金融庁 G7サイバー・エキスパート・グループによるAI及びサイバーセキュリティに関するステートメントの公表 (2025.09.22)

こんにちは、丸山満彦です。

G7サイバー・エキスパート・グループ（Cyber Expert Group）が「AI及びサイバーセキュリティに関するステートメント」を公表したと、金融庁がが公表していますね...

 

 

● G7 CYBER EXPERT GROUP （米国連邦財務省内）

・2025.09.18 [PDF] G7 Cyber Expert Group Statement AI and Cybersecurity

Recognizing the rapid evolution of artificial intelligence (AI) technologies, including Generative AI (GenAI), agentic AI, and other advanced systems, the G7 CEG’s statement on AI encourages jurisdictions to monitor ongoing developments, promote public-private-academic collaboration, and proactively address the emerging and evolving cybersecurity risks AI may pose.

人工知能（AI）技術、特に生成的AI（GenAI）、エージェント型AI、その他の高度なシステムが急速に進化していることを認識し、G7経済成長理事会（CEG）のAIに関する声明は、各国に対し、継続的な動向を監視し、官民学の連携を促進し、AIがもたらす可能性のある新たなサイバーセキュリティリスクに積極的に対処するよう促している。

 

● 金融庁

・2025.09.22 G7サイバー・エキスパート・グループによるAI及びサイバーセキュリティに関するステートメントの公表について

・[PDF] 

 

仮訳にはリファレンスがついていませんが、参考になるのでぜひ...

Reference Materials: financial institutions may benefit from consulting with frameworks such as:

• ANSSI: Building trust in AI through a cyber risk-based approach; February 2025
  
  
• EC: The General-Purpose AI Code of Practice
• EU: EU Artificial Intelligence Act, Regulation - EU - 2024/1689
  
  
• FATF: Opportunities and Challenges of New Technologies for Anti-Money Laundering and Countering the Financing of Terrorism
  
• MITRE ATLAS: Adversarial Threat Landscape for AI Systems
• NCSC/CISA: Guidelines for Secure AI Development
• NIST AI 100-2e2025: Adversarial Machine Learning A Taxonomy and Terminology of Attacks and Mitigations
• NIST: Artificial Intelligence Risk Management Framework
• NIST SP 800-218A: Secure Software Development Practices for Generative AI and Dual-Use Foundation Models
  
  
• OECD: Principles for trustworthy AI
  
  
• OWASP: AI Security and Privacy Guide

 

---

 

私が2020年に白浜シンポジウムで話をした内容と同じような内容です。（当時はまだ普及していなかった生成的AIについても触れています。）

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料

・[PDF] スマートサイバー　AI活用時代のサイバーリスク管理（配布用）

ぜひ...

 

 

対訳風にしてみました...

 

G7 CYBER EXPERT GROUP STATEMENT ON Artificial Intelligence and Cybersecurity September 2025	「G7 サイバー・エキスパート・グループによる AI 及びサイバーセキュリティに関するステートメント」の仮訳
The G7 Cyber Expert Group (CEG) advises G7 Finance Ministers and Central Bank Governors on cybersecurity policy issues critical to the security and resilience of the financial system. Recognizing the rapid evolution of artificial intelligence (AI) technologies, including Generative AI (GenAI), agentic AI, and other advanced systems, the CEG encourages jurisdictions to monitor ongoing developments, promote public-private-academic collaboration, and proactively address the emerging and evolving cybersecurity risks AI may pose.	サイバー・エキスパート・グループ(CEG)は、G7 の財務大臣及び中央銀行総裁に、金融システムの安全性と強靭性にとって重要なサイバーセキュリティ政策上の問題について助言している。CEG は、生成 AI(GenAI)、AI エージェント（agentic AI）及びその他の先進的なシステムを含む人工知能(AI)技術の急速な発展を認識し、法域が進行中の変化をモニターし、官民学連携を促進し、AI がもたらす可能性のある新しく進展しているサイバーセキュリティ・リスクに積極的に対応することを奨励している。
Artificial Intelligence and Cybersecurity: Navigating Risk and Resilience in the Financial System	（AI とサイバーセキュリティ：金融システムにおけるリスクと強靭性のナビゲーション）
AI is the latest in a continuum of significant innovations that have the potential to transform the financial sector. AI capabilities have long been used across the sector, with increasing complexity, integration, and sophistication. These technologies offer significant opportunities to enhance the operational, analytical, and risk management capabilities of financial institutions and authorities.	AI は、金融セクターを変革する可能性のある一連の重要なイノベーションの最新のものである。AI 機能は長い間、複雑さ、統合、高度化の度合いを増しながらセクター全体で使用されてきた。これらの技術は、金融機関や当局のオペレーション能力、分析能力、リスク管理能力を向上させる大きな機会を提供する。
AI uptake by malicious actors, however, could increase the frequency and impact of malicious cyber activity. And the increasing complexity and autonomy of AI systems, particularly generative and agentic AI, introduce novel cybersecurity risks.	しかし、悪意ある主体が AI を取り込むことは、悪意あるサイバー活動の頻度と影響を増大させうる。また、AI システム、特に生成 AI 及び AI エージェントの複雑さと自律性の増大は、新たなサイバーセキュリティ・リスクを生じさせる。
This statement does not set guidance or regulatory expectations. Rather, it aims to raise awareness of AI's cybersecurity dimensions and outlines key considerations for financial institutions, regulatory authorities, and other stakeholders that support security and resilience in the financial sector. The CEG encourages financial authorities to collaborate closely with financial institutions, AI developers, technology firms, academic researchers, and other stakeholders to promote a shared understanding of AI-related cybersecurity issues and to develop strategies that mitigate cyber risks while embracing innovation. The CEG remains committed to advancing dialogue across G7 jurisdictions.	本ステートメントは、ガイダンスや規制上の期待を示すものではない。むしろ、本ステートメントは、AI のサイバーセキュリティ上の特性について認識を高めることを目的とし、金融機関、規制当局、及び金融セクターにおいてセキュリティと強靭性を支えるその他のステークホルダーのための主要な検討事項を概説するものである。CEG は、金融当局が、金融機関、AI 開発者、テクノロジー企業、学術研究者、及びその他のステークホルダーと緊密に協力して、AI に関連するサイバーセキュリティの問題についての共通の理解を促進し、イノベーションを受け入れながらサイバー・リスクを軽減する戦略を策定することを奨励している。CEG は、引き続き、G7 の法域全体で対話を進めていく。
This Statement should be read in conjunction with the G7’s Fundamental Elements series, which serve to guide internal and external discussions on cybersecurity risk management decisions critical to cybersecurity, promoting conversations across jurisdictions and sectors to drive effective cyber risk management practices.	本ステートメントは、G7 の「基礎的要素」シリーズと併せて読まれるべきである。このシリーズは、サイバーセキュリティに不可欠なリスク管理の決定に関する内部及び外部の議論の指針となり、実効的なサイバー・リスク管理の実践を推進するために、法域及びセクターを越えた対話を促す。
Illustrating the Cyber Impact of AI	（AI のサイバーインパクトの説明）
AI is reshaping the cybersecurity landscape. The following examples highlight AI's potential to strengthen cyber defenses, amplify existing threats, and expose vulnerabilities rooted in AI system design and data usage.	AI はサイバーセキュリティの状況を大きく変えている。以下の例は、AI がサイバー防御を強化し、既存の脅威を増幅し、AI システムの設計とデータ利用に起因する脆弱性をさらす可能性を強調している。
(1) Ways AI Can Enhance Cyber Resilience	(1) AI がサイバー・レジリエンスを強化すること
AI can strengthen cybersecurity operations by ingesting, transforming, and learning from vast datasets, identifying patterns and anomalies that might otherwise go unnoticed, and accelerating response times.	AI は、膨大なデータセットを取り込み、変換し、学習することでサイバーセキュリティ業務を強化し、気づきにくいパターンや異常を特定し、対応時間を短縮することができる。
• Anomaly Detection and Response: AI can identify subtle network anomalies and power adaptive defenses such as AI-enabled web application firewalls (WAFs), addressing threats in real time at machine speed.	⚫ 異常の検知と対応：AI は、わずかなネットワークの異常を識別し、AI 搭載のウェブ・アプリケーション・ファイアウォール(WAF)などの適応型防御を強化し、機械のように高速でリアルタイムに脅威への対処ができる。
• Fraud Detection and Response: AI can detect evolving fraud patterns in payments, identify deepfakes used in Know Your Customer evasion, and flag AI-generated phishing emails.	⚫ 詐欺の検知と対応：AI は、進化する支払いにおける詐欺のパターンを検知し、顧客の本人確認（Know Your Customer）の回避に使用されるディープフェイクを特定し、AI が生成したフィッシングメールにフラグを立てることができる。
• Predictive Maintenance and Patching: AI can anticipate system failures, detect software vulnerabilities, and prioritize vulnerability patching.	⚫ 予見的なメンテナンスとパッチ適用：AI はシステム障害を予測し、ソフトウェアの脆弱性を検知し、脆弱性に対するパッチ適用に優先順位付けすることができる。
• SOC Efficiency: GenAI can assist security operations centers (SOCs) by summarizing incidents and recommending responses.	⚫ SOC の効率性：生成 AI は、インシデントを要約し、対応を推奨することによって、セキュリティ・オペレーション・センター(SOC)を支援できる。
• Vendor and Supply Chain Risk Monitoring: AI tools can analyze third-party risks using financial indicators and public data.	⚫ ベンダー及びサプライチェーンのリスク・モニタリング：AI ツールは、財務指標及び公開データを用いてサードパーティ・リスクを分析できる。
(2) Ways AI Could Amplify Existing Cyber Risk	(2) AI が既存のサイバー・リスクを増幅しうること
AI can enable attackers to operate with greater precision, speed, and scale.	AI は、攻撃者がより正確、迅速、かつ大規模に攻撃することを可能にする。
• AI-Powered Phishing or Impersonation: Generative and agentic AI can generate hyperpersonalized phishing messages and deepfakes, complicating detection efforts.	⚫ AI を利用したフィッシングまたはなりすまし：生成 AI 及び AI エージェントは、巧妙にパーソナライズされたフィッシング・メッセージやディープフェイクを生成する可能性があり、検知作業を複雑化させる。
• Automated Exploit Development: Reinforcement learning techniques can assist attackers by searching a network, software packages and libraries to perform reconnaissance faster, which could lead to increased effectiveness of attacks.	⚫ 自動化されたエクスプロイトの開発：強化学習技術は、ネットワーク、ソフトウェアのパッケージ及びライブラリを検索することによって攻撃者を支援できる。偵察をより迅速に実行することができるため、攻撃の効率向上につながる可能性がある。
• Malware Development and Evasion: AI may be able to create malware that evolves in real-time to avoid detection, lowering the bar for cybercriminals, and increasing both attack volume and sophistication.	⚫ マルウェアの開発と回避：AI は、検知を回避するためにリアルタイムで進化するマルウェアを作成し、サイバー犯罪の敷居を引き下げ、攻撃の量と巧妙さの両方を高めることができる可能性がある。
(3) Risks Stemming from Attacks That Embed or Exploit Vulnerabilities in AI	(3) AI の脆弱性を狙った攻撃によるリスク
AI itself may be a direct target or vector for cyber threats.	AI 自体が、サイバー攻撃の直接的なターゲットまたは脅威が発生する経路となる可能性がある。
• Data Poisoning: Manipulated data, both in training and production, can degrade model performance or lead to hidden vulnerabilities that attackers can exploit later.	⚫ データ・ポイズニング：訓練中及び本番環境の両方で不正に操作されたデータは、モデルのパフォーマンス低下や、攻撃者が後で悪用できる隠れた脆弱性の埋め込みにつながる可能性がある。
• Data Leaks: Interactions with public AI tools may lead to inadvertent disclosure or extraction of sensitive data.	⚫ データ漏洩：公開されている AI ツールとのやり取りは、機密データの意図せざる開示または抽出につながる可能性がある。
• Prompt Injection: Attackers can exploit system prompts to manipulate outputs or retrieve sensitive information.	⚫ プロンプト・インジェクション：攻撃者は、システムプロンプトを不正利用して出力を操作できるほか、機密情報を取得できる可能性がある。
Implications for Safety, Soundness Compliance, and Supervision	（安全性、健全性、コンプライアンス及び監督への影響）
AI’s potential to both mitigate and amplify cyber risks directly affects regulated firms and supervisory authorities.	AI がサイバー・リスクを軽減及び増幅する可能性は、規制対象企業及び監督当局に直接的に影響を及ぼす。
• Operational Risk and Resilience: Adversarial AI may increase exposure to outages, data breaches, and fraud.	⚫ オペレーショナル・リスクとレジリエンス：敵対的 AI は、システム停止、データ侵害、詐欺へのエクスポージャーを増大させる可能性がある。
• Human Oversight: Weak human oversight may delay incident detection or response.	⚫ 人による監視：人による監視が弱いと、インシデントの検知または対応が遅れる可能性がある。
• Model Risk: Poorly trained or governed AI models may behave unpredictably or degrade over time.	⚫ モデル・リスク：訓練または管理が不十分な AI モデルは、予測不可能な行動をとり、時間の経過とともに劣化する可能性がある。
• Supply Chain Risk: AI systems often rely on third-party libraries, datasets, or cloud services. If these are compromised, they can introduce backdoors or vulnerabilities into cybersecurity defenses, amplifying risks across interconnected systems.	⚫ サプライチェーン・リスク：AI システムは、多くの場合、サードパーティのライブラリ、データセット、またはクラウドサービスに依存している。これらが侵害されると、サイバーセキュリティ防御の仕組みにバックドアまたは脆弱性が埋め込まれ、相互接続されたシステム全体でリスクが増幅される可能性がある。
• AI Literacy: Lack of institutional expertise can compromise effective deployment and oversight.	⚫ AI リテラシー：組織的な専門知識の欠如は、効果的なデプロイと監視を損なう可能性がある。
Maximizing Opportunities While Managing Risks	（リスクを管理しながら利用機会を最大化すること）
Financial institutions and authorities may benefit from a proactive approach to safe AI adoption by:	金融機関及び当局は、以下の方法により、安全な AI の導入に対する積極的なアプローチから便益を得られる可能性がある。
• Identifying where and how AI can be used to manage and address both cyber and noncyber risks.	⚫ サイバー・リスクと非サイバー・リスクの両方を管理し対処するために、AI をどこで、どのように利用できるかを特定する。
• Investing in secure and responsible AI development, particularly for defensive applications.	⚫ 安全で責任ある AI、特に防御的用途のアプリケーションの開発に投資する。
• Promoting AI systems that are fit-for purpose, appropriately risk-managed, and robust.	⚫ 目的に適合し、適切にリスク管理され、頑健な AI システムを推進する。
• Supporting workforce development through knowledge sharing and training.	⚫ 知識の共有と訓練を通じた社員の能力開発を支援する。
Financial Sector Considerations	（金融セクターの検討事項）
AI may influence cybersecurity-related risks in the financial sector in several ways depending on the trajectory and maturity of AI adoption:	AI は、AI 導入の経緯と成熟度に応じて、いくつかの方法で金融セクターにおけるサイバーセキュリティ関連リスクに影響を及ぼす可能性がある。
• Malicious Use: AI uptake by malicious actors could make it easier for them to facilitate, accelerate, and broaden their exploitation of cyber vulnerabilities.	⚫ 悪用：悪意のある主体による AI の取り込みは、サイバーの脆弱性の悪用を促進し、高速化し、拡大させやすくする可能性がある。
• Third-Party Dependencies and Service Provider Concentration: A significant cyber incident at a widely used AI provider could have the potential to affect many financial institutions. The impact on the financial sector and potential for system-wide disruptions will depend on the nature and criticality of the AI services used, including the substitutability of the AI services.	⚫ サードパーティへの依存とサービス・プロバイダへの集中：広く利用されている AI プロバイダにおける重大なサイバーインシデントは、多くの金融機関に影響を及ぼす可能性がある。金融セクターへの影響とシステム全体の障害の可能性は、AI サービスの代替可能性を含め、利用される AI サービスの性質と重要性に左右される。
• Expertise and Specialist Resources: Institutions lacking AI expertise may be disproportionately vulnerable to associated cybersecurity risk.	⚫ 専門的知見及び専門人材のリソース：AI の専門的知見が不足している機関は、関連するサイバーセキュリティ・リスクに対して不釣り合いに脆弱である可能性がある。
Key Considerations for Financial Institutions and Authorities	（金融機関と金融当局の主要な検討事項）
To manage AI-related cyber risks, financial institutions may consider the following questions:	AI 関連のサイバー・リスクを管理するために、金融機関は以下の質問を検討し得る。
• Strategy, Governance, and Oversight: Are governance frameworks responsive to emerging AI risks?	⚫ 戦略、ガバナンス及び監視：ガバナンスの枠組みは新たな AI リスクに対応しているか。
• Cybersecurity Integration: Are AI systems aligned with secure-by-design principles?	⚫ サイバーセキュリティの統合：AI システムは、セキュア・バイ・デザイン（企画・設計段階からのセキュリティ対策）の原則と整合しているか。
• Data Security and Lineage: Are data sources vetted and is lineage tracked?	⚫ データの安全性と履歴管理：データソースは精査され、履歴は管理されているか。
• Logging and Monitoring: Are anomalies and edge-cases logged and reviewed?	⚫ ログの取得及び監視：異常及びエッジケースが記録され、レビューされているか。
• Identity and Authentication: Are systems resilient against impersonation and AI-enabled fraud?	⚫ アイデンティティと認証：システムはなりすましや AI を利用した詐欺に対して耐性があるか。
• Incident Response: Are incident response plans and playbooks updated to account for AI-enhanced attacks and AI-specific incidents?	⚫ インシデント対応：インシデント対応計画と手順書は、AI により強化された攻撃と AI に特有のインシデントを考慮して更新されているか。
• Resources, Skills, and Awareness: What is the path to ensure adequate expertise to evaluate and monitor AI use?	⚫ 人的リソース、スキル、及び認識向上：AI 利用を評価及び監視するための十分な専門的知見を確保する道筋は何か。
Financial authorities may consider the following strategies for addressing AI and cybersecurity risks:	金融当局は、AI 及びサイバーセキュリティ・リスクに対処するために、以下の戦略を検討し得る。
• Strengthen internal capabilities to understand AI-specific cybersecurity risks.	⚫ AI に特有のサイバーセキュリティ・リスクを理解するために組織内部の能力を強化する。
• Encourage strong governance and leadership engagement related to AI and cybersecurity.	⚫ AI とサイバーセキュリティに関連する強力なガバナンス及びリーダーシップへの関与を奨励する。
• Engage with technology firms, academia, and financial industry partners to track evolving AI capabilities, and discuss opportunities and risks.	⚫ テクノロジー企業、学界、金融業界のパートナーと協力して、進化する AI 能力を継続的に把握し、利用機会とリスクについて議論する。
• Integrate AI-related risks into existing risk management processes.	⚫ AI 関連リスクを既存のリスク管理プロセスに統合する。
When deployed effectively, AI can bolster cyber resilience by enhancing the speed and precision of detection and response and revealing hidden system vulnerabilities.	効果的にデプロイされれば、AI は、検知と対応の速度と正確性を向上させ、システムの隠れた脆弱性を明らかにすることによって、サイバー攻撃耐性を強化できる。
Next Steps	（次のステップ）
As AI becomes more deeply embedded in software systems and financial operations, the cybersecurity implications will continue to evolve. The CEG encourages financial sector stakeholders to:	AI がソフトウェア・システムや金融業務に深く組み込まれるにつれて、サイバーセキュリティへの影響は変化し続けうる。CEG は、金融セクターのステークホルダーに対し、以下を推奨する。
• Explore AI’s potential for enhancing cyber defense capabilities.	⚫ サイバー防御能力の向上のために AI の可能性を探究する。
• Update risk frameworks to reflect AI-specific cybersecurity vulnerabilities and mitigation strategies.	⚫ AI に特有のサイバーセキュリティの脆弱性及びその緩和策を考慮してリスク・フレームワークをアップデートする。
• Engage in collaborative research and policy development with technology firms and academia.	⚫ テクノロジー企業や学界と協力して共同研究と政策立案を行う。
• Promote public-private dialogue to promote secure and trustworthy AI in the financial sector.	⚫ 金融セクターにおいて安全で信頼できる AI を推進するため、官民対話を推進する。
With a deliberate, risk-informed approach, AI can be an effective tool for cybersecurity and resilience, while helping preserve the integrity and stability of the financial system.	リスクを踏まえた慎重なアプローチにより、AI はサイバーセキュリティとレジリエンスのための効果的なツールとなり得ると同時に、金融システムの健全性と安定性の維持にも役立つ。