「防げなかった場合」も見据えて
新型AIのミトスは、利用者に悪用されれば、金融機関のシステムの脆弱性(セキュリティの穴)を短時間で見破って突破する危険があり、開発元のアンソロピック社は現状、一般提供を見送って一部の機関等に権限を付与しています。
金融庁幹部は記者向けブリーフィングの場で、「個別モデルへのアクセス確保自体も有益なことではあるが、それがなければ何もできないとか、それが最優先だということではない。今まで人が簡単に見つけられなかった脆弱性をAIが見つけられるようになっても、最終的に取り組むべきことが劇的に変わるかというと、必ずしもそうではない」と指摘。その上で、次のように見解を述べました。
「仮に大量の脆弱性が出てきた時には、その対応をいかに迅速に進めるか。防御態勢をどうするか。防ぎきれなかった時のコンティジェンシープランをどうするのか。大量のパッチ(セキュリティの穴をふさぐ修正プログラム)を当てなければいけなくなった時、その前に必要なアップデートが全部済んでるかなど、取り組むべきは多々ある。会議の場では、そうした対応について検討していく」
3メガ+2行が作業部会に参加へ
作業部会には主要な金融機関の他、全銀協、地銀協、日証協、生保協を含む各業界団体、そしてITベンダー(NRI、NTTデータ等)が参加する予定です(※記事末尾に参加企業・団体の一覧)。
このうち金融機関の枠には3メガに加え、楽天銀行とセブン銀行が名を連ねています。同幹部は「システムに対する攻撃のリスクを議論する場でもあり、システムを使うという意味で、ネットを活用したサービスを中心に提供している銀行の経験を持つ立場からの貢献も必要だろうということで、楽天銀行とセブン銀行を、ある意味でネット系の銀行を代表してということになるかもしれないが、お入りいただくことにした」と説明します。
一方、「サイバー攻撃を受けるリスクは大手金融機関だけでなく、中小金融機関にも関わってくる。短期的な対応だけではなくて、中長期的に底上げを図っていくことを肝に銘じて検討を進めていきたい」と説明。「小規模な金融機関は自前でシステムを持っているところばかりではなく、かなり共同化も進んでいる。AI を活用したサイバー攻撃への対応も含め、技術的な対応については共同センターを管理しているベンダーに拠るところも大きいので、ベンダーも今回の作業部会に入っていただいている」と述べました。
作業部会の会合は初回を含め全て非公開で行う方針としています。同幹部は「金融機関が実際に行う対応策やサイバーセキュリティ上の機微な情報を公表すれば、攻撃者に利することになりかねない」とその理由を説明。その上で、「共有すべき情報があれば、例えば金融機関が実際にシステム上の対策を行う上で役立つ実務的な対応の方向性や、他の金融機関におけるベストプラクティスを整理するなど、金融機関の役に立つ実効性のある形でその成果を示していきたい」と話しました。
※作業部会の参加組織(公表資料より、五十音順)
(金融機関等)
株式会社セブン銀行、株式会社日本取引所グループ、株式会社みずほ銀行、株式会社三井住友銀行、株式会社三菱UFJ銀行、楽天銀行株式会社
(IT ベンダー等)
アマゾン ウェブ サービス ジャパン合同会社、Anthropic Japan 合同会社、株式会社NTT データ、OpenAI Japan 合同会社、グーグル合同会社、日本アイ・ビー・エム株式会社、日本電気株式会社、日本マイクロソフト株式会社、株式会社野村総合研究所、株式会社日立製作所、BIPROGY 株式会社、富士通株式会社
(業界団体)
一般社団法人金融ISAC、公益財団法人金融情報システムセンター、一般社団法人生命保険協会、一般社団法人全国銀行協会、一般社団法人全国地方銀行協会、一般社団法人全国信用金庫協会・株式会社しんきん情報システムセンター、一般社団法人全国信用組合中央協会・全国信用協同組合連合会、一般社団法人全国労働金庫協会・労働金庫連合会、一般社団法人第二地方銀行協会、一般社団法人日本損害保険協会、日本証券業協会
(政府機関等)
AI セーフティ・インスティテュート、国家サイバー統括室、財務省、日本銀行
