フィジカルAIに対するサイバーセキュリティ対策：統合レポート

Librus株式会社事業開発部 1. フィジカルAIとは何か フィジカルAI(Physical AI)とは、AIがセンサーなどを通じて現実世界（物理空間）を理解し、ロボットなど物理的な実体を伴って自律的に行動する技術の総称である。従来のデジタル空間で動作する生成AIとは異なり、フィジカルAIは現実世界と直接相互作用する点が特徴であるNTT。自動運転車、人型ロボット、産業用ロボット、ドローンなど、様々な形態で実装され、製造、物流、医療、家庭サービスなど幅広い分野での活用が期待されている。 2. フィジカルAIの脆弱性と脅威の構造 2.1 外部起因の脆弱性（Exogenous Vulnerabilities） 最新の学術研究によれば、フィジカルAIシステムは外部環境と内部システムの両面から脆弱性に晒されている。arXivで公開された論文"Towards Robust and Secure Embodied AI"（2025年2月）は、フィジカルAIの脆弱性を体系的に分類している。 物理攻撃（Physical Attacks）： センサー欺瞞攻撃が代表的である。カメラ、LiDAR、レーダーなどの知覚システムに対する敵対的攻撃により、物体認識を誤らせることが可能である。例えば、特殊なパターンのステッカーを貼付することで自動運転車の画像認識システムを欺く攻撃が実証されている。 サイバーセキュリティ脅威： 無線通信の脆弱性が深刻な問題となっている。2025年9月に発見されたUnitree社製ロボット（Go2、G1、H1、B2）の脆弱性（CVE-2025-35027、CVE-2025-60017）は、Bluetooth Low Energy（BLE）とWi-Fi設定における重大な欠陥を露呈したIEEE Spectrum。これらの脆弱性により、コマンドインジェクション、ルートOSアクセス、ハードコード化された暗号鍵の悪用が可能となり、攻撃者はロボットを完全に制御できる状態であった。 2.2 内部起因の脆弱性（Endogenous Vulnerabilities） センサー障害とソフトウェア欠陥： 内部システムレベルの脆弱性として、センサーの故障、ソフトウェアのバグ、ファームウェアの欠陥が挙げられる。これらは環境認識の精度低下や制御システムの誤動作を引き起こす。 AIモデルへの攻撃： 大規模視覚言語モデル（LVLMs）や大規模言語モデル（LLMs）を組み込んだフィジカルAIシステムは、ジェイルブレイク攻撃や命令の誤解釈による脆弱性を抱えている。2026年現在、AI関連の脆弱性は最も急速に増加しているサイバーリスクであり、調査対象組織の87%がこれを認識している。 3. 具体的な脅威シナリオと実例 3.1 Unitree G1人型ロボットの脆弱性事例 2025年9月、VicOne Lab R7とセキュリティ研究者により、Unitree G1人型ロボットに3つの重大な無線脆弱性が発見された。この事例は商用人型ロボットプラットフォームの初の大規模公開エクスプロイトとして記録されている。日経クロステックhttps://xtech.nikkei.com/atcl/nxt/column/18/02801/101500027/ 攻撃シナリオとして、以下が実証された： Bluetooth経由での不正アクセスによるロボット制御の乗っ取りセンサーデータの窃取とプライバシー侵害悪意のあるコマンドの実行による物理的な危害の可能性ロボット間のウイルス感染の連鎖（ロボット・ツー・ロボット感染） さらに重大な問題として、収集されたデータが中国のサーバーに無断で送信されていた可能性が指摘され、データ主権とスパイ活動の懸念が浮上している。 3.2 AIを活用した自律的サイバー攻撃 AIによるサイバー攻撃の高度化も顕著である。2026年の予測では、AIエージェントを活用した攻撃が、従来の数日かかっていた攻撃面のマッピングを数分で完了し、自律的なエクスプロイテーションを実行できるようになっている。 Lazarus Alliancehttps://lazarusalliance.com/the-biggest-cybersecurity-threats-of-2026/ 4. 攻撃対象領域（Attack Surface）の拡大 フィジカルAIシステムの攻撃対象領域は、従来のPCやスマートフォンとは根本的に異なる。VicOne CEOの指摘によれば、意思決定を司るAIモデル、センサー入力、アクチュエータ制御、無線通信、クラウド接続など、多層的な攻撃ベクトルが存在する。 自動運転車を例にとると、以下の攻撃面が存在する： V2X（Vehicle-to-Everything）通信の脆弱性LiDARやカメラへの物理的攻撃GPSスプーフィングECU（電子制御ユニット）への侵入OTA（Over-The-Air）アップデートの改ざん 5. サイバーセキュリティ対策の体系的アプローチ 5.1 設計段階のセキュリティ（Security by Design） 多層防御アーキテクチャ： VicOne Lab R7が提唱する統合検証プロセスは、システムレベルとAIロジックを一括で保護するアプローチであるVicOne。出荷前の包括的なセキュリティスキャンにより、システムとAIモデルの隠れた脆弱性を可視化し、優先的に対処すべきポイントを明確化する。 セキュアな通信プロトコル： 認証と暗号化の強化が必須である。World Economic Forum Global Cybersecurity Outlook 2026によれば、64%の組織がAIツールをデプロイする前にセキュリティ評価プロセスを導入しており、これは前年の37%から大幅に増加している。 5.2 運用段階の防御 ランタイム防御とR-SOC： VicOne Lab R7のRthenaは、フィジカルAI専用に設計されたR-SOC（ロボティクス・セキュリティ・オペレーションセンター）を提供し、継続的な監視と迅速な対応を実現する。全方位型ランタイム防御エージェントにより、OTA（Over-The-Air）アップデートのなりすまし、モデル改ざん、センサー乗っ取りなどの脅威に対処する。 ゼロトラストアーキテクチャ： World Economic Forumの報告書"AI Agents in Action"では、AIエージェントの資格情報、権限、相互作用を人間ユーザーと同様に管理する必要性が強調されている。すべての相互作用をデフォルトで信頼しないゼロトラスト原則に基づく継続的な検証、監査証跡、堅牢なアカウンタビリティ構造が不可欠である。 5.3 AIモデルの完全性保護 データポイズニング対策： AIモデルのトレーニングデータへの攻撃を防ぐため、データの完全性検証と異常検出が重要である。87%の組織がAI関連の脆弱性を2025年に最も急速に成長したサイバーリスクと認識している。 モデルの検証とモニタリング： AIモデルの読み込み時および実行時における完全性保護が不可欠である。攻撃者は軽量かつ効率的に動作する特化型モデルを使用し、クラウドの計算資源を活用してより複雑な攻撃を仕掛けることが可能であるVicOne。 6. 規制とコンプライアンスの動向 6.1 国際標準とフレームワーク ISO/IEC 42001:2023： 世界初のAIマネジメントシステム国際標準であり、AIシステムのリスク管理、影響評価、ライフサイクル管理、サードパーティサプライヤー監視を規定している。 従来のロボット安全規格： 数十年にわたり、ロボット工学の安全性の基盤はISO 13849-1（パフォーマンスレベル）とIEC 61508（SIL - 安全整合性レベル）であった。フィジカルAIシステムがこれらの規格に準拠できるかが重要な課題となっている。 6.2 地域別規制の差異 EU（欧州連合）： CRA（Cyber Resilience Act）：2027年12月11日全面適用予定。製品安全と長期的なソフトウェア責任を連動AI規則（AI Act）：高リスクAIに対するリスクベースの規制 米国： NISTフレームワーク、SBOM（Software Bill of Materials）開示、IoT Cyber Trust Markの任意ラベリングによる市場の透明性重視 中国： サイバーセキュリティ法（CSL）、データセキュリティ法（DSL）、個人情報保護法（PIPL）、MLPS 2.0によるデータ主権重視GB/T 45502-2025（サービスロボット向け基準、2025年10月1日施行） VicOne Lab R7のプラットフォームは、CRA準拠からSBOMの自動化まで、AIロボットの出荷段階から安全性・準拠性・監査対応を支援している。 7. 組織的対策とベストプラクティス 7.1 リスクの可視化と優先順位付け VicOne Lab R7は「リスクの見える化」から始めることを推奨している。可視化がなければ、影響度の小さい領域にリソースを割いてしまい、本当に業務を止めかねない脆弱性を見逃す可能性がある。ワンストップ型サイバーセキュリティスキャンプラットフォームにより、システムとAIの隠れた脆弱性を可視化し、優先的に対処すべきポイントを明確化する。 7.2 脅威インテリジェンスと情報共有 地政学的な不安定性がサイバーセキュリティを再定義している。World Economic Forum Global Cybersecurity Outlook 2026によれば、64%の組織が地政学的に動機付けられたサイバー攻撃を全体的なサイバーリスク軽減戦略に考慮している。 高レジリエンス組織のCEOの52%が国家アクターに関する脅威インテリジェンスを優先し、48%が政府機関や情報共有グループとの連携を強化している。これに対し、レジリエンスが不十分な組織のCEOではそれぞれ13%、6%にとどまっている。 7.3 サプライチェーンセキュリティ 高レジリエンス組織のCEOの78%がサプライチェーンとサードパーティの依存関係をレジリエンス強化の最大の課題と認識している。対策として、70%がセキュリティ機能を調達プロセスに統合し、59%がサプライヤーの成熟度評価を優先している。 8. 人材とスキルギャップの課題 8.1 サイバーセキュリティ人材不足 World Economic Forumの調査によれば、54%の組織がAIをサイバーセキュリティに活用するための知識・スキルの不足を実装の障壁として挙げているWEF。 地域別では、サハラ以南アフリカ（70%）とラテンアメリカ・カリブ海地域（69%）のCEOが、現在のサイバーセキュリティ目標を達成するためのスキルが不足していると認めている。 8.2 AIリテラシーの重要性 World Economic Forumの"The Future of Jobs Report 2025"によれば、「ネットワークとサイバーセキュリティ」は2030年に向けて最も急速に成長するスキルの上位3つに入っている（AI・ビッグデータ、テクノロジーリテラシーとともに）。AIは人間の専門知識を置き換えるのではなく、専門家が戦略的監督、ガバナンス、ポリシーに焦点を移し、日常的な運用タスクを自動化に委任することを可能にしている。 9. 業界別の対策動向 AIツールをサイバーセキュリティ能力の強化に採用する動きは業界によって異なる。エネルギーセクターは侵入・異常検知を重視（69%）、素材・インフラセクターはフィッシング保護を優先（80%）、製造・サプライチェーン・輸送セクターは自動化されたセキュリティ運用の利用が多い（59%）。 10. 今後の展望と提言 10.1 協調的アプローチの必要性 フィジカルAIのセキュリティは、単一の組織や国だけでは確保できない。VicOne Lab R7とDecloak Intelligenceの戦略的パートナーシップのように、ファームウェア、通信、AIモデルの完全性、センサーのプライバシー制御に至るまで、多層的かつ包括的なサイバーセキュリティを実現する業界横断的な協力が不可欠である。 10.2 プロアクティブな防御戦略 World Economic Forumは、サイバーセキュリティの未来は今日の選択に依存すると強調している。先見性、能力、イノベーションへの投資、業界、セクター、国境を越えた協力の強化により、ボラティリティを推進力に変え、より安全でレジリエントなデジタル未来を共に構築できる。 10.3 継続的なモニタリングと適応 セキュア・バイ・デザインは「出発点」であり、「ゴール」ではない。AIロボットが通信・センサー・学習モデルを備えたフィジカルAIへと進化する中で、出荷後に新たな攻撃対象領域が生まれる。運用時の継続的な監視、OTA署名の検証、モデルの完全性チェックなど、現場での安全を保つためには継続的なサイバーセキュリティ対策が不可欠である。 結論 フィジカルAIは、AIがサイバー空間から物理世界へと飛び出す歴史的な転換点を示している。しかし、この技術革新は同時に、前例のないサイバーセキュリティの課題をもたらしている。2025年のUnitree G1の脆弱性事例が示すように、わずかな設計上の見落としが数千台のロボットを危険に晒す可能性がある。 エビデンスベースの分析から明らかなのは、フィジカルAIのセキュリティには、設計段階からのセキュリティ組み込み、運用段階での継続的監視、AIモデルの完全性保護、サプライチェーンセキュリティ、人材育成、国際協力という多面的なアプローチが必要だということである。地政学的不安定性、AI脆弱性の急増、サイバー対応型詐欺の増加という2026年の脅威環境において、組織は技術的対策と戦略的ガバナンスを統合し、レジリエンスを構築する必要がある。 フィジカルAIの時代において、サイバーセキュリティはもはやバックオフィスの技術的機能ではなく、政府、企業、社会にとっての中核的な戦略的関心事である。私たちの選択が、より安全で信頼できるフィジカルAI社会の実現を左右するのである。 監修者：鎌田光一郎:⻘山学院大学法学部卒業。SMBC日興証券株式会社にて証券営業、経営管理業務に従事したのちPwCコンサルティング合同会社に転籍。金融機関に対するコンサルティング業務に従事。その後、Librus株式会社を設立、代表取締役に就任。お問い合わせ先Librus株式会社（代表取締役 鎌田光一郎）105-0004東京都港区新橋6丁目13-12 VORT新橋Ⅱ 4F03-6772-8015お問い合わせフォームhttps://librus.co.jp/contact

VIEW MORE

サイバーセキュリティにおけるリスクアセスメントサービスのトレンドと事例に関するレポート

Librus株式会社コンサルティングサービス事業部 エグゼクティブサマリー 2024年は、サイバーセキュリティ分野において転換点となる年となった。日本国内におけるランサムウェア被害の公表件数が過去最大の84件に達し、新興ランサムウェアグループの台頭により脅威の複雑化が進展している。本レポートでは、こうした脅威環境の変化を背景に、リスクアセスメントサービスの重要性の高まりと市場トレンドを分析する。 主要な知見として、日本企業のパッチ適用期間（MTTP：Mean Time To Patch）が平均36.4日と世界平均の1.2倍に達しており、脆弱性対応の迅速化が急務となっている。また、サイバーセキュリティ市場規模は2024年に180億米ドルに成長し、継続的脅威曝露管理（CTEM）アプローチの採用が急速に拡大している。 企業の経営層においても、SECの新規則やEUのNIS2指令により、サイバーセキュリティへの関与とリスク評価への責任が明確化されており、今後はより戦略的なアプローチが求められる。 1. 2024年のサイバーセキュリティ情勢概観 1.1 脅威ランドスケープの変化 2024年のサイバー脅威環境は、国家を背景とするグループからの攻撃をはじめとするサイバー攻撃の洗練化・巧妙化が一層進展した年として特徴づけられる。特に、ランサムウェア攻撃の手法が多様化し、従来のデータ暗号化に加えて、データ窃取後の恐喝を目的とした攻撃が新たに30件確認されている。 2024年の主要サイバー脅威統計 日本国内ランサムウェア被害公表件数: 84件（過去最大）国内セキュリティインシデント総数: 1,319件（前年度比10.4%増）不正アクセス事案: 372件（最多）マルウェア感染: 315件紛失・盗難: 213件 1.2 新興ランサムウェアグループの台頭 2024年下半期に急速に拡大した新興ランサムウェアグループが、上位10グループによるリーク数の90%を占める状況となっている。RansomHub、8base、Hunters International、BlackSuit、Undergroundなどの新興グループが日本企業を標的とした攻撃を展開している。 グループ名活動開始時期特徴RansomHub2024年2月頃2024年下半期最も活発。アンチEDR技術を駆使8base2022年3月頃中小企業（従業員数1-200名）を主要標的Hunters International2023年第3四半期解体されたHIVEグループとの関連性指摘BlackSuit2023年5月頃ContiやRoyalとの関係性指摘Underground2023年7月頃拡張子変更せずファイル暗号化が特徴 2. リスクアセスメントサービスの主要トレンド 2.1 継続的監視への移行 従来の年1回のポイントインタイム監査から、継続的監視（Continuous Monitoring）への移行が加速している。IBMの報告によると、2023年のデータ侵害の世界平均コストは445万ドルで、3年間で15%増加しており、早期検知の重要性が高まっている。 2.2 CTEMアプローチの採用拡大 Gartnerが2022年に提唱した継続的脅威曝露管理（CTEM：Continuous Threat Exposure Management）アプローチの採用が急速に拡大している。CTEMは以下の5つのステップで構成される。 既存のサイバーセキュリティ露出のスコープ定義隠れた脆弱性の発見プロセス開発悪用可能性に基づく脅威の優先順位付け様々な攻撃シナリオの検証・評価組織全レベルでの従業員動員 2.3 サイバーリスク定量化（CRQ）の普及 財務的観点からのサイバーリスク定量化（Cyber Risk Quantification：CRQ）が注目を集めている。CRQにより、技術的なリスクを金銭的影響と発生確率で表現することで、経営層との意思疎通が改善され、より効果的な予算配分が可能となっている。 3. 国際的なフレームワークとベストプラクティス 3.1 NIST Cybersecurity Framework 2.0 2024年に更新されたNIST CSF 2.0は、従来の5つの機能（識別、保護、検知、対応、復旧）に「統治（Govern）」機能を追加し、より包括的なサイバーセキュリティ管理を実現している。組織のリスク管理戦略と cybersecurity の統合がより明確化された。 3.2 ISO/IEC 27001:2022 情報セキュリティマネジメントシステム（ISMS）の国際標準であるISO 27001の2022年版では、クラウドセキュリティ、プライバシー保護、サプライチェーンセキュリティに関する管理策が強化されている。 フレームワーク統合事例 多くの組織がNIST CSFの戦略的フレームワークとISO 27001の運用管理を組み合わせたハイブリッドアプローチを採用している。NIST CSFがリスク管理の方向性を示し、ISO 27001が具体的な管理策の実装を支援する相補的関係を構築している。 3.3 規制要件の強化 米国SECの2023年サイバーセキュリティ規則やEUのNIS2指令により、取締役会レベルでのサイバーセキュリティ責任が明確化されている。経営層は単なる予算承認者から、積極的なリスク管理参加者へと役割が変化している。 4. 日本市場の動向と特徴 4.1 市場規模と成長予測 日本サイバーセキュリティ市場規模　 2024年市場規模: 180億米ドル2033年予測市場規模: 433億米ドル年平均成長率（CAGR）: 10.3%2032年予測（別統計）: 263億米ドル 4.2 日本特有の課題 日本企業が直面する特有の課題として、パッチ適用の遅延問題が深刻化している。トレンドマイクロの調査によると、日本組織の平均パッチ適用期間（MTTP）は36.4日で、これは世界平均の1.2倍に相当する。 4.3 委託先からの情報漏洩問題 2024年には、印刷業や配送業などデータ集積型業種のランサムウェア被害により、委託元の個人情報漏洩が深刻化した。株式会社イセトーの事例では約150万件の個人情報漏洩が発生し、「データサプライチェーン」問題の深刻さが浮き彫りとなった。 委託先経由の情報漏洩件数推移2024年下期には委託先から漏洩した情報件数が300万件を超過。組織は委託先のサイバーリスク評価の見直しが急務となっている。 5. 技術革新とAIの活用 5.1 AI・機械学習によるリスク評価の高度化 人工知能（AI）と機械学習（ML）技術の活用により、膨大なデータを迅速に分析し、従来よりも効率的にセキュリティリスクを特定することが可能になっている。米国国勢調査局の予測では、2024年前半にAIを活用する企業が劇的に増加するとされている。 AI活用の主要分野: SIEM（Security Information and Event Management）での偽陽性の除去ファイアウォールとマルウェア対策の自動化異常検知とパターン認識の高精度化脆弱性スキャンの効率化 5.2 リアルタイム脅威検知 従来の定期的なリスクアセスメントから、リアルタイムでの脅威検知・評価への移行が進んでいる。Continuous Threat Exposure Management (CTEM) の普及により、動的なリスク環境に対応した評価手法が確立されつつある。 5.3 Attack Surface Management (ASM) の導入 攻撃対象領域管理（ASM）ツールの導入により、組織のデジタル資産とその脆弱性を継続的に監視・評価することが可能となっている。これにより、早期の脆弱性発見とリスク管理の精度向上が実現されている。 6. 将来予測と推奨事項 6.1 市場予測 日本のサイバーセキュリティ市場は、2025年から2034年の期間で年平均成長率14.6%の継続的成長が予測されている。特に、リスクアセスメント分野では以下のトレンドが予想される。 CRQ（サイバーリスク定量化）ツールの普及拡大ツール統合によるオールインワンプラットフォームの採用増加経営層レベルでのサイバーリスク関与の法制化サイバー保険との連携強化 6.2 組織への推奨事項 6.2.1 リスクの可視化 組織は「サイバーリスクの可視化」を最優先課題として取り組むべきである。リスク指標を用いた統計データから、ランサムウェアに感染した組織が非感染組織よりも高いリスク指標を記録していることが示されており、継続的なリスク監視が重要である。 6.2.2 Security by Contract の推進 委託先のセキュリティ対策として、「Security by Contract」アプローチを推奨する。これは、契約段階でセキュリティ要件を明確化し、"Same Data, Same Management"原則に基づく管理体制を構築することである。 6.2.3 多要素認証（MFA）の徹底 認証情報の漏洩リスクに対する最も効果的な対策として、多要素認証（MFA）の全面的な導入を強く推奨する。また、定期的なパスワード変更と権限管理の厳格化も重要である。 6.3 政策・制度面での展望 能動的サイバー防御に関する法案が2025年5月に成立予定であり、経済安全保障推進法における基幹インフラ事業者を中心としたサプライチェーンセキュリティ強化が進展する見込みである。これに伴い、インシデント対応体制のより一層の強化が必要となる。 7. 結論 2024年のサイバーセキュリティ環境は、脅威の高度化・複雑化と市場の急速な成長により、リスクアセスメントサービスの重要性が飛躍的に高まった年となった。日本企業が直面する課題は多岐にわたるが、適切なフレームワークの採用と継続的な改善により、効果的なリスク管理が実現可能である。 特に重要なのは、従来の年1回の評価から継続的監視への移行、経営層の積極的関与、そして技術革新を活用したリスク可視化である。また、委託先を含むサプライチェーン全体のセキュリティ強化は、今後の重要な課題として位置づけられる。 組織は、NIST CSF 2.0やISO 27001等の国際標準を基盤としつつ、自社の事業特性に応じたカスタマイズされたリスクアセスメント体制を構築することが求められる。同時に、AIや機械学習等の新技術を積極的に活用し、より効率的で精度の高いリスク評価を実現することが、持続的な競争優位性の確保につながるであろう。 今後の展望として、サイバーセキュリティは単なるIT部門の課題から、組織全体の戦略的経営課題へと位置づけが変化していく。この変化に適応し、プロアクティブなリスク管理体制を構築した組織が、デジタル社会における持続的成長を実現できると考えられる。 監修者：鎌田光一郎:⻘山学院大学法学部卒業。SMBC日興証券株式会社にて証券営業、経営管理業務に従事したのちPwCコンサルティング合同会社に転籍。金融機関に対するコンサルティング業務に従事。その後、Librus株式会社を設立、代表取締役に就任。お問い合わせ先Librus株式会社（代表取締役 鎌田光一郎）105-0004東京都港区新橋6丁目13-12 VORT新橋Ⅱ 4F03-6772-8015お問い合わせフォームhttps://librus.co.jp/contact

VIEW MORE

金融庁サイバーセキュリティ対策 ガイドライン解説レポート

Librus株式会社コンサルティングサービス事業部 1. はじめに 金融分野におけるサイバーセキュリティの重要性 近年、技術の発展や地政学リスクの高まりを背景に、サイバーセキュリティに関するリスクが顕著に増大しています。特に金融機関は、顧客の重要な資産や情報を扱うため、サイバー攻撃の標的となりやすく、攻撃が成功した場合の影響も甚大です。外部委託先を含むサプライチェーンの弱点を悪用した攻撃による被害も発生しており、国家等が関与・支援している主体によると見られる高度なサイバー攻撃も出現しています。 ■サイバー攻撃の特徴と課題 攻撃の高度化・巧妙化（標的型攻撃、持続的な攻撃など）サプライチェーンを通じた間接的な攻撃の増加国家が関与する高度な攻撃の出現被害範囲の拡大と影響の深刻化金融システム全体への波及リスク 金融庁の取り組み背景と目的 金融庁設置法第3条において、金融機能の安定の確保や預金者の保護等が金融庁の任務とされています。サイバー攻撃の脅威は、金融サービス利用者の利益を害し、金融システムの安定に影響を及ぼしかねないものとなっているため、金融庁がその任務を全うする上で、金融セクター全体のサイバーセキュリティを強化することは不可欠です。 こうした状況を踏まえ、金融庁では「金融分野におけるサイバーセキュリティ強化に向けた取組方針」に基づき、金融業界との対話・協働を通じて、連携して金融セクター全体のサイバーセキュリティの強化を促進してきました。2024年10月には、これまでの検査・モニタリングの結果や金融セクター内外の状況変化を踏まえ、「金融分野におけるサイバーセキュリティに関するガイドライン」を公表しました。 ■対応の必要性と緊急性 金融庁の検査・モニタリングの結果、以下のような基本的な対策が不十分な事例が散見されています： 経営者の主体的な関与の不足情報資産の把握及び管理の不徹底セキュリティパッチの迅速な適用などの脆弱性管理の欠如IDアクセス権管理の不備定期的な脆弱性診断及びペネトレーションテストの未実施 2. 金融庁サイバーセキュリティガイドラインの概要 策定背景・経緯 現行の各業態の監督指針・事務ガイドラインにおけるサイバーセキュリティに関する規定は、2015年の改正時に導入されたものであり、近年のサイバーリスクの深刻化に対処していくために、改定が不可欠となっていました。金融庁は、これまでの実態把握及び建設的対話における体制整備促進並びに各種の注意喚起及び要請を行ってきましたが、検査・モニタリングの結果、基本的な対策が不十分な事例が散見されていることが明らかになりました。 このような実態に鑑み、2024年10月4日に監督指針等を改正するとともに、「金融分野におけるサイバーセキュリティに関するガイドライン」を策定しました。また、2025年7月4日には、サイバー対処能力強化法整備法の一部施行に伴う技術的な改正も行われています。 基本的考え方 本ガイドラインは、サイバーセキュリティの観点から見たガバナンス、特定、防御、検知、対応、復旧、サードパーティリスク管理に関する着眼点を規定し、それぞれについて金融機関等において「基本的な対応事項」及び「対応が望ましい事項」を明確化しています。 区分定義・説明基本的な対応事項いわゆるサイバーハイジーンと呼ばれる事項その他の金融機関等が一般的に実施する必要のある基礎的な事項対応が望ましい事項金融機関等の規模・特性等を踏まえると、インシデント発生時に、地域社会・経済等に大きな影響を及ぼしうる先において実践することが望ましいと考えられる取組みや、他国の当局又は金融機関等との対話等によって把握した先進的な取組み等の大手金融機関及び主要な清算・振替機関等が参照すべき優良事例 ■重要なポイント：リスクベース・アプローチ 金融機関等の規模・特性は様々であることから、「基本的な対応事項」及び「対応が望ましい事項」のいずれについても、一律の対応を求めるものではなく、金融機関等が、自らを取り巻く事業環境、経営戦略及びリスクの許容度等を踏まえた上で、サイバーセキュリティリスクを特定、評価し、リスクに見合った低減措置を講ずること（いわゆる「リスクベース・アプローチ」を採ること）が求められることに留意が必要です。 適用対象 本ガイドラインは、サイバーセキュリティ管理について監督指針等に定めのある以下の金融機関等を対象としています： 主要行等中小・地域金融機関保険会社少額短期保険業者金融商品取引業者等信用格付業者貸金業者前払式支払手段発行者電子債権記録機関指定信用情報機関資金移動業者清算・振替機関等金融サービス仲介業者為替取引分析業者暗号資産交換業者銀行代理業電子決済手段等取引業者電子決済等取扱業者電子決済等代行業者農漁協系統金融機関金融商品取引所 ガイドラインの構成 ガイドラインは以下の3つの主要セクションで構成されています： 基本的考え方：サイバーセキュリティに係る基本的考え方、金融機関等に求められる取組み、業界団体や中央機関等の役割、適用対象等サイバーセキュリティ管理態勢：管理態勢の構築、リスクの特定、防御、検知、インシデント対応及び復旧、サードパーティリスク管理金融庁と関係機関の連携強化：情報共有・情報分析の強化、捜査当局等との連携、国際連携の深化、官民連携 3. サイバーセキュリティ管理態勢の構築 経営陣の関与・ガバナンス サイバーインシデントによる業務中断、機密情報の漏洩は、金融機関の事業及び経営を揺るがしかねない重大な影響をもたらし得るものであり、ひいては金融システムの安定を揺るがしかねないものです。サイバーセキュリティの強化には経営者の認識及びイニシアティブによるところが大きいため、経営陣のリーダーシップの下で、サイバーセキュリティに関するガバナンスの確立が必要です。 基本的な対応事項 取締役会等によるサイバーセキュリティリスクを組織全体のリスク管理の一部としてとらえた基本方針の策定サイバーセキュリティ管理態勢の年1回以上のレビュー実施（必要に応じ外部専門家によるレビューを含む）サイバーセキュリティを統括管理する責任者（CISO等）の経営陣の責任において任命サイバーセキュリティに係る戦略、取組計画（複数年計画含む）の策定と見直しセキュリティ・バイ・デザインを含むサイバーセキュリティ確保に向けた取組みの推進サイバーセキュリティを経営方針における重要課題の一つとして位置づけ、組織風土の醸成少なくとも年1回、サイバーセキュリティリスク状況、リスク評価結果、取組計画の進捗状況の報告受領 対応が望ましい事項 経営陣が適切な経営判断を行うための前提として、サイバーセキュリティに関する十分な知識の利用（外部専門家の活用を含む）リスク選好度・耐性度（リスクアペタイト・リスクトレランス）の設定サイバーセキュリティへの取組みの対外公表KPI（主要業績評価指標）・KRI（主要リスク指標）の経営陣への報告経営陣に相当する者としての責任者（CISO等）の配置、経営陣と直接コミュニケーションする関係の構築 基本方針・規程の策定 金融機関等は、取締役会等がサイバーセキュリティ管理の基本方針を策定し、それに基づいた規程類や業務プロセスを整備することが求められています。基本方針には、セキュリティ対策の目的や方向性、関係主体等からの要求事項への対応及び法規制等への対応、経営陣によるコミットメントなどを含める必要があります。 ■サイバーセキュリティ管理態勢の主要な構成要素 基本方針と規程類組織体制と責任の明確化情報共有機関等を通じた早期警戒のための情報収集・共有・分析体制SOC等のサイバー攻撃に対する監視体制サイバー攻撃を想定した危機管理態勢（サイバー攻撃を受けた際の報告及び広報体制、組織内CSIRT等の緊急時対応及び早期警戒のための体制を含む） 組織体制と人材育成 サイバーセキュリティ担当部署及び各関係者の役割と責任及び権限を明確化し、職員の急な退職・異動等により業務の継続（知見の集積等）に支障が生ずることのない人員の配置が必要です。また、サイバーセキュリティ人材の確保・育成は喫緊の課題となっています。 基本的な対応事項 サイバーセキュリティの重要性を踏まえた経営資源の配分サイバーセキュリティ管理の基本方針と整合的な人材育成・確保計画の策定最新の脅威情報等を踏まえた計画的な教育・研修プログラムの策定と実施経営陣を対象とする研修・訓練の実施 4. サイバーセキュリティリスクの特定 情報資産管理 これまでの検査・モニタリングの結果、情報資産管理は基本的な対策が不十分な事例が散見された領域の一つです。適切な情報資産管理は、効果的なサイバーセキュリティ対策の基盤となります。 基本的な対応事項 情報資産のライフサイクル、重要度に応じた管理情報システム・外部システムサービス、ハードウェア・ソフトウェア、顧客・機密情報等の台帳の整備・管理データフロー図・ネットワーク図の作成・管理 リスク管理プロセス 金融機関等は、組織的・体系的なリスク管理プロセスを確立し、定期的にリスクを評価・対応する必要があります。 基本的な対応事項 脅威情報・脆弱性情報の収集・分析リスクの特定・評価（境界防御型セキュリティの突破、内部不正等の可能性を含む）リスク対応（回避、軽減、受容、移転）、リスク対応計画の経営陣への報告リスク評価に基づく継続的な改善活動 脆弱性管理 ハードウェア・ソフトウェア等の脆弱性管理は、サイバーセキュリティ対策の基本中の基本です。特にセキュリティパッチの迅速な適用は、多くのサイバー攻撃を防ぐ上で極めて重要です。 基本的な対応事項 脆弱性管理に関する手続等の策定システムの重要度や脆弱性の深刻度に応じたパッチ適用等の管理定期的なパッチ適用状況の確認と報告 脆弱性診断及びペネトレーションテスト 脆弱性診断やペネトレーションテストは、システムやネットワークの脆弱性を実際に確認し、対策を講じるための重要な手段です。これらを定期的に実施することで、セキュリティレベルを継続的に向上させることができます。 基本的な対応事項 システムの重要度に応じた定期的な脆弱性診断の実施重要なシステムに対する定期的なペネトレーションテストの実施結果に基づく対策の実施と経営陣への報告 対応が望ましい事項 脅威ベースのペネトレーションテスト（TLPT: Threat-Led Penetration Testing）の実施 演習・訓練 サイバーインシデントへの対応力を高めるためには、定期的な演習・訓練が不可欠です。特に、実際のインシデント発生時に備えた実践的な訓練が重要となります。 基本的な対応事項 定期的な演習・訓練の実施必要に応じた業界横断的な演習への参加経営陣等による演習・訓練への関与顧客への深刻な影響かつ現実に起こりうるシナリオの検討及び見直し演習・訓練を通じたコンティンジェンシープラン等の有効性の定期的検証 5. サイバー攻撃の防御対策 認証・アクセス管理 適切な認証・アクセス管理は、不正アクセスを防ぐ上で重要な役割を果たします。特にIDアクセス権管理は、検査・モニタリングの結果、基本的な対策が不十分な事例が散見された領域の一つです。 基本的な対応事項 方針・規程等の策定・見直し最小権限の原則に基づくアクセス権限の限定ID・認証情報の適切な管理（定期的なレビュー、特権IDの厳格管理等）システム・情報の重要度に応じた認証要件の決定（多要素認証の導入等）第三者による不正防止（メールの送信ドメイン認証など）物理的アクセスの管理 データ保護 金融機関が扱う機密データや個人情報を保護するためには、適切なデータ保護対策を講じる必要があります。 基本的な対応事項 重要度・リスクに応じたデータの管理方針の策定暗号化等のデータ保護措置の導入バックアップ・復旧に係る手続の整備 対応が望ましい事項 データ損失防止（DLP: Data Loss Prevention）ソリューションの導入データライフサイクル全体にわたるデータガバナンス体系の整備 システムのセキュリティ対策 金融機関のシステムを保護するためには、様々な技術的対策を組み合わせて多層防御を実現する必要があります。 基本的な対応事項 ハードウェア・ソフトウェア管理（システム構成・保守等）ログ管理（取得・監視・保存の手続策定・レビュー等）セキュリティ・バイ・デザインの実践インフラストラクチャ（ネットワーク等）の技術的対策クラウドサービス利用時の対策 対応が望ましい事項 ハードウェアのセキュアな調達のための基準設定セキュリティ・バイ・デザインの管理プロセスの整備・運用（セキュアコーディングの基準策定等）開発環境・テスト環境の本番環境からの分離ゼロトラストアーキテクチャの段階的導入 教育・研修 サイバーセキュリティは技術だけでなく、人的な要素も重要です。すべての役職員に対する教育・研修は、セキュリティ意識の向上と基本的なセキュリティ対策の徹底に不可欠です。 基本的な対応事項 経営陣を含むすべての役職員への教育・研修の実施役割・職責に応じた教育内容の提供サードパーティにおける教育（サードパーティによる社内教育・研修の実施状況の確認を含む）標的型メール訓練等の実践的な訓練の実施 対応が望ましい事項 顧客へのセキュリティ啓発活動の実施専門人材の育成・確保のための中長期的な計画の策定と実施 6. サイバー攻撃の検知 サイバー攻撃の巧妙化を踏まえ、侵入を前提とした検知体制の構築が必要となっています。様々な監視ポイントやデータソースを活用して、異常を早期に検知することが重要です。 基本的な対応事項 検知のための監視・分析・報告に係る手続等の策定・見直しサイバー脅威に応じた監視・分析ハードウェア・ソフトウェア・ネットワークの監視役職員によるアクセスの監視外部プロバイダによるアクセス（保守など）の監視インシデント該当性・影響範囲・重要度の分析・報告 対応が望ましい事項 24時間365日の監視体制の確立SIEM（Security Information and Event Management）などの高度な監視ツールの活用AI・機械学習を活用した異常検知の導入定期的なアラート閾値の見直しと最適化 ■効果的な検知のためのポイント 多層的な監視：エンドポイント、ネットワーク、アプリケーション、クラウドなど複数の層での監視ログの統合管理：様々なシステムやデバイスからのログを一元的に収集・分析アラート管理：重要度に応じたアラートの適切な設定と対応プロセスの確立継続的な改善：検知の精度向上のための定期的な見直しと調整 7. サイバーインシデント対応及び復旧 インシデント対応計画及びコンティンジェンシープランの策定 サイバーインシデントが発生した場合に備えて、事前に対応計画やコンティンジェンシープランを策定しておくことが重要です。これにより、インシデント発生時の混乱を最小限に抑え、迅速かつ効果的な対応が可能となります。 基本的な対応事項 サイバー攻撃の種別ごとのインシデント対応計画・コンティンジェンシープランの策定対応の優先順位・目標復旧時間・目標復旧水準の設定報告ルート、判断権者、対外的な連携体制の明確化役職員へのインシデント対応計画等の周知と教育 対応が望ましい事項 大規模な被害が生じるインシデント（資金清算インフラにおけるインシデントなど）に対応するためのコンティンジェンシープランの整備インシデント対応に関する契約内容の事前整理（顧問弁護士、フォレンジック調査会社など） インシデントへの対応及び復旧 サイバーインシデント発生時には、初動対応から復旧までの一連のプロセスを迅速かつ的確に実施する必要があります。また、インシデント後の分析と改善も重要です。 基本的な対応事項 初動対応：インシデントの検知・トリアージ、証跡保全、初期封じ込め分析：被害状況・影響範囲の特定、原因の分析顧客対応・組織内外の連携・広報：顧客・当局・業界団体等への報告、広報対応封じ込め：被害の拡大防止、感染機器の隔離根絶：侵入経路の特定と封鎖、マルウェアの排除復旧：システムの復旧、バックアップからの回復、正常稼働の確認教訓化：インシデント発生原因等の分析、対応の評価、再発防止策の実施 対応が望ましい事項 封じ込めに当たってのサードパーティへの通知高度なフォレンジック調査の実施顧客への補償等の対応方針の事前整理 ■インシデント対応におけるよくある課題 初動対応の遅れ（検知の遅れ、報告ルートの不明確さなど）証跡保全の不備（ログの上書き、重要な証拠の消失など）影響範囲の特定の難しさ（潜伏期間の存在、侵害の全容把握の困難さ）コミュニケーションの問題（部門間の連携不足、情報共有の遅れなど）復旧の複雑さ（バックアップデータの完全性確認、マルウェアの残存リスクなど） 8. サードパーティリスク管理 サプライチェーンに由来するサイバーインシデントにより、金融機関が多大な影響を受ける事例が発生していることを踏まえ、サードパーティリスク管理の重要性が高まっています。金融機関は、自社のシステムやデータにアクセスする外部委託先やサービス提供者のセキュリティリスクを適切に管理する必要があります。 ■サードパーティリスク管理の重要性 近年、金融機関のサイバーインシデントの多くは、直接的な攻撃よりもサプライチェーンを通じた間接的な攻撃によるものが増加しています。こうした攻撃は、セキュリティ対策が比較的弱い委託先やクラウドサービスプロバイダーを標的とすることで、最終的には金融機関のシステムやデータにアクセスすることを狙っています。 基本的な対応事項 サプライチェーン全体にわたる戦略の策定・管理態勢の整備：サードパーティリスク管理に関する方針・規程の策定、体制の整備ライフサイクル全体を通じたリスク管理：取引開始時のデューデリジェンス（セキュリティ対策状況の確認、リスク評価）サイバーセキュリティ要件の契約・SLAにおける明確化（監査権限、インシデント通知、データ保全等）継続的モニタリング（定期的な評価、脆弱性対応状況の確認等）インシデント対応計画・コンティンジェンシープランへのサードパーティ関連事項の組み込み契約終了時の対応（データ返却・消去の確認、アクセス権の削除等）リスク評価・リスクに応じた対応：サードパーティの重要度分類、リスクに応じた管理レベルの設定 対応が望ましい事項 リスク管理に係るスキル及び経験のある人員の配置重要な業務のサードパーティへの依存関係、集中リスク等の考慮重要なサードパーティがそのサードパーティ（フォースパーティ）を管理する能力等のモニタリング重要なサードパーティとの契約関係等の終了に備えた出口戦略等の策定経済安全保障推進法上のリスク管理措置の実施 クラウドサービス利用時のリスク管理 クラウドサービスの利用が拡大する中、クラウド特有のリスクを適切に管理することが重要です。特に責任分界点の明確化や、クラウドサービス固有のセキュリティ要件に注意が必要です。 クラウドサービス利用時のポイント 責任共有モデルの理解（クラウド事業者と利用者の責任範囲の明確化）クラウド環境に適したセキュリティ対策の実施（アイデンティティ管理、暗号化、アクセス制御等）シャドーIT（IT部門の把握・管理外のクラウドサービス利用）の管理データの所在地・法的規制の把握出口戦略の策定（サービス終了時のデータ移行計画等） 9. FISC安全対策基準との関係 FISC安全対策基準の概要 金融情報システムセンター（FISC）が策定する「金融機関等コンピュータシステムの安全対策基準・解説書」（通称：FISC安全対策基準）は、金融機関の情報システムの安全性を確保するための具体的な技術と運用の対策を詳細に定めています。1985年の初版以来、時代の変化に合わせて改訂を重ね、2025年3月に最新の第13版が公表されました。 ■FISC安全対策基準の位置づけ FISC安全対策基準は、金融機関のシステムリスク管理において業界標準として広く参照されている指針です。金融機関はこの基準を参考に自社のセキュリティ対策を検討・実施することで、適切なセキュリティレベルを確保することができます。また、外部委託先の評価基準としても活用されています。 金融庁ガイドラインとの整合性 2024年10月の金融庁ガイドライン公表を受け、2025年3月に公表されたFISC安全対策基準第13版では、金融庁ガイドラインとの整合性が取られています。金融機関は、金融庁ガイドラインで示されたサイバーセキュリティ管理態勢の枠組みを踏まえつつ、FISC安全対策基準に示された具体的な技術と運用の対策を参考にすることで、より効果的なサイバーセキュリティ対策を実施することができます。 観点金融庁ガイドラインFISC安全対策基準主な目的金融機関における経営陣をはじめとした組織全体のサイバーセキュリティ管理態勢の枠組みを示す金融機関の情報システムの安全性を確保する具体的な技術と運用の対策を詳細に定める対象範囲サイバーセキュリティ管理について監督指針等に定めのある金融機関等金融機関の情報システム全般特徴リスクベース・アプローチに基づき「基本的な対応事項」と「対応が望ましい事項」を明示基礎基準と付加基準の2段階の要求レベルを設定し、具体的な実装方法を示す 第13版の重要ポイント FISC安全対策基準第13版では、以下の内容を反映しています： 経済安全保障推進法に関する改訂：経済安全保障推進法における「経済安全保障推進法の特定社会基盤役務の安定的な提供の確保に係る取引を行う事業者が講ずべき安全管理措置等に関する対応指針」を踏まえた内容金融庁ガイドラインとの整合：金融庁の「金融分野におけるサイバーセキュリティに関するガイドライン」との整合性確保クラウドサービスの活用：クラウドサービスの普及を踏まえたセキュリティ対策の強化サードパーティリスク管理：サプライチェーンのセキュリティリスク管理の強化最新の脅威への対応：新たなサイバー脅威に対する対策の追加 ■両者を活用したセキュリティ対策のポイント 金融機関は、金融庁ガイドラインとFISC安全対策基準を補完的に活用することで、より効果的なセキュリティ対策を実現できます： 金融庁ガイドラインに基づいて経営レベルでのサイバーセキュリティ管理態勢を構築FISC安全対策基準に基づいて具体的な技術対策と運用プロセスを整備リスクベース・アプローチを採用し、自社の規模・特性に応じた対策レベルを設定定期的な評価と改善を通じて、セキュリティレベルの継続的な向上を図る 10. 今後の展望と対応のポイント 金融機関に求められる対応 金融庁ガイドラインとFISC安全対策基準の公表を受けて、金融機関は以下のような対応が求められています： 優先的に取り組むべき事項 現状評価：ガイドラインに照らした自社のサイバーセキュリティ管理態勢の評価経営陣の関与強化：サイバーセキュリティを経営課題として位置づけ、経営陣の主体的関与を促進情報資産管理の徹底：情報資産の棚卸しと重要度に応じた管理の実施脆弱性管理の強化：セキュリティパッチ適用等の脆弱性管理プロセスの整備アクセス権管理の改善：IDアクセス権限の適切な管理と定期的なレビューサードパーティリスク管理の強化：外部委託先のセキュリティリスクの評価と管理 中長期的な取り組み サイバーセキュリティ戦略の策定：中長期的な視点でのサイバーセキュリティ戦略の策定と実行人材育成・確保：サイバーセキュリティ人材の育成・確保のための計画的な取り組み高度な対策の導入：AIや自動化技術を活用した先進的なセキュリティ対策の検討レジリエンス強化：インシデント発生を前提とした対応力・復旧力の強化情報共有の促進：業界内外での脅威情報共有の活性化と活用 実効性ある対策の進め方 サイバーセキュリティ対策を効果的に進めるためのポイントは以下の通りです： 4つの主要施策 経営陣の主体的関与と組織全体での対応サイバーセキュリティを「経営リスク」としてとらえる経営陣は十分な専門知識を利用して判断（外部専門家の活用を含む）KPI・KRIを用いたモニタリングの実施インシデント発生を前提とした管理態勢対応プロセスの可視化あらゆる脅威に対処できる管理態勢の整備様々なリスクシナリオの最新化と定期的な訓練の実施サプライチェーン全体を考慮した管理態勢外部委託先の特性に基づき想定される脅威に応じた管理・モニタリング契約内容へのセキュリティ基準の明示定期的な監査の実施セキュリティ技術基盤の連携と統合管理資産管理の徹底（ハードウェア、ソフトウェア、クラウドサービス、データ等）「ゼロトラスト」の考え方に基づく段階的な技術導入組織全体での共通の方向性や計画の策定 官民連携と情報共有の重要性 金融セクター全体のサイバーセキュリティ強化には、「自助」「共助」「公助」の三位一体の取り組みが重要です。特に、以下の連携・情報共有の枠組みを活用することが推奨されます： 金融ISAC：金融機関同士の脅威情報共有・分析国家サイバー統括室（旧NISC）：政府全体のサイバーセキュリティ対策との連携JPCERT/CC：脆弱性情報や対策情報の入手業界団体・中央機関：業界全体のサイバーセキュリティ強化のための支援 最後に サイバーセキュリティは、単なる規制対応ではなく、金融機関の事業継続と顧客保護のために不可欠な要素です。経営陣をはじめとした組織全体で、サイバーセキュリティ対策の継続的な強化と実効性の検証を行うことが重要です。また、サイバーセキュリティへの対応は自社だけで完結できるものではなく、外部のリソースや専門的な知見の活用も有効です。金融庁は引き続き、金融機関等の規模・特性に応じ、リスクベース・アプローチで検査・モニタリングを実施し、その中で個別金融機関等のサイバーセキュリティ管理態勢を検証していくとしています。モニタリングにおいては、金融機関等において、自らが直面するリスクを評価し、重要性・緊急性に応じて優先順位をつけた上、リソース制約を踏まえ、その低減措置に取り組むべきことに留意するとしています。 監修者：鎌田光一郎:⻘山学院大学法学部卒業。SMBC日興証券株式会社にて証券営業、経営管理業務に従事したのちPwCコンサルティング合同会社に転籍。金融機関に対するコンサルティング業務に従事。その後、Librus株式会社を設立、代表取締役に就任。お問い合わせ先Librus株式会社（代表取締役 鎌田光一郎）105-0004東京都港区新橋6丁目13-12 VORT新橋Ⅱ 4F03-6772-8015お問い合わせフォームhttps://librus.co.jp/contact

VIEW MORE