Saeed Azhar Tatiana Bautzer Michelle Price Francesco Canepa
[ニューヨーク 12日 ロイター] - 米国の銀行は、米新興企業アンソロピックが開発した高性能の人工知能(AI)「クロード・ミュトス」が発見したITシステム上の脆弱性の修正に追われている。システムの緊急修復作業やソフトウエアのアップグレードが必要となっており、顧客サービスにも影響が生じかねない。
関係者によると、米国内の大手銀の一部はすでにミュトスへのアクセス権を持っており、同ツールによって見つかった課題への対応を進めている。さらに、大手銀は調査の過程で得た知見を、ミュトスを直接利用できない中小銀にも提供し、システム対策を講じられるよう支援しているという。
サイバーセキュリティー専門家は、ミュトスが銀行業界、特に銀行の老朽化したシステムに大きな試練を突きつけると見ており、規制当局や政策担当者も危機感を示している。
AIサービス企業インシードのニティン・セス共同創業者兼最高経営責任者(CEO)は「これは警鐘だ。サイバーリスクが機械の速度で進んでいるのに、銀行の対応ペースは依然として人間の速度だからだ」と指摘。「脆弱性は発見され、悪用される前に長期間隠れていられるという、銀行セキュリティの長年の前提が崩れる」と述べた。
複数の関係者によると、ミュトスは米銀による試験的な運用によって、比較的低リスクの複数の脆弱性を連鎖的に組み合わせ、高リスクの問題として顕在化させる能力に長けていることが明らかになった。大手銀の関係者や消息筋によると、このためソフトウエアのアップグレードを確認する動きが加速している。
また大手銀行筋によると、ミュトスは独自開発とオープンソースの両方のコードで脆弱性を発見することに優れており、銀行はサポート期限が近い老朽化したシステムの刷新を迫られている。
関係者によると、ミュトスは低程度から中程度と評価される数百から数千件の脆弱性を新たに洗い出しており、こうした脆弱性の修正が必要だ。また銀行は、これまで想像もしなかったような急スピードの対応を迫られるため、ミュトスは銀行業に「破壊的な」影響を及ぼす。以前は数週間で対処していた問題を数日で修正しているケースもあるという。
こうした作業が増えると、システムの停止が頻繁化する可能性も指摘されている。ただし別の関係者は、対応は顧客への影響を最小限に抑える形で実施される見通しだと述べた。
また、ある関係者は、ミュトスのようなAI製品の迅速な試験が常態化し、今後は継続的に行われるようになるとの見方を示した。
<中小銀は対応に苦慮>
一方、中小銀にとっては技術コストが大きな障壁となっている。消息筋によると、ミュトスを運用するための処理能力も不足しているが、大手銀が調査結果を共有している。
「クロード・ミュトス・プレビュー」は他のAIモデルと同様、処理するデータ量に応じて料金が発生する。アンソロピックによると、顧客が入力したデータ、100万トークンあたりの料金は25ドル(約3939円)、クロードが出力したデータ、100万トークンあたりの料金は125ドルと、同社の主力モデル「オーパス4.7」の5倍に上る。
一方でアンソロピックは、セキュリティー対策の業界横断的な取り組み「グラスウィング」のパートナー企業とミュトスの顧客に対し、総額1億ドル分の利用枠(クレジット)を提供する方針を示している。また同社は、ミュトスにアクセスできない企業向けに防御強化の指針を公表したほか、脆弱性スキャンに利用できる別のプログラム「クロード・セキュリティー」を、より幅広い組織が使えるよう提供していると説明している。
<これは大変だ>
ミュトスは当初、グラスウィングのパートナー企業と約40の組織に限定して提供されていた。ロイターによると、公表されている初期提携企業はJPモルガン・チェースで、ゴールドマン・サックス、シティグループ、バンク・オブ・アメリカ、モルガン・スタンレーなどもアクセス権を持つ。
サイバーセキュリティー企業クラウドストライクで脅威対応部門を率いるアダム・マイヤーズ氏は、利用開始直後の数日間は「まずこのツールをどう使いこなすかを把握するためだけに週末を丸々費やした」という。効果的な活用には「新たな手法と能力の全面的な構築」が必要で、ミュトスを初めて知った際には「正直なところ、これは大変だと思った」と振り返った。
銀行規制当局の幹部も、ミュトスは予想通り非常に強力で、人の手では時間がかかっていた複数の脆弱性のつながりを短時間で見抜く能力が極めて優れていると評価している。
一方、ミュトスにアクセスできない銀行に対してはコンサルタントが防御策の強化を呼びかけている。サイバーセキュリティー企業テナブルの欧州・中東・アフリカ(EMEA)地域テクニカルディレクター兼戦略担当のベルナール・モンテル氏は「銀行業の背骨はテクノロジーであり、そこが他の産業との決定的な違いだ」と話し、ミュトスによる「破壊」は事業の中核を直撃すると指摘した。
