會原 
金融庁と日本銀行は2026年5月22日、金融機関などに対し、「フロンティアAI(最先端AIモデル)」による脅威変化を踏まえた短期的な対応を要請しました。
要請のポイントは、AIがサイバー攻撃に使われることで、攻撃のスピードや規模が大きく加速する恐れがあるという指摘です。特にフロンティアAIは脆弱性の発見や高度な攻撃コードの生成に優れており、従来は見つけにくかった脆弱性が短期間に大量発見される可能性があるといいます。Claude Mythosが念頭にあるものとみられます。
唐突に出てきた話ではありません。金融庁は4月24日に「AI脅威に対する金融分野のサイバーセキュリティ対策強化に関する官民連携会議」を開催。5月14日には、金融業界、IT事業者、政府、日本銀行などによる実務者レベルの作業部会を実施しました。今回の要請は、その議論を踏まえたものです。
金融機関などに求める短期対応は、フロンティアAIへの対応を経営課題として扱うこと、優先的に対応すべきサービスやITシステムの特定、技術負債の解消、パッチ適用に関わる人員追加、ベンダーとの維持保守契約の確認など。「人員追加」が項目に入っているあたり、現場の声を拾っている感じがします。
パッチ適用の優先順位についても、単にCVSS(脆弱性の深刻度指標)の点数を見るだけでは足りないとしています。実際に攻撃へ使われる可能性や、自社システムへの影響を踏まえたリスクベースの判断が必要、ということですね。
パッチ適用が難しい場合には、WAF(Webアプリ防御)などによる仮想パッチ、ボット対策、ネットワーク分離、特権IDへの多要素認証、EDR(端末の検知・対応)などの多層防御も求めています。要するに、すぐ塞げないなら周りで止めろ、ということ。
金融庁と日銀は、サイバー攻撃で重要サービスが止まる場合や、被害を抑えるために能動的にサービスを停止せざるを得ない場合も想定するよう求めています。BCP(事業継続計画)や顧客対応手順、緊急連絡体制の点検も必要としています。「自分から止める判断」まで視野に入っているのが今回のトーンです。
文書では、金融機関などはAIモデル開発企業の活動状況も踏まえ、おおむね1ヶ月程度を目途に対応を進めることが期待されるとあります。金融庁も、国家サイバー統括室が5月18日に公表した「Project YATA-Shield」に沿って、金融分野の特性を踏まえた対応を進める考えです。
AIで攻撃側の能力が一段上がる前提で、防御側には1ヶ月で動けと言っている……結構な温度感の通達です。
