前のページへ

金研ニュースレター:第25回情報セキュリティ・シンポジウム

第25回情報セキュリティ・シンポジウム

日本銀行金融研究所・情報技術研究センター(CITECS:Center for Information Technology Studies)は、3月6日(木)、設立20周年を記念して、「金融分野におけるセキュリティの潮流」をテーマとした情報セキュリティ・シンポジウムを開催しました。

CITECSでは、金融分野における情報セキュリティ面での課題への対応を研究面から支援すべく、さまざまな調査研究を行ってきました。本シンポジウムでは、CITECSにおける情報セキュリティ研究の20年を振り返るとともに、近年関心が高まっている、量子耐性を有するシステム、AIセキュリティ、デジタル決済のセキュリティといったテーマについて講演と対談を行いました。当日の参加者は、金融機関やフィンテック企業の実務者、システム開発・運用に携わる技術者、研究者など約200名にのぼりました。以下では、シンポジウムの概要を簡単にご紹介します。

シンポジウムにおける講演の模様やパネル・ディスカッションの詳細については、準備が整い次第、下記のリンク先にて公表する予定です。講演資料も、下記のリンク先に掲載しています。

https://www.imes.boj.or.jp/jp/conference/citecs/25sympo/25sec_sympo.html

講演1. 情報技術研究センター(CITECS)20年のあゆみ

まず、情報技術研究センター長の鈴木が、CITECSの設立経緯やこれまでの研究活動について紹介しました (講演資料)[1,145 KB PDF]

鈴木は、CITECSが設立された20年前に社会問題化した情報セキュリティ事案(10大脅威)を取り上げ、現在も解消されていない脅威が少なくないことは、セキュリティ対策の難しさを表しているとの見方を示しました。こうした中、CITECSは、将来を見据えながら、金融分野で活用されうる情報技術に関する研究と情報発信を通して、金融機関が情報セキュリティ上の課題に適切に対処していくことをサポートしてきたことを説明しました。すなわち、金融研究所では、CITECSの設立以前より情報セキュリティに関する調査研究を進めており、1997年に研究成果の対外公表を始めましたが、その後も暗号理論、決済・電子現金、認証・生体認証、暗号アルゴリズム移行など、幅広いテーマに取り組んできたことを紹介しました。

このほか、現在、金融分野において検討が行われている耐量子計算機暗号(PQC[1])への移行、急速な進化を遂げているAIのセキュリティ、国内でも広く普及している決済スキームのセキュリティを取り上げ、こうした分野の調査研究の重要性や歴史などについて紹介しました。

講演2. 金融高度化センターの活動について

講演2では、金融高度化センター長の須藤が、2025年1月に開催された金融高度化センター20周年ワークショップ[2] の内容について紹介しました (講演資料)[1,458 KB PDF]

金融高度化センターは、CITECSと同様、2005年に設立され、ワークショップやセミナーの開催、論文の公表等を通じて、金融機関の金融高度化に向けた取り組みを支援する活動を行ってきました。須藤は、1月に開催されたワークショップ「デジタル化とわが国の金融の未来」において、①デジタル技術を活用しながらどのように金融サービスを効率化・高度化できるか、②デジタル技術を活用しながらどのように金融サービスをこれまで通り安定的に提供できるのか、といったテーマについて議論を行ったことを紹介しました。

また、ワークショップでの議論を踏まえて、デジタル技術を活用するメリットとデメリットを認識しつつデジタル化のペースなどの論点を検討すべきこと、生成AIの活用など技術の実装が生産性を必然的に上昇させる訳ではなく、実装自体の巧拙によって生産性への影響が変わり得ることなどを指摘したうえで、デジタル技術の実装に向けては、リソース配分の決定を含め、トップの経営判断が必要になるとの見解を示しました。


講演3. 量子耐性を有するシステムの実現に向けた金融分野での取組み


講演3では、金融研究所参事役の宇根が、量子コンピュータに対しても安全性を確保可能と期待されているPQCへの移行に向けた検討の動向を紹介し、今後の課題や対応方針を説明しました (講演資料)[1,792KB PDF]

宇根は、今回のPQC移行が過去の暗号移行と異なる点として、①移行対象のシステムの範囲が不透明である、②量子コンピュータの脅威が顕在化する時期が不透明である、③PQCの実装技術が未成熟である点を説明しました。そのうえで、移行検討に予想以上の時間がかかる可能性や脅威の顕在化の時期が前倒しとなる可能性があることから、早期の対応着手が重要であるとの見方を示しました。

今後の金融機関の対応に関して、宇根は、「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会(事務局:金融庁)」の報告書[3]を参照し、その推奨事項を検討することが重要であると説明しました。また、金融ISACにおける検討や議論への参画などを通じて、他の金融機関との情報共有や連携を強化することが望ましいとの見方を示しました[4]

講演4×対談. AIがもたらすリスクに対するセキュリティ

講演4では、CITECS企画役の菅が、AIがもたらすリスクに対するセキュリティについて説明しました(講演資料)[2,348KB PDF]

菅は、セキュリティを論じる対象のAIを深層学習モデルとしたうえで、その中に含まれる生成AIは、汎用人工知能(AGI[5])の領域に達しているとの見方を示しました。そのうえで、生成AIが、高度な知性を持つかのように振舞っていても、その基本原理は確率的な予測であるとして、AIのリスク特性を理解するうえで、この原理に立ち返ることの重要性を指摘しました。

続いて、AIのセキュリティとセーフティにかかるリスクを概観しました。AIのセキュリティ・リスクの特性として、問題がある部分を特定して修正する従来のセキュリティ対応では脆弱性を解消できない点を挙げました。また、原理的にリスクをゼロにはできないため、セキュリティを確保するには、技術的対応に加えて、サプライチェーン管理などの非技術的な対応も合わせて必要になることを指摘しました。

対談では、情報セキュリティ大学院大学の大塚教授が、人工知能学会傘下の「安全性とセキュリティ」研究会の立ち上げの経緯について説明しました[6]。また、AGIが登場するもとで、サイバー攻撃と防御がどのように変化しうるかとの菅の問いに対し、大塚教授は、サイバー攻撃はAIを悪用してより高度化されていくリスクを指摘しました。そうした中、AI Cyber Challengeといったコンテストを紹介したうえで、サイバー防御技術への関心が高まっていることを指摘しました。

講演5×対談.さまざまな決済スキームとそのセキュリティ

講演5では、CITECS企画役の田村が、デジタル決済に関する研究開発の経緯について紹介するとともに、決済スキームのセキュリティについて説明しました(講演資料)[1,417 KB PDF]

田村は、キャッシュレス決済の多くはサービス事業者が決済を仲介するのに対し、1990年から金融研究所が研究開発を行っていた「電子現金」は、現金に見立てた電子データをユーザ端末同士でやり取りすることにより決済を完了させるものであると説明しました。そのうえで、こうした台帳を利用しない方式は、事後的な二重支払いのチェックが必要となるものの、ネットワーク障害への耐性やプログラマビリティの観点で優位性をもつ可能性があると説明しました。

昨年、電子現金をスマートフォンで送受信する実機検証を行った結果、電子マネーと同程度の処理時間で送受信が完了したことを紹介し、高いユーザビリティを確保しうるとの評価を示しました[7]。さらに、電子現金を用いた支払スキームにおいて、第三者による不正送金を防止するには、本人だけが取引に必要なデジタル署名を生成できる仕組みが必要であり、同様のセキュリティ要件をもつ暗号資産分野の先行事例が参考になるとの見方を示しました。

対談では、筑波大学の面教授と、デジタル決済の取引に使用する暗号処理用の鍵の保管について意見交換を行いました。面教授は、安全と言われるコールドウォレット[8]でも、取引時にはインターネットに接続されることから、不正送金のリスクはゼロではないと指摘しました。また、将来的には、マイナンバーカードをウォレットに使用するアプリケーションも想定されるもとで、プライバシー保護の観点からは、カードに固有の鍵ペアをそのまま取引に使用しないことが望ましいとの見方を示しました。

講演6. 金融分野における今後のセキュリティ対策~シンポジウム総括を兼ねて~

講演6では、京都大学公共政策大学院の岩下教授が、シンポジウムの総括を兼ねて、金融分野における今後のセキュリティ対策について講演しました (講演資料)[851 KB PDF]

まず、岩下教授は、これまでのCITECSの活動や本シンポジウムでの講演内容を振り返り、CITECSは技術研究者と実務家とをつなぐ結節点としての役割を果たしていると評価しました。金融機関は、自社の状況に即したセキュリティ対策を講じていくにあたり、最新の研究動向を把握しておくことが望ましいと指摘したうえで、CITECSの情報発信は有用であると述べました。

また、金融分野のセキュリティ対策について、岩下教授は、システム障害などの不慮の事故への対策としてセーフティが重要視されていた20年前と比較し、近年はインターネットとの接続により外部からの悪意ある攻撃への対策としてセキュリティが重要になっているとの見方を示しました。そのうえで、未来を予想することが難しくなっている不確実性の高い時代において、CITECSには、より一層、研究と社会実装とのギャップを意識した活動や、有用性の判断が難しい萌芽的な技術領域での研究にも挑戦してほしいとの期待を示しました。

Notes

冒頭の番号をクリックすると、本文に戻ります。

  • (1) Post-Quantum Cryptography
  • (2) ワークショップの要旨と講演資料は金融高度化センターのページから入手可能です。
  • (3) 報告書はhttps://www.fsa.go.jp/singi/pqc/houkokusyo.pdfから入手可能です。
  • (4) 本講演に関連する内容は、宇根、「量子耐性を有するシステムの実現に向けて:金融分野における取組みと対応の推奨事項」(金融研究所DPS[1,024 KB PDF]) に取り纏めています。
  • (5) Artificial General Intelligence
  • (6) 研究会活動の一環として、染谷・菅・大塚、「生成AIのセキュリティリスクと研究動向」、情報処理学会誌『情報処理』、Vol. 66(2)( http://id.nii.ac.jp/1001/00241930/ )を寄稿しました。
  • (7) 検証の結果は、田村ほか「台帳を用いない決済方式に関する技術面からの一考察」( 金融研究所DPS[1,754 KB PDF] )に取り纏めています。
  • (8) 暗号取引に使用する署名鍵をインターネットから切り離した状態で保管する方法を指します。インターネットに接続した状態での保管方法は、ホットウォレットと呼ばれます。