生成AIは業務効率を上げる一方、攻撃者の準備・実行も高速化します。英中銀総裁が最新AIの「サイバー攻撃能力」に触れた点は、特定ベンダー批判というより、AIがリスクを増幅する前提で監督論点が移った合図です。金融のような止められない基盤では、個社被害が短時間で連鎖し、市場不安に波及し得ます。情シスは「高度な攻撃が来る」ではなく「速く大量に来る」現実に合わせ直す必要があります。
脅威の本質は、巧妙さだけでなく“量産”できる点です。自然な文面でのスピアフィッシング、侵入後の手順化(横展開・権限昇格の支援)、脆弱性調査の効率化が進みます。さらに音声合成等と組み合わさると、送金指示や口座変更などの「信頼の偽造」が現実味を帯びます。結果として、攻撃者の熟練度差が縮まり、同時多発の確率が上がります。
見抜く教育だけでは限界が来ます。メール起点のリスクに対してはMFA、条件付きアクセス、送金・口座変更の二重承認や折り返し確認を標準化し、業務プロセス側で止血します。侵入前提では最小権限、特権ID管理、分離、ログの改ざん耐性で横展開を遅らせます。加えてEDR/SIEM/SOAR連携とプレイブックで初動(隔離・資格無効化・遮断)を自動化し、演習で業務影響を織り込んで段階適用します。
差が出るのは技術よりガバナンスです。社内生成AIの入力データ管理、出力検証、利用ログ、モデル更新時の影響評価を整備し、シャドーAIを抑えます。委託先・SaaS・クラウドに加え、AI機能(APIやプラグイン等)という新たな依存点をサプライチェーンとして継続評価します。最後に、破壊や暗号化まで想定し、隔離バックアップと復旧演習をKPI化して「止まっても戻す」力を経営指標に落とし込みます。
