金融庁と日本銀行(以下、日銀)は5月22日、AI技術を悪用したサイバー攻撃の脅威を受け、関係金融機関に対して9項目からなる短期的な対策を要請した。この要請は、金融庁が4月24日に開催した官民連絡会議と、5月14日の実務者作業部会での議論を取りまとめたものである。
9項目の具体的な対策内容
要請事項は以下の通りである。まず、ChatGPTやClaudeに代表される「フロンティアAI」への対応を経営課題として位置付ける。IT・サイバーセキュリティ部門に留まらず、経営トップが全社的な経営課題として扱い、各業務部署長、リスク管理部署長、IT部署長、財務部署長などが横断的に連携する体制構築を求める。
優先的対応と技術的対策
優先的に対応すべきサービスやITシステムの特定も重要だ。大量の脆弱性発見によりパッチ適用作業の負荷が急激に増大すると想定されるため、リスクの高い領域から優先的に対応を進める。インターネットバンキングなどの重要業務を支える外部公開ITシステムは最優先で対応すべきとしている。
技術的負債の解消も挙げられる。不要なネットワークポートの閉鎖、特権IDの削除、未対応の修正プログラム(パッチ)の適用などにより、迅速なパッチ適用が可能な状態を確保する。特に、サポートが終了している製品を速やかにサポート対象バージョンへ更新する必要がある。
人的リソースとベンダー契約の確認
パッチ適用に関する人的リソースの追加も要請された。今後増加が見込まれる脆弱性への対応力を向上させるため、実施計画を見直すとともに、他のITシステム部署からの支援などを検討すべきとしている。
ベンダーとの保守契約の内容確認も重要だ。パッチ適用作業が現行の保守契約に含まれていること、夜間や休日も含めて適時対応可能な契約内容となっていることなどを確認する。
リスク評価と追加対策
パッチ適用プロセスにもリスクの大きさに応じて優先順位を付ける。共通脆弱性評価指標(CVSS)スコアが高くない脆弱性でも攻撃者が悪用するケースがあり、攻撃が実際に発生する可能性も踏まえた評価を行う必要があるとしている。
パッチ適用以外の対策強化としては、クラウド型のWebアプリケーション保護機能(WAF)を活用した仮想パッチの適用、ネットワーク分離、特権IDへの多要素認証導入、端末における不正検知や対応機能などの防御能力強化が挙げられる。
サービス停止と外部連携
優先サービスやITシステムの停止への備えも重要だ。サイバー攻撃でITシステムが停止する場合を想定するとともに、能動的なサービス停止の判断基準や手順を自組織内で明確化することが重要としている。
外部との連携の維持・強化も求められる。金融ISACや各業界団体、コミュニティ、当局からの情報に積極的にアクセスし、自組織の取り組みも共有することで、金融分野全体の強靭性を高める。
背景と今後の方向性
今回の要請はあくまで応急措置と位置付けられ、中長期的には脆弱性対応の自動化といった対策を進める方針だ。金融庁は、政府が18日に発表した対応プロジェクト「Project YATA-Shield」(5月18日公表)に基づき、金融分野の特性を踏まえた対策を講じていくとしている。
要請の背景には、フロンティアAIの発展に伴うサイバー攻撃の脅威がある。フロンティアAI、中でも米Anthropicが4月7日に発表した「Claude Mythos」などのモデルは、脆弱性の発見や攻撃コードの生成能力に優れ、熟練技術者でも難しかったソフトウェアの脆弱性を短期間で大量発見できるとされる。
こうした中、金融機関は資産管理、脆弱性管理、修正プログラム(パッチ)適用、監視対応について、迅速かつ適切に対応できる体制かを重点点検し、必要な強化を図る必要があると呼びかけた。
一方、英国AI安全性評価機関(AISI)の報告書では、現時点でフロンティアAIは十分な防御を備えたITシステムへの攻撃を達成できるとはいえないという。金融庁・日銀は分析も踏まえ、「金融分野におけるサイバーセキュリティに関するガイドライン」に基づく対策を、迅速かつ着実に実行することが引き続き重要だと強調した。
