Jライブラリー

AI時代の脆弱性管理、月例作業で終わらせない点検とは(第28回)

名和利男 コラム

会員サイト、インターネットバンキング、保険マイページ、決済・配送連携のシステムは、日々の顧客接点を支える大切な入口です。一方で、外部から見える入口であるほど、脆弱性が見つかった時の対応時間が問われます。近年はAIの進展により、脆弱性を探す、影響を調べる、攻撃に転用するまでの時間が短くなる可能性が指摘されています。パッチを当てる作業は、これまでは月例のIT作業として扱われがちでした。しかし、顧客情報や決済、受付、照会に関わるシステムでは、対応の遅れが業務停止や顧客不安につながります。これは「すべてをすぐ直せ」という話ではありません。大切なのは、どのシステムを優先し、何日以内に判断し、直せない時にどう守るかを、経営と現場であらかじめ決めておくことです。まず自社の入口を具体的に思い浮かべることから始められます。今月は、脆弱性管理を月例作業で終わらせず、業務継続の判断材料として見直すポイントを考えます。

何が変わっているのか

脆弱性とは、ソフトウェアや設定にある弱点のことです。パッチは、その弱点を修正する更新プログラムを指します。これまでも脆弱性対応は重要でしたが、AIの進展により「見つかってから悪用されるまでの時間」が短くなる可能性が高まっています。

金融庁と日本銀行は2026年5月、フロンティアAIによる脅威変化を踏まえ、金融機関等に短期的な対応を要請しました。そこでは、脆弱性が短期間に大量に見つかることや、パッチが集中的に提供されることへの備えが論点になっています。IPAの「情報セキュリティ10大脅威 2026」でも、AIの利用をめぐるサイバーリスクや、システムの脆弱性を悪用した攻撃が組織向け脅威の上位に挙げられています。

ここで大切なのは、AIを過度に恐れることではありません。十分に管理されたシステムであれば、基本対策は今も有効です。ただし、確認と判断のスピードは、これまで以上に問われます。脆弱性管理は「一覧を作る仕事」から、「どのリスクを先に下げるかを決める仕事」へ変わりつつあります。

なぜ地域金融・通販・カード・保険に関係するのか

地域金融機関では、インターネットバンキング、営業店端末、共同センター、外部委託先の運用がつながっています。通販事業者では、会員サイト、決済、配送通知、在庫・受注管理が顧客体験そのものです。カード会社では本人認証や加盟店連携、生損保会社では代理店、コールセンター、保険マイページが重要な接点になります。

これらの多くは、クラウド、SaaS、外部ベンダー、オープンソースソフトウェアに支えられています。つまり、自社のサーバーだけを見ていれば十分、とは言い切れません。サプライチェーン全体の対策状況を共通基準で見える化するSCS評価制度の準備も進んでおり、委託先に何を確認するかは制度面でも重要になっています。委託先のシステムに深刻な脆弱性が見つかった時、誰が影響範囲を確認し、誰が顧客対応を判断し、どこまで代替手段を用意するのか。ここまで含めて考える必要があります。

まず確認したい3つのポイント

1つ目は、優先して守る入口を決めることです。すべてのシステムを同じ速さで直すことは現実的ではありません。外部公開されているか、顧客情報や決済に関わるか、停止した時に代替できるかを基準に、優先サービスを決めておきます。外から見える玄関、金庫に近い扉、業務が止まる扉から先に戸締まりを確認するイメージです。

2つ目は、対応期限と代替策を決めることです。CVSSは脆弱性の技術的な深刻度を示す代表的な指標ですが、点数だけで優先順位を決めると、自社への影響を見落とすことがあります。高リスクの脆弱性については、「何日以内に判断するか」「パッチ適用まで何日を目標にするか」「すぐに適用できない場合は、WAFなどの防御策、監視強化、一時的な機能停止を検討するか」を整理しておきたいところです。

3つ目は、委託先とSaaSの対応状況を確認できる状態にすることです。保守契約に緊急パッチ対応が含まれるのか。夜間・休日の対応は可能か。SLA、つまりサービス品質に関する合意の中で、脆弱性対応の報告範囲や期限は明確か。SaaSの場合も、提供事業者からどの粒度で情報が届くのかを確認しておく必要があります。

経営層が見るべき数字

経営層に見ていただきたいのは、未対応件数の多さだけではありません。むしろ、高リスクの未対応が何日残っているか、外部公開システムのうち重要資産の棚卸しが何%終わっているか、委託先からの回答に何日かかっているか、といった数字です。

脆弱性管理のKPIは、経営の計器盤です。速度計がなければ安全運転が難しいように、対応の滞留日数や例外承認の数が見えなければ、リスクを受け入れているのか、ただ後回しになっているのかが分かりません。完璧な数字でなくても、同じ基準で継続して見ることに意味があります。

おわりに

AI時代の脆弱性管理は、技術部門だけの作業ではありません。顧客接点、委託先、業務継続、経営判断がつながるテーマです。

まずは、外部公開システムの一覧、重要サービスの優先順位、パッチ適用までの目標日数、直せない時の代替策、委託先への確認項目を見直してみてください。脆弱性をゼロにすることはできません。それでも、早く気づき、早く判断し、業務影響を小さくする準備は進められます。小さな点検の積み重ねが、攻撃までの時間が短くなる時代の大きな差になります。

※本内容の引用・転載を禁止します。

pagetop