金融委員会は、高性能AI「Mytos」によるサイバー脅威への対応策として、金融業の網分離規制をセキュリティ目的に限って時限的に緩和する方針を示した。高度なセキュリティ能力とAI活用能力を備えた金融会社については、将来的に網分離規制の全面解除も検討する。金融業界のAI転換を左右する政策転換として注目を集めそうだ。

金融委員会はこのほど、クォン・デヨン副委員長の主宰で「高性能AI関連 金融業界セキュリティ脅威対応懇談会」を開き、対応策を公表した。

今回の見直しの背景にあるのがMytosだ。金融委員会は、Mytosなどの高性能AIについて、従来の脆弱性検知プログラムでは見つけにくかった旧来の脆弱性まで発見できるうえ、ハッキング攻撃を自ら企画・実行できる段階に発展する可能性があると説明した。

これまで金融業界のセキュリティは、人手による脆弱性点検や攻撃検知に大きく依存してきた。しかし、AIが攻撃に使われる局面では、既存の対応体制では速度や対応範囲の面で限界が生じかねないとの懸念が強まっている。

金融委員会は4月以降、リスク点検会議や状況対応班会議を相次いで開き、対応策を協議してきたという。

もっとも、当局はMytosを単なる脅威とは見ていない。攻撃に使われ得るAIを防御側でも活用すれば、脆弱性検知やインシデント対応能力を大きく高められると判断しているためだ。

一方で、現行の網分離規制は、AIベースのセキュリティ体制構築の障害とも指摘されてきた。網分離は、金融会社の業務ネットワークと外部インターネットを分離し、ハッキングリスクを抑える代表的な金融セキュリティ規制だ。

金融分野のセキュリティ水準の向上に寄与してきたとの評価がある半面、生成AIやクラウド型セキュリティソリューションの活用を難しくしているとの指摘も続いていた。

このため金融委員会は、セキュリティ目的のAI活用に限って、網分離規制を時限的に緩和する。対象は、総資産10兆ウォン以上、常時従業員1000人以上で、専任の最高情報セキュリティ責任者（CISO）を置く金融会社とした。

申請対象は約49社を見込む。適用が認められた金融会社は、高性能AIを活用した脆弱性テストや、セキュリティSaaSソリューションの利用が可能になる。

金融委員会は、段階的な審査を経て、適用対象を順次拡大する計画だ。

業界が特に注目しているのは、金融委員会が今回、高度なセキュリティ能力とAI活用能力を備えた金融会社について、網分離規制の全面解除も検討対象にすると明らかにした点だ。

金融業界ではこれまで、生成AIの活用拡大と業務革新のため、網分離規制の見直しを求める声が続いていた。全面解除の可能性が政策の方向性として言及されたのは異例だとの受け止めが広がっている。こうした政策変化を受け、各社の間ではAIベースのセキュリティ体制整備を急ぐ動きも強まっている。

◆「AIでAIを止める」 金融各社、防御体制を強化

KB金融グループは、超高性能AIベースのサイバー脅威に備え、「AI攻撃にはAIで対応する」との原則の下、グループレベルの統合セキュリティ体制を強化していると明らかにした。

自社開発のAIエージェントと外部専門機関のAIを組み合わせた実戦型の模擬ハッキング体制を運用しているほか、AIエージェントとRPAを連携させた24時間のセキュリティ監視体制も構築したとしている。

また、金融業界で初めて、模擬侵入に基づく事前予防体制として「グループサイバーセキュリティセンター」を発足させた。グループのクラウド環境に対するゼロトラスト3段階構築も完了したという。

Shinhan金融グループも、資産の脆弱性点検や模擬ハッキングの過程に自社開発のAI診断ツールを導入し、サイバー侵害の脅威に対応している。

ASM（攻撃対象領域管理）やCTI（サイバー脅威インテリジェンス）、ダークウェブ検知を適用し、セキュリティ監視の自動化によって、最新の金融セキュリティ脅威や脆弱性情報をリアルタイムで検知・分析していると説明した。

Shinhan銀行が参加した、科学技術情報通信部と韓国インターネット振興院（KISA）によるゼロトラスト導入実証事業の結果を踏まえ、グループレベルでのセキュリティモデル拡大適用も進めているという。

Hana金融グループも、外部に露出したシステムに対するリアルタイムの脆弱性点検と、ゼロトラストベースのセキュリティ体制を運用し、AIベースのセキュリティ能力強化を進めている。グループレベルの模擬侵入訓練や、AIベースのセキュリティソリューション導入も拡大しているとしている。

金融業界では、今回の規制緩和について、AI競争力の確保に向けて避けられない措置だとの評価が出ている。生成AIを軸にした業務革新が急速に進む中、従来の規制枠組みのままでは、グローバル金融機関との競争に限界があるとの見方だ。

その一方で、恩恵が大手金融会社に偏る可能性を指摘する声もある。今回の特例申請の対象が事実上、大手に限られるため、中小の金融会社やフィンテック企業との間でAI活用格差が広がりかねないとの懸念だ。

網分離緩和後に起こり得るセキュリティ事故の責任の所在も、今後の論点として浮上している。

金融業界関係者は「国内の金融会社は、Mytosの登場以降、全社的にAIベースのセキュリティ対応力を強化する動きを見せていると理解している」と述べた。

そのうえで「網分離の緩和によってセキュリティ懸念が高まるとの見方もあるだろうが、変化した環境に合わせて段階的に補完していく方向が必要だ。単に遮断するだけでは限界が明確だ」と説明した。

さらに「中小金融会社やフィンテックと大手との間で、セキュリティやAI活用の格差拡大を懸念する声もあるが、将来的に得られる効果の方が大きいとみている。大規模なセキュリティ投資の余力が十分でないだけに、主要金融会社が先に実効性のあるモデルを構築し、それを業界全体に広げていく方式が効果的だ」と語った。

金融業界内外では、今回の措置は単なるセキュリティ規制の緩和にとどまらず、金融産業のAI転換のスピードを左右する転換点になり得るとの見方が出ている。Mytosを契機とするAIセキュリティ脅威の議論が、網分離規制の見直しと金融のAI転換を巡る議論につながる中、当局がどこまで規制改革に踏み込むかに関心が集まっている。

当局は後続対応も急ぐ。金融セキュリティ院の「金融AIセキュリティ研究所」と「AIセキュリティ支援センター」を通じて、AI脅威の分析とセキュリティ対応支援体制を強化し、6月中にAIセキュリティガイドラインも整備する計画だ。

中小規模のフィンテック企業に対するセキュリティ支援の拡大も進める。

クォン・デヨン金融委員会副委員長は「金融のAI転換という大きな変化は、金融サービスの根本的な体質改善を意味する」としたうえで、「政府としても、金融業界のAI活用に向けた制度改善に積極的に取り組む」と述べた。