Article Posted date 12 September 2025

目次

はじめに

急増するサイバーセキュリティの脅威に対処するために、多くの金融機関のCISOはAIなどの先進技術に活路を見出そうとしています。しかし、単なる“テクノロジー”だけでは十分ではありません。

金融機関のCISOは、デジタルトランスフォーメーションとクラウド導入を推進するなかで、いくつもの課題に直面しています。これらの課題には、重要資産の保護、拡大するアタックサーフェスの管理、複雑な規制環境への対応などが含まれます。金融業界ではデータの急増と構造の複雑化により、セキュリティ担当者が情報を正確に把握することが困難になっています。このような可視性の低下と、情報ノイズの増加に直面するなかで、CISOには脆弱性、重要資産、インシデントの3つを同時に注視し、的確に対応する力が求められています。

予算が大幅に削減されているわけではないものの、サイバーセキュリティの要求の高まりに比例して増加しているわけでもありません。CISOは現在の支出の妥当性を継続的に説明しながら、自動化やクラウドセキュリティといった必要不可欠な領域への追加予算の確保に苦慮しています。そしてさらに大きな課題は、人工知能(AI)や機械学習(ML)を組み込んだ革新的なソリューションへの投資と、世界的に強化される傾向にあるサイバー規制への対応との間で、限られた予算の配分に戦略的な判断が求められている点です。

加えて、金融機関のCISOは、地域を跨いで複雑化・厳格化するサイバーセキュリティ規制への対応を迫られています。米国では、通貨監督庁(OCC)と連邦準備制度理事会(FRB)がTier1のグローバル銀行に対する監督を強化しており、検査やレビューの過程で「MRA(Matters Requiring Attention)」と呼ばれる正式な指摘事項を発行し、金融機関に特定の課題への対応を求めています。同様に欧州連合(EU)でも、デジタルオペレーショナルレジリエンス法(DORA)のように戦術的なセキュリティ要件を明確に定めた規制の重要性が増しています。

こうした課題に先手を打つために、CISOはAIやMLなどの先進技術を活用して、セキュリティオペレーションの自動化、誤検知の削減、インシデント対応の効率化を進めています。しかし、テクノロジーだけでは不十分です。CISOには、経営層とのオープンで継続的な対話を通じて、サイバーセキュリティプログラムをビジネス目標と整合させることが求められています。

変化はすでに始まっています。KPMGの調査によると、金融機関の74%が、テクノロジー投資計画の初期段階からサイバーセキュリティ部門が関与しており、意思決定プロセスに大きな影響を与えていると回答しています※1

コロナ禍によって多くの企業では第2線(セカンドライン)の防衛体制が肥大化し、既存の役割と責任の見直しにつながりました。CISOには統制の監督を担う第2線との緊密な連携が求められています。具体的には、デジタル環境全体の健全性を測る指標として、運用上のKPI(主要業績評価指標)に焦点を当て、それらを重要リスク指標と整合させることが推奨されます。CISOは常に先回りの姿勢と柔軟性を持ち、サイバーセキュリティの状況を継続的に評価し、ギャップを特定し、リスクを軽減するために強力かつ柔軟なコントロールを導入する必要があります。

本稿では、金融サービス分野における主要なサイバーセキュリティの3つの主要課題について、CISO向けの実践的な洞察と推奨事項を紹介します。

主要課題1:テクノロジーと人材の融合によるセキュリティ強化

AIとMLは、金融機関におけるサイバーセキュリティの定型業務を自動化し、人員不足のセキュリティチームの負担軽減に寄与します。現在の運用プロセスではデータにノイズが多く含まれており、誤検知が頻繁に発生する傾向にありますが、その量に対処するのに十分な人員が不足しています。

AIの活用により、誤検知の削減、タスクの自動割当て、重要インシデントの優先的なエスカレーションが可能になり、セキュリティ検知精度の向上と、脆弱性対応の優先順位付けが実現されます。これにより運用効率の向上と、欧州の一般データ保護規則(GDPR)や米国の連邦金融機関審査委員会(FFIEC)などの各種規制へのコンプライアンス強化が期待されます。

【直面する課題】

サイバー人材の不足

金融機関では、熟練したサイバーセキュリティ人材の確保が依然として困難な状況が続いています。この人材不足は、サイバー脅威の高度化・多様化に対処するうえでの課題を増大させています。

リソースの最適配分

テクノロジーの助けがなければ、サイバーセキュリティ人材は日常的なタスクに追われることになります。その結果、複雑なセキュリティ脅威への対応や分析に割ける時間が少なくなってしまいます。

規制対応の圧力

金融機関は、絶えず変化する規制要件への対応を迫られています。新たな基準への継続的な適応には多くのリソースを要し、対応を誤れば業務や信頼に影響を及ぼす可能性もあるため、慎重かつ計画的な管理が必要です。

【戦略的な成長機会】

脅威検出の高度化

AIおよびMLの活用により、脅威の検出能力が大幅に向上し、より迅速かつ正確な脅威識別が可能になります。これにより、金銭的損失の防止と機密データ保護に貢献するほか、サイバーセキュリティ人材は、より複雑で戦略的な業務に集中することが可能になります。実際、KPMGの調査によると、金融サービス分野の専門職の68%が、「AIが従来大きな課題であったサイバーセキュリティを担うナレッジワーカーのスキルギャップを埋めるのに役立っている」と回答しており、そのうち24%は「非常にそう思う」と強く同意しています※2

運用効率の向上

定型業務の自動化により、継続的な監視や迅速なデータ分析が可能になります。これにより、脅威への対応スピードが向上し、リソースの有効活用が実現されます。こうしたスケーラビリティは、サイバーセキュリティ関連の規制への安定的な準拠を支えるとともに、組織全体のレジリエンス強化にもつながります。

多くの金融機関が、サイバーセキュリティ領域におけるAIやML活用の価値を認識していますが、導入状況にはばらつきがあります。現在は、大規模な金融機関ほど多くのリソースを投入し、ナレッジワーカーを追加で確保できる体制を持つため、導入を先導しています。

一方で、中小規模の金融機関は予算制約が障壁となり、導入が遅れがちです。とはいえ、サイバーセキュリティ戦略において自動化の必要性を認識する流れは広がっており、これらの導入への準備は進みつつあります。今後AIによる業務変革が進むなかで、人材のスキル高度化に向けた投資は戦略的に必須事項となる見込みです。実際、金融サービス分野の専門職の40%が、今後10年間でAIが職務内容に大きな変化をもたらすと予測しています※3

主要課題2:AIの普及に伴う信頼性の組み込み

AIの成長は、金融機関にとって業務効率化、顧客体験の向上、イノベーションの促進などの多くの機会をもたらします。その一方で、信頼性、セキュリティ、プライバシーに関する課題も浮上しています。データの完全性、セキュリティ、コンプライアンスを維持するためには、AI導入において「信頼性」を組み込む必要があります。

現在、金融機関はAIガバナンスにおいて、アルゴリズム取引などのモデル・リスク管理と同様のアプローチを取っています。しかしCISOの関与という点ではまだ十分ではありません。多くの企業がAIツールのセキュリティ確保に取り組み始めていますが、これらのツールが他の重要データやアルゴリズムとどのように異なるかについては、まだ明確な理解が得られていないのが現状です。

【直面する課題】

データのプライバシーとセキュリティ

AIシステムは大規模かつ機密性の高い金融データを必要とするため、サイバー攻撃の標的となるリスクが高まります。金融機関は、欧州のGDPR、米国カリフォルニア州消費者プライバシー法(CCPA)、欧州AI規制法など、進化し続けるコンプライアンス要件のなかで、プライバシーとセキュリティの課題に的確に対処していく必要があります。

データの品質とバイアス

AIの効果的な活用には、クリーンで正確なデータが不可欠です。データに分類誤りや品質のばらつき、一貫性の欠如といった問題があると、誤った、あるいは偏ったアウトプットを引き起こす可能性があります。このような結果は、AIシステムに対する信頼性を損ない、ひいてはユーザやステークホルダーからの信頼低下につながりかねません。

説明可能性と透明性

ディープラーニングなどの複雑なAIモデルは、しばしば「ブラックボックス」として機能し、その意思決定プロセスの可視性が限られています。意思決定の根拠が不明瞭であることは、顧客との信頼関係やコンプライアンス対応において重大な障壁となる可能性があります。

【戦略的な成長機会】

AIによるセキュリティ強化

AIやMLを活用したリアルタイムのセキュリティインシデント検知・対応によって、金融機関のセキュリティ対策の向上が期待されます。AIは潜在的な脅威を示すパターンを認識できるため、サイバー脅威に対して迅速かつ的確な対応が可能になります。

データガバナンスとコンプライアンスの向上

AIをデータガバナンスに活用することで、データの整合性、正確性、そして規制基準への準拠を維持することが可能になります。AIはデータの自動分類、異常検出、プライバシー規制の一貫した遵守の確保に役立ち、AI主導のプロセスにおける信頼性と安全性を高めます。

金融機関はAIに対する信頼を確立する必要性を認識していますが、その準備状況はさまざまです。すでにデータガバナンスやAI説明可能性ツールを導入している組織もあれば、リソースが不足している組織もあります。透明性、データ品質、セキュリティの重要性に対する認識は高まりつつあり、これらの課題に対処するための戦略や技術も進展しています。

主要課題3:レジリエンス・バイ・デザイン~企業と社会のためのサイバーセキュリティ

システムの相互接続が進むなかで、金融サービス分野におけるサイバーレジリエンスの重要性はこれまで以上に高まっています。金融機関のCISOは、広範なアタックサーフェスの管理、インシデントへの迅速な対応、そしてレジリエンスの維持に取り組む必要があります。

特に、重要インフラに対する脅威は業務を著しく中断させ、機密データの漏えいにつながる可能性があります。ゆえに、レジリエンスは今や、事業継続計画や災害復旧プログラムにおいて最優先事項になっています。

【直面する課題】

広範なアタックサーフェス

金融サービス分野におけるシステムのデジタル化と統合の進展により、攻撃対象領域(アタックサーフェス)が拡大しています。そのため、あらゆる侵入経路を潜在的な脅威から効果的に保護することが、きわめて困難になっています。

迅速なインシデント対応

金融機関は、インシデントを迅速に特定し、被害を最小限に抑えるために、高度な検知システムと効率的な対応計画を備える必要があります。

規制遵守とレジリエンス基準への対応

金融機関は、レジリエンスに関する厳格な規制基準を遵守する必要があります。これらの基準は、金融エコシステムにおける各機関の重要性や相互接続性によって異なるため、対応には高度な複雑性が伴います。

【戦略的な成長機会】

高度な脅威検知と対応

AIやMLなどの技術を活用することで、金融機関はサイバー脅威をより効率的に特定・対応できるようになり、潜在的な被害を軽減し、全体的なレジリエンスを高めることが可能になります。

継続的改善の組み込み

定期的なトレーニング、先進技術への投資、アタックサーフェスの積極的な管理を通じて、金融機関はレジリエンスを継続的に高めることができます。

大規模な金融機関が取組みを先導し、中小規模の企業も改善を進めるなかで、サイバーレジリエンスは従来の第1線のセキュリティ対策に加え、リスク管理などの第2線においても重要なテーマとして位置付けられるようになっています。この優先事項は、重要なサードパーティやクラウドプロバイダにも広がっており、特に重要なサプライチェーンパートナーに問題が発生した場合、中核的なビジネス機能にどの程度の支障が生じるか、監視の目が厳しくなっています。

金融サービス分野における実践的なサイバーセキュリティ

金融サービス業界では、規制要求の強化により、組織の脆弱性管理能力の向上が求められています。膨大な数の脆弱性と、それに伴う意思決定の負荷に対応するには、リスクを一貫性と体系性をもって管理できる革新的なソリューションが必要です。

ある大手投資銀行は、業務効率の向上と規制遵守の両立を目指し、AI/MLモデルの開発と導入を検討していました。KPMGのプロジェクトチームは、同行との緊密な連携と包括的なニーズ評価を通じて、脆弱性管理とインシデント対応に特化したML駆動型ソリューションを設計・導入しました。これらのソリューションは、現行の業務プロセスにおける脆弱性を特定し、どの部分に革新的な技術を適用すれば最も効果的かを明らかにする、具体的なユースケースに基づいて設計されています。ユースケースには、トリアージ、オーナーシップの割当て、重要度の調整などが含まれます。

KPMGが導入したAI/MLモデルは、手作業による対応を減らし、意思決定のスピードを高めるだけでなく、規制遵守を支援するチェック機能も組み込まれています。このチェック機能により、モデルがどのように判断を下しているかを人が適切に把握できるようになり、規制要件に沿った運用が可能になります。

このようなソリューションは、金融機関が脆弱性を従来以上に迅速に特定・優先順位付け・修正することを可能にし、組織全体のサイバーセキュリティ体制を強化します。

規制当局からの圧力が高まるなか、革新的なソリューションを積極的に採用する組織は、脆弱性を迅速に特定・優先順位付けし・影響を抑えることにおいて優位に立つことができます。こうした先進的な取組みにより、企業は資産と評判を守るだけでなく、ますます複雑化・高度化するサイバーセキュリティ環境において、競争力を維持することが可能になります。

金融業界のサイバーセキュリティ担当者の最優先事項

  • ゼロトラストアーキテクチャの導入、すなわちアイデンティティ中心のセキュリティとマイクロセグメンテーション戦略に重点を置く。
  • AIやMLを活用したツールを導入することで、セキュリティオペレーションセンター(SOC)の日常業務を自動化し、サイバーセキュリティチームがより複雑なタスクに集中できるようにする。
  • 安全でレジリエントなサプライチェーンを維持するために、サードパーティベンダーに対する継続的な監視を実施する。
  • プライバシーへの懸念に対応し、信頼を築くために、データの分類や品質管理を徹底し、透明性の高いAIの評価プロセスを開発する。
  • AI技術の開発ライフサイクルにセキュリティ対策を組み込むことで、後付けによる多大なコストの発生や、規制違反・評判の失墜といったリスクを未然に防ぐ。
  • AI導入に関連する懸念に先回りして対処するため、規制当局と積極的に連携し、コンプライアンス要件への対応を先取りする。

KPMGの支援

KPMGは金融サービス分野における豊富な経験を活かし、CISOが直面する複雑な課題の解決を支援しています。高度な脅威検知、自動化されたインシデント対応、AIを活用した脆弱性管理、サイバーレジリエンス戦略など、幅広い領域でサポートを提供しています。また、インシデント対応計画の策定・検証、サードパーティベンダーのデューデリジェンス、AI技術開発へのセキュリティ統合などにも対応が可能です。さらに、コンプライアンス支援や継続的改善の推進を通じて、進化するサイバー脅威に対する業務継続性の確保を支援します。

KPMGは、革新的かつ業界特化型のソリューションを提供することで、CISOがそれぞれの組織特有の課題に先回りして対応できるよう支援し、複雑化・高度化するサイバーセキュリティ環境のなかで組織を成功へと導きます。KPMGの豊富な経験と先進的なソリューションを活用することで、金融機関はサイバーセキュリティ体制を強化し、資産と評判を守りながら、顧客およびステークホルダーからの信頼を確固たるものにすることが可能です。

※1~3:「Global Technology Report」(KPMG、2024)

※本稿は、KPMGインターナショナルが2025年5月に発表した「Cybersecurity Considerations 2025:Financial services sector」を翻訳したサマリーです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。

全文はこちらから(英文)

お問合せ

サイバーディフェンス
サイバーディフェンス

サイバーセキュリティリスクに対し、テクノロジーの導入やアセスメント、アーキテクチャデザインなど技術的な視点から包括的に支援します。

ネットワークに結ばれた地球
サイバーセキュリティ

多様化するサイバー攻撃に対し、防御から復旧までサイバーセキュリティ対策をトータルに支援し、内部と外部双方の脅威に備えます。

「サイバーセキュリティ主要課題2025」を発表
KPMGコンサルティング、「サイバーセキュリティ主要課題2025」を発表

AI主体のビジネス環境下において、企業のセキュリティチームが検討すべきサイバーセキュリティの8つの課題について解説したレポートを発表しました。

金融

金融

金融

「攻め」と「守り」の両面から金融分野におけるあらゆる変革を支援します。

KPMGコンサルティング

KPMGコンサルティング

KPMGコンサルティング

リスクとチャンスを同時に見つめ、企業の持続的成長を実現するために