TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

米財務省、金融セクターにAIによるサイバーセキュリティ脅威への対応を要請

米財務省は、AIが金融セクターにもたらすサイバーセキュリティ上のリスクについて警告した。

この報告書は、大統領令14110「人工知能の安全・安心・信頼できる開発および利用」の指示に基づいて作成されたもので、こうしたリスクを軽減する方法について金融機関向けの一連の提言も示している。

金融セクターに対するAIベースのサイバー脅威

報告書で聞き取りを行った金融サービス企業およびテクノロジー関連企業は、生成AIなどの高度なAIツールがもたらす脅威を認めており、中には当初は脅威アクターに「優位性」を与えると考える企業もあった。

これは、こうした技術がマルウェアやソーシャルエンジニアリングといった攻撃の高度化を促すとともに、技能の低い攻撃者にとっての参入障壁を下げるためである。

また、サイバー脅威アクターがAIを用いて金融システムを狙う他の方法として、脆弱性の発見や偽情報の拡散が挙げられた。これには、企業をだますためにCEOなどになりすますディープフェイクの使用も含まれる。

報告書は、金融機関がサイバーセキュリティや不正対策を含め、数年にわたり業務支援のためにAIシステムを利用してきたことを認めた。しかし、調査対象に含まれた一部の機関は、既存のリスク管理フレームワークでは生成AIなどの新興AI技術を十分にカバーできない可能性があると報告した。

複数の回答者は、金融組織で使用されるAIシステムに特有のサイバー脅威に注目していると述べており、これらは内部脅威アクターにとって特に狙われやすい標的になり得る。

これには、AIモデルの学習データを汚染することを目的としたデータポイズニング攻撃が含まれる。

報告書が指摘した社内AIソリューションに関する別の懸念は、AIシステムのリソース要件により、機関がサードパーティのITインフラやデータに直接・間接的に依存する度合いが一般に高まるという点である。

回答者によれば、学習データがどのように収集され、取り扱われたかといった要因により、金融組織は追加の財務・法務・セキュリティ上のリスクにさらされる可能性がある。

AI特有のサイバーセキュリティリスクを管理する方法

財務省は、金融組織がAI関連の当面のオペレーショナルリスク、サイバーセキュリティおよび不正の課題に対処するために取れる複数の手順を示した。

  • 適用可能な規制を活用する。既存の法律・規制・ガイダンスはAIに明示的に言及していない場合があるが、その一部に含まれる原則は金融サービスにおけるAIの利用に適用できる。これにはリスク管理に関する規制も含まれる。
  • 不正対策AIモデル構築のためのデータ共有を改善する。より多くの金融組織がAIを導入するにつれ、大規模機関と小規模機関の間で不正防止に大きな格差が生じている。これは、大規模組織の方が小規模組織よりも不正対策AIモデルを構築するための過去データをはるかに多く保有している傾向があるためである。そのため、この分野で小規模機関が有効なAIモデルを開発できるよう、より多くのデータ共有が必要である。
  • データサプライチェーンのマッピングに関するベストプラクティスを策定する。生成AIの進展により、モデルが正確で信頼できるデータを使用していること、ならびにプライバシーと安全性が考慮されていることを確保するために、データサプライチェーンを監視する重要性が浮き彫りになった。したがって、業界はデータサプライチェーンのマッピングに関するベストプラクティスを策定し、ベンダー提供のAIシステムおよびデータ提供者に対する「栄養成分表示(nutrition labels)」の導入も検討すべきである。これらのラベルは、モデルの学習に使用されたデータと、その出所を明確に示すものとなる。
  • AI人材不足に対処する。金融組織には、技能の低い実務者に対してAIシステムを安全に使用する方法を訓練するとともに、情報技術部門以外の従業員に対して職務別のAI研修を提供することが求められている。
  • デジタルIDソリューションを実装する。堅牢なデジタルIDソリューションは、AIを悪用した不正への対抗に役立ち、サイバーセキュリティを強化できる。

また、この報告書は、AIベースの脅威の解決を組織が進められるよう、政府がより多くの行動を取る必要があることも認めている。これには、AI規制について州および連邦レベル、さらに国際的にも連携を確保することが含まれる。

さらに財務省は、米国立標準技術研究所(NIST)のAIリスク管理フレームワークを、金融サービスセクターに関連するAIガバナンスおよびリスク管理に関する、より適用可能な内容を含むように調整・拡充できるとの見解を示した。

国内金融担当次官のネリー・リアン氏は次のように述べた。「人工知能は金融サービスセクターにおけるサイバーセキュリティと不正のあり方を再定義しており、バイデン政権は、業務のレジリエンスと金融の安定に対する脅威から守りつつ、新興技術を活用できるよう金融機関と協力していくことにコミットしている。」

翻訳元: https://www.infosecurity-magazine.com/news/us-treasury-financial-ai/

ソース: infosecurity-magazine.com
#AIサイバーセキュリティ #AIリスク管理フレームワーク(NIST) #ソーシャルエンジニアリング #データポイズニング #ディープフェイク詐欺 #デジタルアイデンティティ #生成AI #第三者ITインフラ依存 #米財務省 #金融セクター

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新