金融機関は「AIで守る」体制へ移行せよ

前節で確認したように、Mythosに代表されるフロンティアAIは、サイバー空間における攻防の速度を一段引き上げる可能性がある。金融機関側も、この変化を前提に防御体制を見直す必要がある。ただし、ここでいう「AIで守る」とは、AIに判断を丸投げすることではない。人間が検証・統制できる範囲を明確にしたうえで、AIを検知、分析、判断支援、復旧対応の補助線として組み込むことである。

金融機関が優先すべき対応は、次の4点に整理できる。

第一に、フロンティアAIへの対応を経営課題として扱うことである。AIサイバーリスクは、IT・サイバーセキュリティ部門だけの問題ではない。重要サービスの停止、顧客対応の混乱、決済・清算の遅延、市場取引への影響、レピュテーション低下を通じて、金融機関の経営そのものに直結する。したがって、経営トップ、CIO、CISO、リスク管理部門、業務部門、財務部門が横断的に関与し、優先的に守るべきサービスとITシステムを特定する必要がある。守るべき対象が曖昧なままでは、脆弱性が大量に発見された局面で、限られた人員や予算をどこに集中すべきか判断できない。

第二に、防御プロセスの徹底的な高速化である。金融機関は、脆弱性の継続的な検知、ソフトウェア構成の把握、膨大なセキュリティログの分析、未知の脅威の異常検知、パッチ適用の優先順位付けにAIを組み込み、防御対応の時間を縮める必要がある。攻撃側がAIを用いて探索と攻撃の速度を上げるのであれば、防御側もAIを用いて検知と判断の速度を上げなければならない。とくに、外部公開システム、インターネットバンキング、取引システム、決済・清算関連システムなどは、リスクベースで優先順位を明確にし、パッチ適用や代替防御策を迅速に実行できる体制を整える必要がある。

第三に、実戦型テストを起点とした継続的な改善である。TLPTやレッドチーム演習は、AI時代にも重要である。ただし、それらは単発の検査ではなく、防御プロセス全体を改善するための起点として位置づけるべきである。演習によって明らかになった課題を、技術負債の解消、ログ監視の高度化、インシデント対応手順の見直し、パッチ運用、ベンダー契約、BCPに反映しなければならない。AI攻撃時代には、テストを実施した事実だけでは十分ではない。演習で見つかった弱点を、運用改善、技術負債の解消、監視体制の見直し、復旧訓練に反映できるかが問われる。

第四に、金融インフラ全体での協調防衛体制の構築である。金融機関は、自社だけでサイバーリスクを完結的に管理できるわけではない。クラウド、ITベンダー、共同センター、決済ネットワーク、市場インフラ、外部ソフトウェアに依存する以上、脅威情報の共有、緊急時の連絡体制、ベンダーの対応余力、SLA・SLOの確認、共同運営システムにおける責任分担が不可欠である。監督当局、金融機関、ITベンダー、業界団体、金融ISACが連携し、AIを活用した監視、脅威情報のリアルタイム共有、早期警戒の仕組みを整える必要がある。

Mythosが投げかけた課題は、AIを使うか使わないかという単純な二分法ではない。攻撃側がAIを使って脆弱性探索や攻撃シナリオの構築を速めるのであれば、防御側もリスクを管理しながら、AIを防衛プロセスの一部として組み込まざるを得ない。攻撃側がAIによって速くなるのであれば、防御側もAIを活用し、検知、判断、封じ込め、復旧の速度を上げなければならない。金融システムの強靭性は、攻撃を完全に防ぐことだけで測られるものではない。攻撃をどれだけ早く見つけ、影響をどこまで限定し、顧客や市場への説明責任を果たしながら業務を復旧できるかが、AI時代の金融サイバー防衛の核心になる。金融機関に求められるのは、「AI攻撃をAIで完全に防ぐ」ことではない。AIが攻撃の速度を高める時代に、AIも活用しながら金融インフラ全体のレジリエンスを維持することである。

(※情報提供、記事執筆：第一ライフ資産運用経済研究所 政策調査部 主席研究員 柏村 祐）