【対応必須】フロンティアAI時代、「金融庁要請9項目」にどう対応するか？

フロンティアAI台頭で増大するサイバー攻撃の脅威

　フロンティアAIの急速な進展は、金融システムの安全性に構造的な変化をもたらしている。

　従来のサイバーセキュリティは、システム部門あるいは外部のセキュリティベンダーによる人手を介した分析・監査・修正を前提としていたが、現在ではAIが脆弱性の発見・攻撃シナリオの生成まで担い得る段階に至っている。

　こうした変化は、金融機関にとって本件が単なる技術課題ではなく、経営課題として認識すべきものであることを示している。

　その象徴的事例となったのがClaude Mythos公表後の2026年4月に発表された「Project Glasswing（プロジェクト・グラスウイング）」である。

　同プロジェクトは、米国ビッグテックを中心とした12社の参画により、AIの高度な脆弱性検出能力を防御側に先行配備することにより、攻撃よりも早く修正を行う体制の構築を目指すものであり、今後のセキュリティモデルの方向性を示している。

　「Glasswing」とは、羽が透明な蝶である「スカシマダラ」を指す。同プロジェクトの名称は「見えない脅威に備えよう」といった目的感からネーミングされたものだ。


　Project Glasswingは、Anthropicが主導し、クラウド、OS、セキュリティ、金融、OSS基盤を担う主要企業が参加するサイバー防御のイニシアチブである。

　参加企業には、アマゾン・ウェブ・サービス（AWS）、グーグル（Google）、マイクロソフト（Microsoft）、アップル（Apple）、シスコ（Cisco）、パロアルトネットワークス（Palo Alto Networks）、クラウドストライク（CrowdStrike）、JPモルガン・チェース（JPMorgan Chase）、Linuxファンデーション（Linux Foundation）などが含まれる。

　我が国では政府答弁などを見る限り、金融分野でのリスクを念頭に対策立案が進んできているようだ。ただし、米国での動は必ずしも金融機関を念頭に置いたイニシアチブではなく、あくまでシステムリソースの供給側たる企業・団体が中心である。

　つまり、金融は想定される攻撃対象インフラの1つにしか過ぎないという位置づけからスタートしている。すなわち、米国は当初より主要15のインフラ事業そのものをターゲットにしているわけだ。こうした理解の下、同プロジェクトを主体とした米国の動きは以下の3点に集約される。


　従来のように各社が自力で脆弱性を探索しパッチを充てる限界が存在することを示しており、攻撃者と同等のツールを利用することで脅威に備える必要があることがわかる。

　さらに言うならば、もはや個社単独での対応の是非あるいは可否の問題にとどまらず、業界全体で足並みを揃えた取り組みを短期的に推進しない限り、フロンティアAIがもたらす脅威への有効な解決策を見いだすのが困難な状況にあることを示していると言える。

【次ページ】金融庁が金融機関に示した9項目の要請事項