金融庁と日銀、AI悪用のサイバー攻撃に備え金融機関に要請

金融庁と日本銀行は22日、フロンティアAIによるサイバー攻撃の脅威に対応するため、金融機関などに対する要請文書「フロンティアAIによる脅威変化を踏まえた金融機関等の短期的な対応」を公開した。

フロンティアAIの発展により、これまで発見が困難だったシステムの脆弱性が短期間に大量に発見され、サイバー攻撃のスピードや規模の劇的な拡大が懸念されている。金融庁が4月に開催した官民連携会議や、5月の実務者レベルの作業部会での議論を踏まえ、同文書が取りまとめられた。

要請では金融機関などに対し、経営トップの関与のもと、1カ月程度を目途に資産管理や脆弱性管理などの態勢を点検し、必要な強化を行なうよう求めている。フロンティアAIへの対応は、IT部門やサイバーセキュリティ部門だけの課題ではなく、全社的な経営課題として扱う必要があるとしている。

具体的には、大量の脆弱性対応による負荷増大を想定し、インターネットバンキングなどの重要業務を支える外部公開システムを中心に、優先的に対応すべきITシステムを特定し、重点的にリソースを配分することを求めている。大量の脆弱性が発見された場合でも、リスクの高いものから優先順位をつけて対応する必要がある。

また、不要なネットワークポートの閉塞やサポート対象バージョンへの更新などを行ない、脆弱性発見時にパッチ適用対象を即座に特定できる状態にしておくことも求めている。

パッチ適用が困難な場合には、クラウド型のウェブアプリケーション防御機能(WAF)による仮想パッチや、EDR(Endpoint Detection and Response)などによる防御力の強化も選択肢となる。

このほか、パッチ適用作業の増加に備え、人的リソースの追加やベンダーとの維持保守契約の内容を確認することも必要だとしている。緊急時に夜間や休日でも対応可能か、複数機関で同時に作業が発生した場合でもベンダー側でサービス水準を遵守できるリソースが確保されているかを確認しておくことが重要となる。

各種対策を徹底してもサイバー攻撃を完全に防御できない可能性を前提に、事業継続計画(BCP)の有効性を点検するとともに、優先度の高いシステムを能動的に停止させる選択肢もあらかじめ明確にしておくよう呼びかけている。