日本銀行は9月22日、G7サイバー・エキスパート・グループ(Cyber Expert Group)が9月18日に「AI及びサイバーセキュリティに関するステートメント」を公表したと発表した。
サイバー・エキスパート・グループ(CEG)では、G7の財務大臣及び中央銀行総裁に対し、金融システムの安全性と強靭性にとって重要なサイバーセキュリティ政策上の問題について助言している。
同ステートメントは、AIのサイバーセキュリティ上の特性について認識を高めることを目的とし、金融機関、規制当局、金融セクターがセキュリティと強靭性を支えるその他のステークホルダーのための主要な検討事項を概説するもので、CEGは、金融当局が金融機関、AI開発者、テクノロジー企業、学術研究者、その他のステークホルダーと緊密に協力して、AIに関連するサイバーセキュリティの問題についての共通の理解を促進し、イノベーションを受け入れながらサイバー・リスクを軽減する戦略を策定することを奨励している。
同ステートメントでは、AIによるサイバー・レジリエンスの強化について、下記の通り紹介している。
・異常の検知と対応
AIはわずかなネットワークの異常を識別し、AI搭載のWAFなどの適応型防御を強化し、機械のように高速でリアルタイムに脅威への対処ができる。
・詐欺の検知と対応
AIは進化する支払いにおける詐欺のパターンを検知し、顧客の本人確認(Know Your Customer)の回避に使用されるディープフェイクを特定し、AIが生成したフィッシングメールにフラグを立てることができる。
・予見的なメンテナンスとパッチ適用
AIはシステム障害を予測し、ソフトウェアの脆弱性を検知し、脆弱性に対するパッチ適用に優先順位付けすることができる。
・SOCの効率性
生成AIはインシデントを要約し、対応を推奨することによってSOCを支援できる。
・ベンダー及びサプライチェーンのリスク・モニタリング
AIツールは、財務指標及び公開データを用いてサードパーティ・リスクを分析できる。
また、AIがより正確、迅速、かつ大規模な攻撃を可能にすることについて、下記の通り紹介している。
・AIを利用したフィッシングまたはなりすまし
生成AI及びAIエージェントは、巧妙にパーソナライズされたフィッシングメッセージやディープフェイクを生成する可能性があり、検知作業を複雑化させる。
・自動化されたエクスプロイトの開発
強化学習技術は、ネットワーク、ソフトウェアのパッケージ及びライブラリを検索することで攻撃者を支援でき、偵察をより迅速に実行できるため、攻撃の効率向上につながる可能性がある。
・マルウェアの開発と回避
AIは検知を回避するためにリアルタイムで進化するマルウェアを作成し、サイバー犯罪の敷居を引き下げ、攻撃の量と巧妙さの両方を高める可能性がある。
