欧州中央銀行(ECB)はユーロ圏の銀行に対し、サイバーセキュリティへの支出をさらに拡大するよう求めている。人工知能(AI)がデジタル攻撃の規模と速度を飛躍的に高めていると警告し、新たな指令で、AI主導の脅威の急増には漸進的な微調整ではなく、防御支出の大幅な増強が必要だと指摘した。規制当局は、対応が遅れた銀行は自社のシステムだけでなく、金融ネットワーク全体の安定性を危険にさらすと強調している。
今、警告が発せられる理由
サイバー犯罪者は、生成AIや機械学習ツールを悪用して、より巧妙なフィッシングメールを作成し、脆弱性スキャンを自動化し、従来の検知システムをすり抜けるようになっている。ECBがここ数週間で銀行と共有した評価では、これらの攻撃はより高速で、兆候も少なくなっている。1つの認証情報が侵害されると、銀行のセキュリティチームが侵入を察知する前に、国境を越えた侵害に発展する可能性がある。中央銀行のメッセージは率直だ。「従来のやり方では通用しない」。
このタイミングは偶然ではない。欧州の銀行はすでに、より厳しい資本規制と景気低迷に直面している。そこにサイバーセキュリティの軍拡競争が加われば予算は圧迫されるが、ECBは投資不足はもはや選択肢ではないと明確にしている。GFdailyが確認したECB内部文書は、現在の脅威環境を「速度と範囲において前例がない」と表現しているが、同行は警告のきっかけとなった具体的な事件についての説明を控えた。
ECBの要求内容
この指令は、収益の何%、あるいは固定ユーロ額といった具体的な支出目標を設定するものではない。その代わりに、各行に対し、AIを活用した攻撃ベクトルに焦点を当てた新たなリスク評価を実施し、複数年にわたる投資計画を提示するよう求めている。その計画には、専門スタッフの採用、脅威検知ソフトウェアのアップグレード、AIによる侵入を模したレッドチーム演習の実施など、具体的な措置を盛り込まなければならない。対応が遅れた銀行は、より頻繁なオンサイト検査や、極端な場合にはサイバーリスクに連動したより高い資本バッファーを課される可能性がある。
ECBはまた、銀行に対し、脅威インテリジェンスをより積極的に共有するよう求めている。「もはやどの銀行も孤島ではない」と指令は述べている。「攻撃パターンと防御ツールに関する協力は、システム全体にとって不可欠である」。ユーロ圏の大手銀行数行はすでに、欧州銀行監督機構(EBA)が運営するパイロットプラットフォームを通じてデータの共有を開始しており、ECBはこの取り組みが拡大することを期待している。
規制の全体像
フランクフルトからのこの働きかけは、より広範な規制の動向と一致している。2025年1月に施行されたEUのデジタル運用復元力法(DORA)は、金融機関に対し、サイバー防御を定期的にテストし、重大なインシデントを数時間以内に報告することをすでに義務付けている。ECBの最新の要請は、特にAIの側面に焦点を絞ることで、さらに踏み込んでいる。これは、規制当局がAIをリスクチェックリストの単なる項目ではなく、明確な脅威と見なしている証拠だ。
大規模銀行に比べ資金力に乏しい中小銀行は、最も厳しいハードルに直面している。ECBはこの格差を認識しており、共有サイバーセキュリティサービスの提供や防御ツールの協調調達の可能性を模索している。具体的な計画はまだ発表されていないが、中央銀行の理事会は6月の会合で選択肢を議論する見通しだ。
今のところ、時間は限られている。各行は第3四半期末までにAIリスク評価と投資ロードマップを提出しなければならない。期限に間に合わなかった銀行は正式な審査を受け、場合によってはECBの監督報告書で公に名前を挙げられる可能性がある。
