金研ニュースレター：第25回情報セキュリティ・シンポジウム

まず、情報技術研究センター長の鈴木が、CITECSの設立経緯やこれまでの研究活動について紹介しました （講演資料）[1,145 KB PDF] 。

鈴木は、CITECSが設立された20年前に社会問題化した情報セキュリティ事案（10大脅威）を取り上げ、現在も解消されていない脅威が少なくないことは、セキュリティ対策の難しさを表しているとの見方を示しました。こうした中、CITECSは、将来を見据えながら、金融分野で活用されうる情報技術に関する研究と情報発信を通して、金融機関が情報セキュリティ上の課題に適切に対処していくことをサポートしてきたことを説明しました。すなわち、金融研究所では、CITECSの設立以前より情報セキュリティに関する調査研究を進めており、1997年に研究成果の対外公表を始めましたが、その後も暗号理論、決済・電子現金、認証・生体認証、暗号アルゴリズム移行など、幅広いテーマに取り組んできたことを紹介しました。

このほか、現在、金融分野において検討が行われている耐量子計算機暗号（PQC[1]）への移行、急速な進化を遂げているAIのセキュリティ、国内でも広く普及している決済スキームのセキュリティを取り上げ、こうした分野の調査研究の重要性や歴史などについて紹介しました。

講演２では、金融高度化センター長の須藤が、2025年1月に開催された金融高度化センター20周年ワークショップ[2] の内容について紹介しました （講演資料）[1,458 KB PDF] 。

金融高度化センターは、CITECSと同様、2005年に設立され、ワークショップやセミナーの開催、論文の公表等を通じて、金融機関の金融高度化に向けた取り組みを支援する活動を行ってきました。須藤は、1月に開催されたワークショップ「デジタル化とわが国の金融の未来」において、①デジタル技術を活用しながらどのように金融サービスを効率化・高度化できるか、②デジタル技術を活用しながらどのように金融サービスをこれまで通り安定的に提供できるのか、といったテーマについて議論を行ったことを紹介しました。

また、ワークショップでの議論を踏まえて、デジタル技術を活用するメリットとデメリットを認識しつつデジタル化のペースなどの論点を検討すべきこと、生成AIの活用など技術の実装が生産性を必然的に上昇させる訳ではなく、実装自体の巧拙によって生産性への影響が変わり得ることなどを指摘したうえで、デジタル技術の実装に向けては、リソース配分の決定を含め、トップの経営判断が必要になるとの見解を示しました。

講演3では、金融研究所参事役の宇根が、量子コンピュータに対しても安全性を確保可能と期待されているPQCへの移行に向けた検討の動向を紹介し、今後の課題や対応方針を説明しました （講演資料）[1,792KB PDF] 。

宇根は、今回のPQC移行が過去の暗号移行と異なる点として、①移行対象のシステムの範囲が不透明である、②量子コンピュータの脅威が顕在化する時期が不透明である、③PQCの実装技術が未成熟である点を説明しました。そのうえで、移行検討に予想以上の時間がかかる可能性や脅威の顕在化の時期が前倒しとなる可能性があることから、早期の対応着手が重要であるとの見方を示しました。

今後の金融機関の対応に関して、宇根は、「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会（事務局：金融庁）」の報告書[3]を参照し、その推奨事項を検討することが重要であると説明しました。また、金融ISACにおける検討や議論への参画などを通じて、他の金融機関との情報共有や連携を強化することが望ましいとの見方を示しました[4]。

講演4では、CITECS企画役の菅が、AIがもたらすリスクに対するセキュリティについて説明しました（講演資料）[2,348KB PDF]。

菅は、セキュリティを論じる対象のAIを深層学習モデルとしたうえで、その中に含まれる生成AIは、汎用人工知能（AGI[5]）の領域に達しているとの見方を示しました。そのうえで、生成AIが、高度な知性を持つかのように振舞っていても、その基本原理は確率的な予測であるとして、AIのリスク特性を理解するうえで、この原理に立ち返ることの重要性を指摘しました。

続いて、AIのセキュリティとセーフティにかかるリスクを概観しました。AIのセキュリティ・リスクの特性として、問題がある部分を特定して修正する従来のセキュリティ対応では脆弱性を解消できない点を挙げました。また、原理的にリスクをゼロにはできないため、セキュリティを確保するには、技術的対応に加えて、サプライチェーン管理などの非技術的な対応も合わせて必要になることを指摘しました。

対談では、情報セキュリティ大学院大学の大塚教授が、人工知能学会傘下の「安全性とセキュリティ」研究会の立ち上げの経緯について説明しました[6]。また、AGIが登場するもとで、サイバー攻撃と防御がどのように変化しうるかとの菅の問いに対し、大塚教授は、サイバー攻撃はAIを悪用してより高度化されていくリスクを指摘しました。そうした中、AI Cyber Challengeといったコンテストを紹介したうえで、サイバー防御技術への関心が高まっていることを指摘しました。

講演5では、CITECS企画役の田村が、デジタル決済に関する研究開発の経緯について紹介するとともに、決済スキームのセキュリティについて説明しました（講演資料）[1,417 KB PDF]。

田村は、キャッシュレス決済の多くはサービス事業者が決済を仲介するのに対し、1990年から金融研究所が研究開発を行っていた「電子現金」は、現金に見立てた電子データをユーザ端末同士でやり取りすることにより決済を完了させるものであると説明しました。そのうえで、こうした台帳を利用しない方式は、事後的な二重支払いのチェックが必要となるものの、ネットワーク障害への耐性やプログラマビリティの観点で優位性をもつ可能性があると説明しました。

昨年、電子現金をスマートフォンで送受信する実機検証を行った結果、電子マネーと同程度の処理時間で送受信が完了したことを紹介し、高いユーザビリティを確保しうるとの評価を示しました[7]。さらに、電子現金を用いた支払スキームにおいて、第三者による不正送金を防止するには、本人だけが取引に必要なデジタル署名を生成できる仕組みが必要であり、同様のセキュリティ要件をもつ暗号資産分野の先行事例が参考になるとの見方を示しました。

対談では、筑波大学の面教授と、デジタル決済の取引に使用する暗号処理用の鍵の保管について意見交換を行いました。面教授は、安全と言われるコールドウォレット[8]でも、取引時にはインターネットに接続されることから、不正送金のリスクはゼロではないと指摘しました。また、将来的には、マイナンバーカードをウォレットに使用するアプリケーションも想定されるもとで、プライバシー保護の観点からは、カードに固有の鍵ペアをそのまま取引に使用しないことが望ましいとの見方を示しました。

講演６. 金融分野における今後のセキュリティ対策～シンポジウム総括を兼ねて～

講演6では、京都大学公共政策大学院の岩下教授が、シンポジウムの総括を兼ねて、金融分野における今後のセキュリティ対策について講演しました （講演資料）[851 KB PDF] 。

まず、岩下教授は、これまでのCITECSの活動や本シンポジウムでの講演内容を振り返り、CITECSは技術研究者と実務家とをつなぐ結節点としての役割を果たしていると評価しました。金融機関は、自社の状況に即したセキュリティ対策を講じていくにあたり、最新の研究動向を把握しておくことが望ましいと指摘したうえで、CITECSの情報発信は有用であると述べました。

また、金融分野のセキュリティ対策について、岩下教授は、システム障害などの不慮の事故への対策としてセーフティが重要視されていた20年前と比較し、近年はインターネットとの接続により外部からの悪意ある攻撃への対策としてセキュリティが重要になっているとの見方を示しました。そのうえで、未来を予想することが難しくなっている不確実性の高い時代において、CITECSには、より一層、研究と社会実装とのギャップを意識した活動や、有用性の判断が難しい萌芽的な技術領域での研究にも挑戦してほしいとの期待を示しました。