« シンガポール デジタル環境における子供の個人データに関するPDPAに関するアドバイザリー・ガイドライン | Main | 米国 FedRAMPの新しいloadマップ(2024-2025) »

2024.04.01

米国 財務省 金融サービスセクターにおける人工知能特有のサイバーセキュリティ・リスクの管理

こんにちは、丸山満彦です。

米国財務省が、金融サービスセクターにおけるAI特有のサイバーセキュリティ・リスクの管理という報告書を公表しています。金融セクター特有の話もありますが、一般的な内容ももちろん含まれているので、他の産業においても参考になる部分はあると思います...

 


・2024.03.27 U.S. Department of the Treasury Releases Report on Managing Artificial Intelligence-Specific Cybersecurity Risks in the Financial Sector

 

U.S. Department of the Treasury Releases Report on Managing Artificial Intelligence-Specific Cybersecurity Risks in the Financial Sector 米国財務省、金融セクターにおける人工知能特有のサイバーセキュリティリスクのマネジメントに関する報告書を発表
WASHINGTON – Today, the U.S. Department of the Treasury released a report on Managing Artificial Intelligence-Specific Cybersecurity Risks in the Financial Services Sector. The report was written at the direction of Presidential Executive Order 14110 on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence. Treasury’s Office of Cybersecurity and Critical Infrastructure Protection (OCCIP) led the development of the report. OCCIP executes the Treasury Department’s Sector Risk Management Agency responsibilities for the financial services sector. ワシントン - 米国財務省は本日、「金融分野における人工知能特有のサイバーセキュリティ・リスクのマネジメント」に関する報告書を発表した。この報告書は、大統領令14110「人工知能の安全、確実かつ信頼できる開発と利用」の指示に基づいて作成された。財務省のサイバーセキュリティ・重要インフラ保護室(OCCIP)が報告書の作成を主導した。OCCIPは、金融サービス部門に対する財務省のセクター・リスクマネジメント機関の責務を遂行している。
“Artificial intelligence is redefining cybersecurity and fraud in the financial services sector, and the Biden Administration is committed to working with financial institutions to utilize emerging technologies while safeguarding against threats to operational resiliency and financial stability,” said Under Secretary for Domestic Finance Nellie Liang. “Treasury’s AI report builds on our successful public-private partnership for secure cloud adoption and lays out a clear vision for how financial institutions can safely map out their business lines and disrupt rapidly evolving AI-driven fraud.” ネリー・リャン国内金融担当次官以下のように述べた。「バイデン政権は、レジリエンスと金融の安定性を脅かす脅威から守りつつ、新たな技術を活用するために金融機構と協力することを約束する。財務省のAI報告書は、安全なクラウド導入のための官民パートナーシップの成功に基づくものであり、金融機関がどのようにすれば安全にビジネスラインを構築し、急速に進化するAI主導の詐欺を阻止できるかについて明確なビジョンを示している。」
In the report, Treasury identifies significant opportunities and challenges that AI presents to the security and resiliency of the financial services sector. The report outlines a series of next steps to address immediate AI-related operational risk, cybersecurity, and fraud challenges:  財務省は報告書の中で、AIが金融サービス部門のセキュリティとレジリエンスにもたらす重要な機会と課題を特定している。報告書では、AIに関連するオペレーショナルリスク、サイバーセキュリティ、不正行為の課題に対処するための一連の次のステップを概説している: 
1. Addressing the growing capability gap. There is a widening gap between large and small financial institutions when it comes to in-house AI systems. Large institutions are developing their own AI systems, while smaller institutions may be unable to do so because they lack the internal data resources required to train large models. Additionally, financial institutions that have already migrated to the cloud may have an advantage when it comes to leveraging AI systems in a safe and secure manner. 1. 拡大する能力格差への対処:社内AIシステムに関しては、大手と中小の金融機関の間で格差が広がっている。大手の機構は独自のAIシステムを開発しているが、中小の機構は大規模なモデルを訓練するのに必要な内部データリソースが不足しているため、開発できない可能性がある。さらに、AIシステムを安全かつセキュアな方法で活用することに関しては、すでにクラウドに移行している金融機関の方が有利かもしれない。
2. Narrowing the fraud data divide. As more firms deploy AI, a gap exists in the data available to financial institutions for training models. This gap is significant in the area of fraud prevention, where there is insufficient data sharing among firms. As financial institutions work with their internal data to develop these models, large institutions hold a significant advantage because they have far more historical data. Smaller institutions generally lack sufficient internal data and expertise to build their own anti-fraud AI models. 2. 不正データ格差の縮小:AIを導入する企業が増えるにつれ、金融機関がモデルをトレーニングするために利用できるデータには格差が生じている。このギャップは、企業間のデータ共有が不十分な不正防止分野で顕著である。金融機関が内部データを利用してモデルを開発する場合、過去のデータがはるかに多い大手機構が有利である。中小機構は一般的に、独自の不正防止AIモデルを構築するための十分な内部データと専門知識を有していない。
3. Regulatory coordination. Financial institutions and regulators are collaborating on how best to resolve oversight concerns together in a rapidly changing AI environment. However, there are concerns about regulatory fragmentation, as different financial-sector regulators at the state and federal levels, and internationally, consider regulations for AI. 3. 規制当局との連携:金融機関と規制当局は、急速に変化するAI環境の中で、監督上の懸念を共に解決する最善の方法について協力している。しかし、州レベル、連邦レベル、国際的に異なる金融セクターの規制当局がAIに関する規制を検討しているため、規制の分断が懸念される。
4. Expanding the NIST AI Risk Management Framework. The National Institute of Standards and Technology (NIST) AI Risk Management Framework could be expanded and tailored to include more applicable content on AI governance and risk management related to the financial services sector. 4. NIST AIリスクマネジメントフレームワークの拡大:国立標準技術研究所(NIST)のAIリスクマネジメントフレームワークは、金融サービス部門に関連するAIのガバナンスとリスクマネジメントについて、より適用可能な内容を含むように拡大・調整される可能性がある。
5. Best practices for data supply chain mapping and “nutrition labels.” Rapid advancements in generative AI have exposed the importance of carefully monitoring data supply chains to ensure that models are using accurate and reliable data, and that privacy and safety are considered. In addition, financial institutions should know where their data is and how it is being used. The financial sector would benefit from the development of best practices for data supply chain mapping. Additionally, the sector would benefit from a standardized description, similar to the food “nutrition label,” for vendor-provided AI systems and data providers. These “nutrition labels” would clearly identify what data was used to train the model, where the data originated, and how any data submitted to the model is being used. 5. データサプライチェーンマッピングと "栄養ラベル "のベストプラクティス:生成的AIの急速な進歩により、モデルが正確で信頼できるデータを使用しているか、プライバシー・安全性に配慮されているかを確認するため、データ・サプライチェーンを注意深く監視することの重要性が露呈している。加えて、金融機関はデータがどこにあり、どのように使用されているかを知る必要がある。金融セクターは、データサプライチェーンマッピングのベストプラクティスの開発から恩恵を受けるだろう。さらに、ベンダーが提供するAIシステムやデータプロバイダーについて、食品の「栄養ラベル」のような標準的な説明があれば、金融セクターは恩恵を受けるだろう。この「栄養ラベル」は、モデルの学習にどのようなデータが使用されたのか、そのデータの出所、モデルに提出されたデータがどのように使用されているのかを明確に示すものである。
6. Explainability for black box AI solutions. Explainability of advanced machine learning models, particularly generative AI, continues to be a challenge for many financial institutions. The sector would benefit from additional research and development on explainability solutions for black-box systems like generative AI, considering the data used to train the models and the outputs and robust testing and auditing of these models. In the absence of these solutions, the financial sector should adopt best practices for using generative AI systems that lack explainability. 6. ブラックボックスAIソリューションの説明可能性:高度な機械学習モデル、特に生成的AIの説明可能性は、多くの金融機関にとって引き続き課題である。生成的AIのようなブラックボックス・システムのための説明可能性ソリューションに関する追加的な研究開発は、モデルの訓練に使用されるデータや出力、これらのモデルの堅牢なテストと監査を考慮することで、このセクターにとって有益であろう。こうしたソリューションがない場合、金融セクターは説明可能性に欠ける生成的AIシステムを使用するためのベストプラクティスを採用すべきである。
7. Gaps in human capital. The rapid pace of AI development has exposed a substantial AI workforce talent gap for those skilled in both creating and maintaining AI models and AI users. A set of best practices for less-skilled practitioners on how to use AI systems safely would help manage this talent gap. In addition, a technical competency gap exists in teams managing AI risks, such as in legal and compliance fields. Role-specific AI training for employees outside of information technology can help educate these critical teams. 7. 人的資本のギャップ:AI開発の急速なペースは、AIモデルの作成と維持の両方に熟練した人材とAIユーザーの実質的なAI労働力の人材ギャップを露呈している。AIシステムを安全に使用する方法について、熟練度の低い実務者のための一連のベストプラクティスは、この人材格差の管理に役立つだろう。さらに、法律やコンプライアンスの分野など、AIのリスクをマネジメントするチームにも技術的な能力格差が存在する。情報技術以外の従業員を対象とした役割に特化したAIトレーニングは、こうした重要なチームの教育に役立つ。
8. A need for a common AI lexicon. There is a lack of consistency across the sector in defining what “artificial intelligence” is. Financial institutions, regulators, and consumers would all benefit greatly from a common AI-specific lexicon. 8. 共通のAI語彙の必要性:人工知能」とは何かを定義する上で、この分野全体に一貫性が欠けている。金融機関、規制当局、消費者すべてが、AIに特化した共通の辞書から大きな恩恵を受けるだろう。
9. Untangling digital identity solutions. Robust digital identity solutions can help financial institutions combat fraud and strengthen cybersecurity. However, these solutions differ in their technology, governance, and security, and offer varying levels of assurance. An emerging set of international, industry, and national digital identity technical standards is underway. 9. デジタル ID ソリューションの整理:強固なデジタル ID ソリューションは、金融機構が不正行為と闘い、サイバーセキュリティを強 化するのに役立つ。しかし、これらのソリューションは、その技術、ガバナンス、およびセキュリテ ィにおいて異なっており、保証のレベルもさまざまである。国際的、業界的、および国家的なデジタル ID 技術標準の新たなセットが進行中である。
10. International coordination. The path forward for regulation of AI in financial services remains an open question internationally. Treasury will continue to engage with foreign counterparts on the risks and benefits of AI in financial services. 10. 国際協調:金融サービスにおける AI 規制の進むべき道は、国際的に未解決の問題のままである。財務省は、金融サービスにおけるAIのリスクと便益について、海外のカウンターパートとの関与を継続する。
As part of Treasury’s research for this report, Treasury conducted in-depth interviews with 42 financial services sector and technology related companies. Financial firms of all sizes, from global systemically important financial institutions to local banks and credit unions, provided input on how AI is used within their organizations. Additional stakeholders included major technology companies and data providers, financial sector trade associations, cybersecurity and anti-fraud service providers, and regulatory agencies. Treasury’s report provides an extensive overview of current AI use cases for cybersecurity and fraud prevention, as well as best practices and recommendations for AI use and adoption. The report does not impose any requirements and does not endorse or discourage the use of AI within the financial sector.  財務省は本レポートのための調査の一環として、金融サービス部門およびテクノロジー関連企業42社と詳細な面談を行った。グローバルなシステム上重要な金融機構から地方銀行や信用組合まで、あらゆる規模の金融機関が、それぞれの組織内でAIがどのように活用されているかについて意見を提供した。さらに、大手テクノロジー企業やデータプロバイダー、金融業界の業界団体、サイバーセキュリティや不正対策サービスのプロバイダ、規制当局などの関係者も参加した。財務省の報告書は、サイバーセキュリティや不正防止における現在のAIの利用事例を幅広く概観するとともに、AIの利用や導入に関するベストプラクティスや推奨事項を示している。報告書はいかなる要件も課しておらず、金融セクターにおけるAIの利用を推奨も抑制もしない。
In the coming months, Treasury will work with the private sector, other federal agencies, federal and state financial sector regulators, and international partners on key initiatives to address the challenges surrounding AI in the financial sector. While this report focuses on operational risk, cybersecurity, and fraud issues, Treasury will continue to examine a range of AI-related matters, including the impact of AI on consumers and marginalized communities. 財務省は今後数ヶ月の間に、民間セクター、他の連邦政府機関、連邦および州の金融セクター規制当局、国際的なパートナーと協力し、金融セクターにおけるAIを取り巻く課題に対処するための主要な取り組みを行っていく。本レポートはオペレーショナルリスク、サイバーセキュリティ、詐欺の問題に焦点を当てているが、財務省は消費者や社会から疎外されたコミュニティに対するAIの影響を含め、AIに関連する様々な事項を引き続き検討していく。

 

・[PDF]

20240401-100006

・[DOCX] 仮訳

 

目次...

Table of Contents 目次
Executive Summary エグゼクティブ・サマリー
1. Introduction 1. はじめに
1.1 BACKGROUND AND PURPOSE OF THIS REPORT 1.1 本報告書の背景と目的
1.2 REPORT ORGANIZATION 1.2 報告書の構成
1.3 SCOPE AND METHODOLOGY 1.3 スコープと方法論
1.4 WHAT DO WE MEAN BY ARTIFICIAL INTELLIGENCE? 1.4 人工知能とは何か?
1.5 FINANCIAL SERVICES SECTOR PROFILE 1.5 金融サービス部門のプロフィール
1.6 CYBERSECURITY AND FRAUD TRENDS 1.6 サイバーセキュリティと不正行為の傾向
2. Artificial Intelligence in Financial Services: Cybersecurity and Fraud Protection 2. 金融サービスにおける人工知能サイバーセキュリティと不正防止
2.1 AI SYSTEMS AND MITIGATION OF CYBERSECURITY AND FRAUD RISKS 2.1 AIシステムとサイバーセキュリティおよび詐欺リスクの軽減
2.2 MIXED USE OF IN-HOUSE AND THIRD-PARTY AI SYSTEMS 2.2 社内システムとサードパーティ製システムの混合使用
2.3 CAUTIOUS ADOPTION OF GENERATIVE AI SYSTEMS 2.3 生成的AIシステムの慎重な採用
2.4 CYBERSECURITY AND RISKS RELATED TO AI MODELS 2.4 サイバーセキュリティとAIモデルに関するリスク
2.5 FRAUD DETECTION AND THE IMPACT OF DATA 2.5 不正検知とデータの影響
3. AI Cybersecurity and Fraud Threats for Financial Institutions 3. 金融機関におけるAIサイバーセキュリティと不正の脅威
3.1 CYBERTHREAT ACTOR USES OF AI 3.1 サイバー脅威者によるAIの利用
3.2 CYBERTHREATS TO AI SYSTEMS 3.2 AIシステムへのサイバー脅威
3.3 IDENTITY IMPERSONATION AND SYNTHETIC IDENTITY 3.3 IDのなりすましと合成ID
3.4 THIRD-PARTY RISKS AND MAGNIFIED DATA SECURITY AND PRIVACY 3.4 第三者のリスクと拡大するデータ・セキュリティとプライバシー
4. Regulatory Landscape for Artificial Intelligence in Financial Services 4. 金融サービスにおける人工知能の規制状況
4.1 U.S. FINANCIAL SECTOR REGULATORY LANDSCAPE 4.1 米国の金融セクターの規制状況
5. Best Practices for Managing AI-Specific Cybersecurity Risks 5. AI特有のサイバーセキュリティ・リスクを管理するためのベスト・プラクティス
5.1 SITUATING AI RISK MANAGEMENT WITHIN EXISTING ENTERPRISE RISK MANAGEMENT PROGRAMS 5.1 AIリスクマネジメントを既存の企業リスクマネジメントプログラムの中に位置づける
5.2 DEVELOPING AND IMPLEMENTING AN AI RISK MANAGEMENT FRAMEWORK 5.2 Aiリスクマネジメントのフレームワークの策定と実施
5.3 INTEGRATING RISK MANAGEMENT FUNCTIONS FOR AI 5.3 AIのリスク管理機能を統合する
5.4 EVOLUTION OF THE CHIEF DATA OFFICER ROLE AND MAPPING THE DATA SUPPLY CHAIN 5.4 最高データ責任者の役割の進化とデータサプライチェーンのマッピング
5.5 ASKING THE RIGHT QUESTIONS OF VENDORS 5.5 ベンダーに正しい質問をする
5.6 SURVEYING NIST’S CYBERSECURITY FRAMEWORK TO IDENTIFY OPPORTUNITIES FOR AI USE 5.6 NISTのサイバーセキュリティ・フレームワークを調査し、AI活用の機会を見出す
5.7 IMPLEMENTING RISK-BASED TIERED MULTIFACTOR AUTHENTICATION MECHANISMS 5.7 リスクベースの階層型多要素認証メカニズムを実装する
5.8 PICKING THE RIGHT TOOL FOR THE JOB AND RISK TOLERANCE 5.8 仕事とリスク許容度に適したツールを選ぶ
5.9 CYBERSECURITY BEST PRACTICES CLOSELY APPLY TO  AI SYSTEMS 5.9 サイバーセキュリティのベストプラクティスはAIシステムに密接に適用される
6. Next Steps: Challenges & Opportunities 6. 次のステップ課題と機会
6.1 NEED FOR A COMMON AI LEXICON 6.1 共通のAI語彙の必要性
6.2 ADDRESSING THE GROWING CAPABILITY GAP 6.2 拡大する能力格差への対応
6.3 NARROWING THE FRAUD DATA DIVIDE 6.3 不正データの格差を縮める
6.4 REGULATION OF AI IN FINANCIAL SERVICES REMAINS AN OPEN QUESTION 6.4 金融サービスにおけるAiの規制は、依然として未解決の問題である。
6.5 EXPANDING THE NIST AI RISK MANAGEMENT FRAMEWORK 6.5 NISTのAIリスク管理の枠組みを拡大する
6.6 BEST PRACTICES FOR DATA SUPPLY CHAIN MAPPING AND “NUTRITION LABELS” 6.6 データ・サプライチェーンのマッピングと "栄養ラベル "のベストプラクティス
6.7 DECIPHERING EXPLAINABILITY FOR BLACK BOX AI SOLUTIONS 6.7 ブラックボックスAiソリューションの説明可能性を読み解く
6.8 GAPS IN HUMAN CAPITAL 6.8 人的資本の格差
6.9 UNTANGLING DIGITAL IDENTITY SOLUTIONS 6.9 デジタルIDソリューションを紐解く
6.10 INTERNATIONAL COORDINATION 6.10 国際協調
7. Conclusion and Other Treasury AI Work 7. 結論とその他の財務省AI業務
Annex A: FSSCC R&D Committee Paper: Artificial Intelligence in the Financial Sector: Cybersecurity and Fraud Use Cases and Risks 附属書A:FSSCC研究開発委員会ペーパー:金融セクターにおける人工知能:サイバーセキュリティと不正行為のユースケースとリスク
Annex B: External Participants 附属書B:外部参加者
Glossary 用語集

 

 

|

« シンガポール デジタル環境における子供の個人データに関するPDPAに関するアドバイザリー・ガイドライン | Main | 米国 FedRAMPの新しいloadマップ(2024-2025) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« シンガポール デジタル環境における子供の個人データに関するPDPAに関するアドバイザリー・ガイドライン | Main | 米国 FedRAMPの新しいloadマップ(2024-2025) »