金融庁・日銀、金融機関にAIサイバー攻撃の対策要請 対応の優先度決定など9項目
金融庁と日本銀行は5月22日、ChatGPTやClaudeなど「フロンティアAI」が脆弱性を短期間で大量発見できる脅威を受け、金融機関に9項目の短期的対応を要請した。
金融庁と日本銀行(以下、日銀)は5月22日、AI技術を悪用したサイバー攻撃の脅威を受け、関係金融機関に9項目からなる短期的な対応を要請した。
金融庁が4月24日に開催した官民連携会議と、5月14日の実務者作業部会での議論を取りまとめた。要請事項は以下の通り。
- ChatGPTやClaudeを代表とする「フロンティアAI」への対応を経営課題として位置付ける。IT・サイバーセキュリティ部門にとどまらず、経営トップが全社的な経営課題として扱い、各業務所管部門、リスク管理部門、IT部門、財務部門等が横断的に連携する体制構築を求める。
- 優先的に対応すべきサービス/ITシステムの特定。大量の脆弱性発見でパッチ適用作業の負荷が著しく増大すると想定するため、リスクの高い領域から優先的に対応を進める。インターネットバンキングなどの重要業務を支える外部公開ITシステムは最優先で対応すべきだとしている。
- 技術負債の解消。不要なネットワークポートの閉塞、特権IDの削除、未対応の修正プログラム(パッチ)の適用などにより、迅速なパッチ適用が可能な状態を確保する。特に、サポートが終了している製品を、速やかにサポート対象バージョンへ更新する。
- パッチ適用に関する人的リソースの追加。今後増加が見込まれる脆弱性への対応力を向上するため、実施計画を見直すとともに、他のITシステム部門からの支援等を検討すべきとしている。
- ベンダーとの維持保守契約の内容確認。パッチ適用作業が現行の維持保守契約に含まれていること、夜間・休日も含めて適時対応可能な契約内容となっていることなどを確認する。
- パッチ適用プロセスもリスクの大きさに応じて優先順位を付ける。共通脆弱性評価指標(CVSS)スコアが高くない脆弱性であっても攻撃者が悪用するケースがあり、攻撃が実際に起こる可能性も踏まえた評価を行う必要があるとしている。
- パッチ適用以外の対策強化。クラウド型のWebアプリケーション防御機能(WAF)を用いた仮想パッチの適用、ネットワーク分離、特権IDへの多要素認証導入、端末における不正検知・対応機能などの防御能力強化。
- 優先サービス/ITシステムの停止への備え。サイバー攻撃でITシステムが停止する場合を想定するとともに、能動的なサービス停止の判断基準・手順を自組織内で明確化することが重要としている。
- 外部との連携の維持・強化。金融ISACや各業界団体・コミュニティ、当局からの情報に積極的にアクセスし、自組織の取り組みも共有することで、金融分野全体の強靭性を高める。
今回の要請はあくまで応急的措置と位置付け、中長期的には脆弱性対応の自動化といった対策を進める方針。金融庁は、政府が18日に発表した対応プロジェクト「Project YATA-Shield」(5月18日公表)に沿って、金融分野の特性を踏まえた対策を講じていくとしている。
要請の背景には、フロンティアAIの発展に伴うサイバー攻撃の脅威がある。フロンティアAI、中でも米Anthropicが4月7日に発表した「Claude Mythos」などのモデルは、脆弱性の発見や攻撃コードの生成能力に優れ、熟練技術者でも難しかったソフトウェアの欠陥を短期間で大量発見できるとされる。
こうした中で、金融機関は資産管理、脆弱性管理、修正プログラム(パッチ)適用、監視対応について、迅速かつ適切に対応できる態勢かを至急点検し、必要な強化を図る必要があると呼び掛けた。
一方、英国AI安全性評価機関(AISI)の報告書では、現時点でフロンティアAIは十分な防御を備えたITシステムへの攻撃を達成できるとはいえないという。金融庁・日銀は分析も踏まえ、「金融分野におけるサイバーセキュリティに関するガイドライン」に基づく対策を、迅速・着実に実行することが引き続き重要だと強調した。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
USEN、「AI店長」開発 飲食店特化のAIプロダクト投入へ ドリンク残量の自動検知も
USENは5月22日、飲食店向けの新AIプロダクト2点を発表した。AIセンサーカメラでドリンク残量をリアルタイム判別する「ドリンク残量検知サービス」と、店舗データに基づいた経営分析AI「USEN AI店長」でより効率的な運営をサポートする。
Spotify、UMGとの提携で生成AIで楽曲リミックスが作れる有料ツール導入へ
SpotifyはUniversal Music Groupとの提携を発表し、生成AIを活用してファンが楽曲のカバーやリミックスを作成できる有料の新ツールを導入する。権利者の同意や正当な報酬を前提とした仕組みで、AI主導の二次創作から生み出された利益をアーティストらに直接分配するモデルを導入する。
ChatGPTでYahoo!ショッピングの商品が探せるように ECモールで初の連携
ChatGPTの会話からYahoo!ショッピングの商品が探せるようになった。LINEヤフーが「Apps in ChatGPT」への対応を開始。ECモールとして初の連携で、Yahoo!ショッピングとの会員登録不要で利用できる。
Anthropic、SpaceXのクラウドに毎月2000億円弱を支払うと判明 「Claude」の計算リソース確保で
米SpaceXは5月20日(現地時間)、新規公開株式発行(IPO)に向けたFORM-S1(目論見書)で、AI企業Anthropicとのコンピュート・サービス契約を開示した。Anthropicは2026年5月から2029年5月まで、SpaceXのデータセンター利用に対して毎月12億5000万ドルを支払う。
Google、Gemini活用の新広告フォーマットをGoogle検索に導入、「AI Mode」向けの会話型広告も
Googleは、「Gemini」を活用した複数の新広告フォーマットを検索に導入すると発表した。「AI Mode」向けに生成AIが回答やお勧めリストに広告を組み込む形式を試験提供するほか、通常の検索向けには自動説明付きのショッピング広告やチャット型広告などを順次展開する。