加はオープンソース生態系のガバナンス強化を示唆し、JPモルガン・チェースの加入は金融システムの高いソフトウェア依存度を浮き彫りにする。
壮観な顔ぶれだが、「連合声明」と「実行」の距離はIT業界の歴史上、常に遠い。12社は協力者であると同時に競合他社でもある。商業利益が衝突する中でセキュリティ基準を統合し、脆弱性情報を本当に共有できるかが成否を分ける。「重要ソフトウェア」の定義と修正優先順位の決定権を誰が握るか——そこに本質的な問いが潜む。
【関連用語】サプライチェーン攻撃/ゼロデイ脆弱性/オープンソースセキュリティガバナンス/ソフトウェア部品表(SBOM)