☑️ フロンティアAIによる脆弱性発見・攻撃コード生成の変化を前提に要請
☑️ 金融機関等に概ね1カ月を目途とした短期対応の実施を求める内容
☑️ 経営関与、優先システム特定、ベンダー契約、BCP点検まで対象
金融庁と日本銀行は2026年5月22日、関係事業者代表者に対し、「フロンティアAIによる脅威変化を踏まえた金融機関等の短期的な対応」に取り組むよう要請しました。AIを用いたサイバー攻撃により、脆弱性の発見や攻撃コード生成が短期・大量に進む可能性を踏まえ、金融機関等に対して、経営トップを含む経営層の直接関与のもとで、資産管理、脆弱性管理、パッチ適用、監視対応、レジリエンスを至急点検するよう求める内容です。従来の一般的なサイバーセキュリティ対策ではなく、フロンティアAIにより大量の脆弱性や修正プログラムが短期間に発見・提供される事態を想定し、優先サービスやITシステムを絞り込んで対応する点が差分です。
今回の要請は、4月24日に開催された「AI脅威に対する金融分野のサイバーセキュリティ対策強化に関する官民連携会議」と、5月14日に実施された実務者レベルの作業部会での議論を踏まえたものです。作業部会では、短期的に脆弱性やパッチが集中的に発見・提供される可能性を前提に、「フロンティアAIによる脅威変化を踏まえた金融機関等の短期的な対応について」を取りまとめました。金融機関等には、AIモデル開発企業の活動状況も踏まえ、概ね1カ月程度を目途に対応を進めることが期待されるとしています。
経営課題として優先サービスとITシステムを特定
文書では、フロンティアAIを、脆弱性の発見や攻撃コード生成に優れ、従来は発見が困難だった脆弱性を短期間に大量に発見し得るものとして整理しています。脆弱性の発見から攻撃に至るまでの期間が短縮される可能性や、スキルの低い攻撃者がフロンティアAIを悪用することでサイバー攻撃が増加する懸念も示しています。
一方で、英国AISIの報告書を踏まえ、現時点ではフロンティアAIが十分に防御されたITシステムに対して攻撃を達成できるとは言えないとも説明しています。そのため、金融庁の「金融分野におけるサイバーセキュリティに関するガイドライン」に基づく基本的な対策を、より迅速かつ着実に実行することが引き続き重要だとしています。
金融機関等に求める対応の1つ目は、フロンティアAIへの対応を経営課題として扱うことです。経営トップは、業務所管部門、リスク管理部門、IT・サイバーセキュリティ部門、財務部門などが横断的に連携できるよう、対応を主導する必要があります。CIO、CISOを含む経営層には、対応方針の策定、対応状況の把握、課題への対処への直接関与が求められます。
2つ目は、優先的に対応すべきサービスやITシステムの特定です。大量の脆弱性発見により、パッチ適用作業の負荷が増大することを前提に、既存のIT部門のリソースを短期的に大幅拡充することは現実的ではないとしています。そのため、インターネットバンキングなど重要業務を支える外部公開ITシステムを含め、優先的に対応すべきサービスやITシステムを特定し、リスクベースでリソースを配分する必要があります。
ベンダー契約、SLA、SLO、パッチ優先順位も確認対象
金融機関等には、特定した優先サービスやITシステムについて、ソフトウェア構成とネットワーク構成を再確認し、脆弱性発見時にパッチ適用対象を即時に特定できる状態を確保することも求めています。不要なネットワークポートの閉塞、特権IDの削除、未対応パッチの適用により技術負債を可能な限り解消し、サポート終了製品はサポート対象バージョンへ速やかに更新する必要があります。
人的リソースについては、優先的に対応すべきサービスやITシステムに関連する実施計画を見直し、他のITシステム部門からの支援などにより追加を検討するよう求めています。パッチ適用作業を担うベンダーにも、脆弱性対応の増加に対して十分なリソースが確保されるかを事前に確認することが重要だとしています。
ベンダーとの維持保守契約も確認対象です。パッチ適用作業が現行契約に含まれているか、役割分担が明確か、夜間・休日を含む緊急対応が可能な契約内容かを確認する必要があります。複数の金融機関等で大量の脆弱性対応が同時に発生しても、SLAとSLOを踏まえたパッチ適用ができるよう、ベンダー側のリソース確保状況を確認することも求めています。
| 対応項目 | 金融機関等に求められる主な内容 |
|---|---|
| 経営課題化 | 経営トップとCIO、CISOなど経営層が直接関与 |
| 優先システム特定 | 重要業務を支える外部公開ITシステムなどを優先 |
| 技術負債解消 | 構成確認、不要ポート閉塞、特権ID削除、未対応パッチ適用 |
| 人的リソース追加 | IT部門内外やベンダー側の対応体制を確認 |
| ベンダー契約確認 | パッチ適用範囲、役割分担、夜間・休日対応、SLA・SLOを確認 |
| リスクベース対応 | CVSSスコアだけでなく攻撃成立の蓋然性も踏まえて優先順位付け |
| 代替策強化 | WAF、仮想パッチ、ボット対策、ネットワーク分離、MFA、EDRを検討 |
| 停止への備え | BCP、顧客対応、緊急連絡体制、能動的停止の判断基準を点検 |
| 外部連携 | 金融ISAC、業界団体、当局などから情報収集し、取組を共有 |
パッチ適用プロセスについては、CVSSスコアや攻撃コードの有無だけでなく、自組織のサービスやITシステムに及ぼす影響と、攻撃が成立する蓋然性を踏まえて優先順位を決める必要があります。文書では、CVSSスコアが高くない脆弱性でも実際の攻撃に利用される実態があるとし、フロンティアAIによりこうした傾向が加速することも想定しています。
パッチ適用以外の対策とサービス停止にも備える
パッチ適用そのものが困難な場合や、適用期間の短縮が難しい場合には、WAFなどを用いた仮想パッチ、ボット対策、ネットワーク分離、特権IDへの多要素認証、EDRによる防御能力の強化、内部侵入後の横展開への対策など、多層防御の強化も求めています。ただし、これらはあくまでもリスク低減策であり、パッチを適用できないことによる残存リスクを評価した上で、適切なリスク受容手続を講じる必要があります。
優先サービスやITシステムの停止への備えも明記されています。各種対策を徹底してもサイバー攻撃に対応できない可能性を前提に、サイバー攻撃によりITシステムが停止する場合だけでなく、優先サービスやITシステムを能動的に停止せざるを得ない場合も、経営トップがあらかじめ選択肢として検討しておくべきだとしています。BCPの有効性、顧客などステークホルダーへの対応手順、緊急時の連絡体制、サービス停止の判断基準と手順の点検も対象です。
外部との連携については、フロンティアAIに関する情報が短期間に多数公開されるため、自組織のみで網羅的に把握することは困難としています。金融ISAC、各業界団体、コミュニティ、当局などから必要な情報を収集するとともに、自組織の取組を共助のためのコミュニティで共有することが望ましいとしています。
今回の要請は、金融機関等に対し、AI脅威への抽象的な注意喚起ではなく、大量の脆弱性発見とパッチ提供を想定した短期対応を求める内容です。金融機関等にとっては、優先すべきサービスやITシステムの特定、ベンダー契約とリソースの確認、パッチ適用のリスクベース化、代替防御策、サービス停止時の判断基準までを、経営層の関与のもとで点検する必要があります。
発表日時: 2026年5月22日
関連URL: https://www.fsa.go.jp/news/r7/sonota/20260522-5/20260522.html
