金融機関を取り巻くAIとサイバー セキュリティの動向-金融庁が36団体の官民作業部会を初開催・3メガバンクがミュトスのアクセス権取得へ

セキュリティニュース

投稿日時: 更新日時:

金融機関を取り巻くAIとサイバーセキュリティの動向-金融庁が36団体の官民作業部会を初開催・3メガバンクがミュトスのアクセス権取得へ

2026年5月、日本の金融システムを取り巻くAIとサイバーセキュリティをめぐる動きが急速に加速しています。Anthropic(アンソロピック)が2026年4月7日に発表した最新AIモデル「Claude Mythos(クロード・ミュトス)」は、主要OSとすべての主要ウェブブラウザでゼロデイ脆弱性を自律的に発見・悪用できる能力を持つことが確認され、同社は「危険すぎる」として一般公開を見送りました。

これを受けて金融庁は5月14日、36団体が参加する「AI脅威に対する金融分野のサイバーセキュリティ対策強化に関する官民連携会議」作業部会を初開催。3メガバンクは早ければ5月末にもミュトスへのアクセス権を取得する見通しとなり(日本経済新聞)、地方銀行・地域金融機関への対策整備要請も固まりました。5月18日には政府が重要インフラ15分野を対象とした対策パッケージを決定し、G7パリ財務相会議(5月18〜19日)でもAI悪用サイバー攻撃への国際対処が合意されました。

当サイトではこれまでClaude Mythosの登場と「危険すぎて一般公開できない」という宣言金融庁による地方銀行への対策要請を個別に報告してきました。本記事は、金融機関を取り巻くAIとサイバーセキュリティに関する一連の動向を時系列で統合し、全体像を解説するものです。

【この記事のサマリー】

  • Claude Mythosとは:Anthropicが2026年4月7日に発表したが「危険すぎる」として一般公開を見送ったAIモデル。全主要OSとすべての主要ウェブブラウザでゼロデイ脆弱性を自律的に発見・悪用できる能力を持つ。一般公開せず「Project Glasswing」として限定提供。
  • 金融庁の官民連携作業部会(5月14日):3メガバンク・JPX・ネット銀行・日銀・Anthropic日本法人・OpenAI Japan・Google・Microsoft・AWS等、計36団体が参加。座長にみずほ銀行の寺井理常務執行役員が就任。詳細は「サイバーセキュリティに関する内容を含むため非公表」。
  • 3メガバンクのミュトスアクセス権取得:三菱UFJ・三井住友・みずほの3行が早ければ5月末にミュトスへのアクセス権を確保する見通し(日本経済新聞報道)。ベッセント米財務長官との5月12日の会合で伝達されたもようで、日米の財務当局が安全保障案件として連携。
  • 地方銀行・地域金融機関への対策要請:金融庁が5月7日(共同通信報道)に地銀への対策整備要請方針を固め、月内開催の業界団体との会合で要請を伝達。地銀は大手行と比べてセキュリティに割ける予算・体制が限定的で、コアバンキングシステムの脆弱性が懸念される。
  • 政府の重要インフラ15分野の対策パッケージ(5月18日):高市首相の指示(5月12日)を受け、松本尚デジタル相が主導。金融・電力・物流・交通等15分野の重要インフラ事業者への注意喚起、情報共有、外国政府・AI開発者との連携、AISIとの連携によるガイドライン改定等を含む。
  • G7パリ財務相会議での国際合意(5月18〜19日):AI悪用サイバー攻撃への対処を6月のG7サミットまでに策定することで合意。片山さつき財務相・植田和男日銀総裁が出席。
  • IMFの指摘:MythosのようなAIモデルを個別金融機関の運用課題ではなく、金融システム全体に関わるシステミックリスクとして捉える必要があると指摘。

Claude Mythos(クロード・ミュトス)とは何か—「危険すぎて一般公開できない」AIモデル

当サイトの2026年4月22日の記事で詳報した通り、Anthropicは2026年4月7日に最新フロンティアAIモデル「Claude Mythos Preview」の存在を発表しながら、その能力の危険性を理由に一般公開を見送りました。

関連:「危険すぎて一般公開できない」Claude Mythos、日本の国家サイバーセキュリティ会議で明言

全主要OSとすべての主要ウェブブラウザでゼロデイ脆弱性を自律的に発見・悪用できることが確認されており、Anthropicの評価ではセキュリティ訓練を受けていないエンジニアが「リモートコード実行脆弱性を探して」と依頼したところ、翌朝起きたときには完全に機能するエクスプロイトが完成していたという事例も報告されています。

自民党の平将明前デジタル大臣は「ミトスというAIが、人間の力では見つけることのできなかったシステムの脆弱性を見つけることができる。さらにはそれを悪用しようと思えば攻撃にも使える」と述べ、金融分野を含む重要インフラへの甚大な被害が生じる懸念を示しています(2026年4月20日・自民党緊急会議)。

Anthropicは一般公開を見送る代わりに、防衛目的限定の「Project Glasswing」を発足。AWS・Apple・Cisco・CrowdStrike・Google・JPMorganChase・Linux Foundation・Microsoft・NVIDIA・Palo Alto Networksら12社のローンチパートナー+40以上の組織に限定提供しています。

金融システムを揺るがす「システミックリスク」——なぜ金融機関が最優先なのか

国際通貨基金(IMF)はMythosのようなAIモデルを「個別金融機関の運用課題」ではなく「金融システム全体に関わるシステミックリスク」として捉える必要があると指摘しています。その理由は以下の構造にあります。

金融システムはインターネットバンキング・決済ネットワーク・証券取引・保険システム等が複雑に相互接続されており、一点の侵害が連鎖的に全体へ波及します。特に日本の金融機関の多くはITベンダーの多重下請け構造に依存したシステム開発体制を持っており、コアバンキングシステムや地域決済ネットワークに未パッチの脆弱性が潜在している可能性があります。Mythosレベルの自律的なゼロデイ発見能力を持つ攻撃ツールが攻撃者の手に渡れば、人間が対応できないスピードで侵害される可能性があります。

ドイツ中央銀行規制当局が「米国の金融機関と同等のアクセス権を欧州の銀行にも認めるべきだ」と公に要求するなど、ミュトスへのアクセス格差が防衛格差に直結するという懸念は国境を超えて広がっています。

全体タイムライン—4月から5月の一連の動き

日付 内容
2026年4月7日 Anthropicが「Claude Mythos Preview」を発表・一般公開見送り・Project Glasswing設立を発表
2026年4月20日 自民党が国家サイバーセキュリティ戦略本部等の合同緊急会議を開催。Anthropic・OpenAIの担当者も出席
2026年4月24日 片山さつき金融担当相・植田和男日銀総裁・3メガバンク頭取・JPXによる緊急官民連携会議を開催。作業部会設置を決定
2026年5月7日 金融庁が地方銀行・地域金融機関にミュトス悪用サイバー攻撃への対策整備を要請する方針を固める(共同通信報道)
2026年5月12日 高市早苗首相が閣僚懇談会にて松本尚デジタル相に全政府的な対策の早急な具体化を指示。来日中のベッセント米財務長官と3メガバンクの会合で、ミュトスのアクセス権取得が伝達されたもよう
2026年5月14日 金融庁が官民連携作業部会の初会合を開催(36団体参加。詳細は非公表)
2026年5月18日 政府の関係省庁会議で重要インフラ15分野の対策パッケージを決定。松本デジタル相が主催
2026年5月18〜19日 G7パリ財務相・中央銀行総裁会議でAI悪用サイバー攻撃への対策を6月サミットまでに策定することで合意
2026年5月末(予定) 3メガバンクがミュトスへのアクセス権を確保する見通し(日本経済新聞)

5月14日:金融庁の官民連携作業部会——36団体が実務者レベルで議論

金融庁の公式リリース(2026年5月14日)によれば、本作業部会は「金融業界、IT事業者、政府機関、日本銀行等が、AI技術の進展による脅威について共通の理解を持ち、対応を検討するため、実務者レベルでの議論を深めること」を目的としています。

参加36団体の構成

金融機関として、みずほ銀行・三井住友銀行・三菱UFJ銀行・セブン銀行・楽天銀行・日本取引所グループ(JPX)が参加。全国銀行協会・全国地方銀行協会・第二地方銀行協会・生命保険協会・日本損害保険協会・証券業協会・投資信託協会・日本貸金業協会といった業界団体も参画。

AI・IT企業として、Anthropic Japan合同会社・OpenAI Japan合同会社・グーグル合同会社・日本マイクロソフト株式会社・アマゾン ウェブ サービス ジャパン合同会社・日本電気株式会社・富士通株式会社・株式会社日立製作所・BIPROGY株式会社・株式会社NTTデータが参加。

政府・公的機関として、AIセーフティ・インスティテュート(AISI)・国家サイバー統括室・財務省・日本銀行が参加。事務局は金融庁が務めます。

座長には、みずほ銀行で情報セキュリティを担当する寺井理常務執行役員が就任しました(時事通信)。

金融庁は作業部会の詳細について「サイバーセキュリティに関する内容を含むため、非公表」としています。

3メガバンクがミュトスのアクセス権を取得へ—日米財務当局が連携

日本経済新聞(5月13日報道)によれば、三菱UFJ銀行・三井住友銀行・みずほ銀行の3メガバンクは早ければ5月末にも、AnthropicのAIモデル「Claude Mythos Preview」へのアクセス権を確保する見通しです。

来日したスコット・ベッセント米財務長官と片山財務大臣の会談を経てこの方針が固まったものであり、日米の財務当局が安全保障案件として連携したことを示しています。片山金融担当相は「日米で一緒に動いていく方向になっている」と述べており、Anthropicからのアクセス権付与に向けた交渉が妥結しつつある状況です。

金融機関がミュトスへのアクセスを確保する動機は「非対称性の是正」です。攻撃者が悪意を持ってミュトス相当のAIを利用する場合、金融機関のシステムに潜む未知の脆弱性を人間が対応できないスピードで発見・悪用される可能性があります。防御側も同等のAIを持つことで、攻撃者より先に自社システムの脆弱性を発見・修正する「先手」を取ることができます。

Palo Alto Networksは、MythosとGPT-5.5 Cyberを導入してから1か月で自社製品から75件の脆弱性を発見したと発表しており、これは月平均の発見件数(5〜10件)の7倍超に相当します。

地方銀行・地域金融機関への対策整備要請——予算・体制の格差が課題

当サイトの5月11日の記事で詳報した通り、金融庁は5月7日に地方銀行・地域金融機関への対策整備を要請する方針を固め(共同通信)、月内開催の業界団体との会合でこの要請を伝達しています。

地銀は大手銀行と比べてセキュリティに割ける予算や体制が限られており、コアバンキングシステムや地域決済ネットワークに未パッチの脆弱性が潜在している場合のリスクが特に大きいと評価されています。日本経済新聞も「地銀は大手銀行に比べセキュリティ対策に割ける予算や体制が限られる」と指摘しています。


5月18日:政府の重要インフラ15分野の対策パッケージ

朝日新聞の報道によれば、政府は5月18日に松本尚サイバー安全保障担当相(デジタル相)が主導する関係省庁会議の初会合を開催し、高性能AIによるサイバー攻撃に備えた対応策をとりまとめました。

対策パッケージの主な内容として、金融・電力・物流・交通等の重要インフラ事業者への注意喚起として15分野を対象に対策強化を促します。また、政府が分野を超えて事業者からサイバー攻撃の情報を集め、共有する体制を整備します。金融庁や経済産業省で先行している官民協議の取り組みを他の重要インフラ分野にも拡大するほか、高性能AIも活用しながらシステムの脆弱性を早期に発見するよう重要インフラのシステム開発者に注意喚起します。AISIと連携した情報提供やガイドライン改定も進める方針です。

日本政府は米側に協力を求めており、金融機関とともに近くミュトスへのアクセス権を確保できる見通しとなっています(朝日新聞)。

G7パリ財務相会議での国際合意—AIサイバー攻撃がシステミックリスクに格上げ

5月18〜19日にフランス・パリで開催されたG7財務相・中央銀行総裁会議では、AI悪用サイバー攻撃への対処を「6月のG7サミットまでに策定すること」で合意がなされました。日本からは片山さつき財務相と植田和男日銀総裁が出席し、片山財務相は「首相から全機能においてリスクを最小化するよう指示を受けている」と発言しました。

金融システムへのサイバー攻撃がもはや「個別のITセキュリティ問題」ではなく「国際金融市場の安定性を揺るがすシステミック・リスク(連鎖的危機)」として、G7財務・金融当局トップのレベルで公式に位置づけられたことを意味します。

G7の枠組みである「G7 Cyber Experts Group(CEG)」(米国財務省とイングランド銀行が共同議長)でも、ポスト量子暗号(PQC)からAIへと脅威評価の焦点が移行しています。

金融庁AIディスカッションペーパー—「アジャイル・ガバナンス」の枠組み

今回の一連の動きの制度的な土台として、金融庁は2026年3月に「AIディスカッションペーパー(DP)第1.1版」を公表しています。130社へのアンケートやAI官民フォーラムでの議論を踏まえた初期的な論点整理であり、PwC Japanの分析によれば「金融庁が今後の対話で何を問い、どこに関心を寄せるかが網羅的に示された文書」と位置づけられています。

同DPが特に強調しているのが「アジャイル・ガバナンス」の視点です。技術進展が著しく不確実性が高い領域では、「達成すべきゴールを明確化した上で、ライフサイクルを通じてリスクマネジメントを行う」必要があり、ルールが「一度作って終わり」になってはならないと指摘しています。AIが導入されることで生じるプロンプトインジェクションや学習データの汚染といったAI固有のサイバー攻撃リスクについても、セキュリティ部門だけでなく法務・コンプライアンス部門やモデル・リスク管理部門との連携が必要とされています。

金融機関がとるべき対応—大手行から地銀・信金まで

大手銀行・証券・保険

AI(Mythos相当モデルを含む)を活用した自社システムの脆弱性診断の早期導入を検討してください。日本版Project Glasswingの構想が片山金融相から示されており、業界横断での脆弱性情報共有・パッチ適用の迅速化を主要論点として把握しておく必要があります。金融庁のAIディスカッションペーパーを踏まえた内部監査計画の見直しや、AIモデルのインベントリ管理・本番適用前の検証プロセスの整備も急務です。

【関連記事(当サイト)】AIを悪用したサイバー攻撃が急増、企業・中小企業がとるべき具体的な対策【2026年最新】

地方銀行・地域金融機関

金融庁からの対策整備要請への対応として、自行のコアバンキングシステムや決済ネットワークの脆弱性管理状況を早急に確認してください。

予算・人員の制約がある環境では、IPA「サイバーセキュリティお助け隊サービス」や、JPCERT/CCの支援窓口の活用が有効です。

また、「ミュトスがない前提で基本を徹底する」という松本デジタル相の考え方に即して、多要素認証(MFA)の全面義務化・ソフトウェアの最新アップデート・バックアップ体制の強化を優先してください。


FAQ

Q. 金融庁の作業部会で何が議論されているのですか? A. 金融庁は「サイバーセキュリティに関する内容を含むため非公表」としており、具体的な議論内容は明らかにされていません。公表されている目的は「AI技術の進展による脅威について共通の理解を持ち、対応を検討する」ことです。

Q. 3メガバンクがミュトスのアクセス権を得ることで何ができるようになりますか? A. 防御目的での利用に限定されており、自行のシステムに潜む未知の脆弱性をAIが自律的に発見・修正するために活用されることが想定されます。攻撃者より先に弱点を見つけて塞ぐ「先手」を取ることが目的です。

Q. 地方銀行は何をすればよいですか? A. 金融庁が月内の業界団体との会合で対策整備を要請する予定です。予算制約がある環境でも「サイバーセキュリティお助け隊サービス(経産省・IPA)」の活用、MFAの全面導入、脆弱性管理の強化から着手してください。詳細は当サイトの地銀向け対策記事を参照してください。


参考情報