「技術負債は解消して」 金融庁・日銀が9つの「最先端AI対策」を要請：中長期的視点では「脆弱性対応の自動化」も必須？

金融庁と日銀は、「フロンティアAIによる脅威変化を踏まえた金融機関等の短期的な対応」を公開した。フロンティアAIの進化に伴う未知の脆弱性の急増や、AI時代のサイバー攻撃に焦点を当て、技術負債の解消や経営トップの関与など、組織に求められる9つの取り組み（応急的措置）を提示したものだ。

[石川俊明，＠IT]

　Anthropicによる「Claude Mythos Preview」（Mythos）の発表（関連記事）やサイバーセキュリティ企業の警告などを背景に、「フロンティアAI」がもたらす高度なサイバー脅威にどう対応すべきかが、IT・セキュリティ業界の間で共通課題となっている。

　フロンティアAIによって未知の脆弱（ぜいじゃく）性が自律的に発見されるようになれば、その脆弱性を悪用したAI主体のサイバー攻撃も急増し、防御側もAIを駆使して短期間で多数のパッチを提供するようになる――こうした攻防が常態化すれば、システムを運用するIT担当者の日常業務や企業のデジタルビジネスにも直接影響を及ぼす可能性がある。

　そうした背景の下、日本政府は「AI時代のサイバー攻撃」を念頭に対応に乗り出している。2026年5月18日、国家サイバー統括室（NCO）は日本政府全体の対応パッケージとして「AI性能の高度化を踏まえたサイバーセキュリティ対策の強化について〜Project YATA-Shield〜」を発表した（関連記事）。

　では、こうした動きの中で政府は企業にどのような取り組みを求めていくのか。企業はAI時代のサイバー攻撃にどう備えるべきなのか。そこで参考になるのが、金融庁・日銀（日本銀行）が各金融機関向けに発表した9つの要請だ。

「応急的措置」として9つの対応を要請

フロンティアAIによる脅威変化を踏まえた金融機関等の短期的な対応（金融庁のPDF）

　金融庁と日銀が2026年5月22日に公開した「フロンティアAIによる脅威変化を踏まえた金融機関等の短期的な対応」では、各金融機関に対してフロンティアAIへの「応急的措置」として、以下の9つの取り組みを要請している（本稿では一部要約して記載した）。なお、「中長期的には『脆弱性対応の自動化』に移行することも必要だ」と明記されている。

1. フロンティアAIへの対応を経営課題として扱う

　フロンティアAIがもたらす脅威の変化は、IT・サイバーセキュリティ部門にとどまらない課題であるため、経営トップは全社的な経営課題として扱う必要がある。

　経営トップのリーダーシップの下で、CIO（最高情報責任者）・CISO（最高情報セキュリティ責任者）が直接関与し、対応方針の策定、対応状況の把握および課題への対処を継続的に実施する。

2. 優先的に対応すべきサービス/ITシステムを特定する

　大量の脆弱性発見により、パッチ適用作業の負荷が著しく増大する可能性がある。リソースを重点的に配分するため、インターネットバンキングなどの重要業務を支えるシステムを最優先とし、リスクベースで対応する。

　当該システムが共同運用形態で提供される場合には、利用側と提供側の双方において十分な認識の共有を図るとともに、責任分担を明確化する。

3. 特定した資産の技術負債を解消しておく

　迅速なパッチ適用を可能にするため、不要ポートの閉塞（へいそく）、特権IDの削除、サポート対象バージョンへの更新などにより技術負債を極力解消し、迅速なパッチ適用が可能な状態にする。

　サポートが終了している製品については速やかにサポート対象バージョンに更新する。

4. パッチ適用の人的リソースを追加する

　脆弱性対応の増加を見据え、他部署からの人的リソースの追加を検討する。パッチ適用作業を担うベンダー側のリソース確保状況を事前に確認する。脆弱性の優先度判断に関する評価体制についても、大量の脆弱性発見に対応できるようリソースを確保する。

5. ベンダーとの維持保守契約の内容を確認する

　夜間・休日を含む緊急時の対応可否や、大量の脆弱性発生時におけるSLA（サービス水準合意）およびSLO（サービスレベル目標）の順守が可能な体制となっているかどうかを契約面含めて確認する。

6. パッチ適用プロセスをリスクベースにする

　共通脆弱性評価指標スコア（CVSS：Common Vulnerability Scoring System）だけでなく、攻撃が成立する蓋然（がいぜん）性なども踏まえて発見された脆弱性の評価（優先順位付け）を実施する。リスクベースで評価を実施し、リスクの高い脆弱性から迅速かつ着実に対応する。

　パッチ適用作業前のテストについては、テスト不足に起因するシステム障害リスクとパッチ未適用に伴うサイバー攻撃のリスクを総合的に勘案し、テスト実施内容の合理的な縮小などの対応についても検討する。

7. パッチ適用以外の対策も強化する

　WAF（Web Application Firewall）を用いた仮想パッチの適用や、端末におけるEDR（Endpoint Detection and Response）の導入など、多層防御の強化を図る。

8. 優先サービス／ITシステムの停止に備える

　各種対策を徹底してもサイバー攻撃を防御できない事態を想定し、経営トップはシステムを能動的に停止させる選択肢を検討する。停止手順の明確化、BCP（事業継続計画）の有効性も点検する。

　自組織が開発し維持保守するITシステムに限らず、サードパーティーが提供するソフトウェアやサービスにおいて深刻な脆弱性が発見された場合、当該ソフトウェアの利用停止やサービス停止が生じ得ることにも備える。

9. 外部との連携を維持・強化する

　金融ISACや業界団体を通じて情報収集に努め、自組織の取り組みを積極的に共有する。

記者の目

　金融庁・日銀の要請はあくまでも金融機関向けであり、一般的な事業会社にとっては、有事のシステム停止を前提としたプロセス整備など、ハードルが高い項目も多いだろう。

　しかし、ランサムウェア被害が企業規模を問わず多発し、AIを悪用したサイバー攻撃も常態化しつつある今、「優先システムの特定」や「技術負債の解消」は、多くの企業にとっても喫緊で対応すべき課題であるのは明らかだ。

　とはいえ、これらをIT部門・IT担当者の努力だけで解決することには限界がある。事実、要請文には「経営トップを含めた経営層の直接関与」や「必要なリソース（予算・人員）を確保することが不可欠」と明記されている。これは、サイバーセキュリティが現場だけで完結できる業務ではないという客観的かつ強力なメッセージでもある。

　政府の取り組みや金融庁・日銀による要請は、現在直面しているセキュリティリスクを客観的に経営層に伝え、適切な予算や人員を確保する上で有効な材料の一つとして参考にできるかもしれない。