- 金融庁と日銀が2026年5月22日、全国の金融機関に「フロンティアAI」対策の緊急要請を発出
- 背景はAnthropic「Claude Mythos」が23,019件の潜在脆弱性、6,202件を高深刻度と判定した衝撃
- 9項目の対策を「概ね1ヶ月」で実施するよう求める異例のスピード感
- サイバー攻撃で危険が高まったら自分の判断で「能動的にシステム停止」する選択肢まで例示
- 米財務長官ベセント氏が「ミュトス」を日本へ2週間で提供すると表明、防御側も同じAIを使う時代へ
ある朝、いつも使っているネットバンキングにログインできない。理由は「サイバー攻撃の恐れがあるため銀行が自主的に止めました」――そんな日が来るかもしれません。2026年5月22日、金融庁と日本銀行は連名で全国の金融機関に異例の緊急要請を出しました。最先端AI「フロンティアAI」が脆弱性を大量に発見する時代に備え、9項目の対策を1ヶ月で進めてほしいという内容です。何が起きているのか、わかりやすく整理します。
金融庁・日銀の緊急要請とは何か
正式名称と発表のタイミング
今回の要請の正式名称は「フロンティアAIによる脅威変化を踏まえた金融機関等の短期的な対応」です。
2026年5月22日に金融庁と日本銀行が連名で発表しました。
金融行政の文書は普段、数年単位の中長期計画が中心です。それがいきなり「短期的な対応」というタイトルで出てきたこと自体が、当局の危機感の強さを物語っています。
対象は大手銀行から信金まで
要請の宛先は大手銀行・地方銀行・信用金庫・証券会社、そして金融機関にシステムを提供するIT大手まで広く含まれます。
つまり、私たちが普段使っているATMやネットバンキング、ネット証券の口座管理まで、ほぼすべての金融サービスが対象に入ります。
金融庁は「概ね1ヶ月程度を目途」に対応するよう求めており、2026年6月下旬までが事実上の期限です。
なぜ”いま”動いたのか──Claude Mythosショック
23,019件の脆弱性を見つけたAI
引き金になったのは、米Anthropic(アンスロピック)が2026年4月に発表した次世代AI「Claude Mythos(クロード・ミュトス)」です。
Anthropicは1,000以上のオープンソースプロジェクトをClaude Mythos Previewで調べ、23,019件の潜在的な脆弱性を発見しました。そのうち6,202件が「高深刻度」と評価されています。
独立したセキュリティ会社が検証した1,752件のうち、90.6%が本物の脆弱性で、62.4%が実際に「高」または「致命的」レベルだったと報告されています。AIが見つけたものの精度がきわめて高いことを示しています。
攻撃に使われる前にパッチが集中する怖さ
Claude MythosのようなフロンティアAI(人類最先端レベルのAI)は、未知の脆弱性(ゼロデイ)を人間より速く見つけ、攻撃コードまで自動で書けます。
困るのは、防御側が同じAIを使えば「短期間にものすごい数の修正パッチが一斉に降ってくる」事態が起きることです。
1日に数十件のパッチを当て続けるのは人間業ではありません。優先順位を間違えると、本当に危険な穴を放置したまま、優先度の低いシステムから直してしまう恐れもあります。
米財務長官が「ミュトスを日本に2週間で」
片山さつき財務相は記者会見で、来日したベセント米財務長官が「Claude Mythosへのアクセス権を2週間以内に日本政府と金融機関へ付与する」と表明したと明かしました。
米政府が特定のAI企業のモデルを名指しで提供すると表明するのは異例中の異例です。「守る側もAIをフル装備しなければ守り切れない」という現実が、国家レベルで認識されている証拠です。
金融機関に求められる9項目の対策
①経営トップの直接関与
まず最初に来るのは「経営トップとCIO・CISOが直接関与せよ」という項目です。
IT部門・リスク管理部門・財務部門・業務部門を横断して動かす必要があり、現場任せでは間に合わないという当局の判断が込められています。
②優先システムの特定とリソース配分
インターネットバンキングなど、外部に公開している重要システムを洗い出し、リスクの高いものから順に人員と予算を寄せることが求められます。
「全部やる」ではなく「捨てる勇気を持つ」ことが、今回の要請の重要なメッセージです。
③技術負債の解消
使っていないネットワークポートを閉じる、特権IDを整理する、未適用のパッチを当てる――地味ですが、攻撃の入口を減らす基本動作です。
Claude Mythosは「古い穴」も新しい穴も区別なく見つけるため、長年放置してきた負債こそ危険になります。
④パッチ適用の人的リソース追加
パッチが集中して降ってきても、当てる人がいなければ意味がありません。社内・ベンダー双方の対応体制を増強するよう求めています。
⑤ベンダー契約の見直し
ベンダーとの契約に「夜間・休日のパッチ適用」が含まれているか。SLA(サービス品質保証)・SLO(運用目標)はAI時代に合っているか。契約書レベルで穴がないか確認せよという指示です。
⑥リスクベースの優先順位付け
「CVSSスコア(脆弱性の深刻度を数値化した指標)が低い穴でも、実際の攻撃に使われる」という現実を踏まえます。
機械的にスコア順で対応するのではなく、「攻撃される可能性」も加味して優先順位を決める運用が必要です。
⑦多層防御の強化(WAF・EDR等)
パッチが間に合わない期間を埋める「代替策」として、以下が例示されています。
- WAF(Webアプリケーションファイアウォール)による仮想パッチ
- ボット対策
- ネットワーク分離
- 特権IDへの多要素認証
- EDR(端末で不審な動きを検知するソフト)
⑧”能動的なシステム停止”への備え
もっとも踏み込んだ項目がこれです。「サイバー攻撃のリスクが著しく高まった場合、金融機関自らの判断でシステムを能動的に停止することを、経営トップがあらかじめ選択肢として検討しておくべき」と明記されました。
銀行が自らATMやネットバンキングを止めるのは大事件です。それでも当局が「あらかじめ覚悟しておけ」と言わざるを得ないほど、想定する脅威が大きいことになります。
⑨金融ISACなど外部との連携
金融ISAC(金融業界の情報共有組織)や業界団体と連携し、攻撃情報・対策情報を素早く回す体制も求められています。1社では守り切れない時代だ、というメッセージです。
過去のサイバー要請との違い
これまでの要請は「中長期」の話だった
金融庁はこれまでも、サイバーセキュリティ強化のガイドラインを何度も出してきました。ただし多くは「年度内に体制整備」「中期計画に盛り込むこと」といった中長期の話でした。
今回のように「概ね1ヶ月」と区切る要請は、金融行政としては相当踏み込んでいます。
能動停止を選択肢に挙げた異例さ
従来のBCP(事業継続計画)は「いかにサービスを止めずに切り抜けるか」が基本でした。
今回はそれをひっくり返し、「攻撃されるくらいなら止めろ」を経営判断として準備せよと求めています。AI攻撃の速度に対して、人手の復旧では追いつかない可能性を当局が前提に置いたわけです。
Project YATA-Shieldの一環
今回の要請は、5月18日に国家サイバー統括室が公表した「Project YATA-Shield」という政府全体の枠組みの一部でもあります。
内閣官房国家安全保障局・警察庁・金融庁・デジタル庁など14の省庁・機関が参加する横断的なプロジェクトで、金融はそのなかでも”最優先で守る対象”に位置づけられました。
私たちの暮らしと中小企業への影響
利用者:突然のサービス停止に備える
個人や法人の利用者にとって、まず想定しておきたいのが「銀行・証券のサービスが急に止まる可能性」です。
たとえば月末の給与振込日にネットバンキングが止まったら、決済が滞ります。重要な支払いがある日は、複数の銀行口座を使い分ける・モバイルアプリと窓口の両方を確保しておく、といった備えが現実味を帯びます。
中小企業:取引先銀行の対応状況を聞こう
中小企業がいま取れる行動は、シンプルに3つです。
- 取引銀行のメインの担当者に「フロンティアAI対応はどう進めていますか?」と一度聞いてみる
- 給与・社会保険料の振込が銀行停止で滞った場合の代替手段を社内で決めておく
- 自社のシステムも同じ脅威にさらされていることを意識し、未適用パッチを棚卸ししておく
IT・SIerベンダー:契約改定の波
金融機関と契約しているITベンダーには、夜間・休日対応の追加、緊急パッチ適用のSLA見直しなど、契約改定の打診が一斉に来ると予想されます。
ベンダー側も人員確保と料金体系の見直しを進める動きが今後加速しそうです。
海外動向と類似の取り組み
米国:全米証券業協会が警鐘
米国ではすでに全米証券業協会(SIFMA)が、Anthropic Mythosを名指しで「大規模不正アクセスや金融システム全体の混乱を引き起こす恐れがある」と警告しています。
英国:AISIが73%の攻略成功率を確認
英国のAI安全研究所(AISI)は、Claude Mythos Previewが専門家レベルのCTF課題(セキュリティ競技)で73%の成功率を記録したと評価しています。
つまり、攻撃シナリオを与えれば、平均的なホワイトハッカーよりも効率的に攻略してしまうレベルだということです。
日本独自の動き:能動停止の明文化
海外当局も警告は出していますが、「能動的システム停止」を経営の選択肢として明文化したのは日本が最初のグループに入ります。
地震・台風など災害大国として培ってきた「止める判断」の文化が、サイバー領域でも前面に出てきた格好です。
よくある質問(FAQ)
Q1. フロンティアAIとは何ですか?
人類最先端レベルの能力を持つAIモデルの総称です。Claude Mythos、GPT-5.3、Gemini 3.1などが代表例です。文章生成だけでなく、ソフトウェアのソースコードを読み解いて脆弱性を見つけたり、攻撃コードを書いたりする能力もあります。
Q2. 私の銀行口座は今すぐ危ないのですか?
いますぐ被害が出ているわけではありません。むしろ「攻撃側がAIを使うようになる前に守りを固めよう」という予防的な動きです。ただし、銀行側がシステム停止を判断する可能性は今後増えるため、複数の支払い手段を準備しておくと安心です。
Q3. なぜ1ヶ月という短さなのですか?
米財務長官が「Claude Mythosを2週間以内に提供する」と表明したことが象徴的です。防御側が動き出すスピードと、攻撃側がAIを使えるようになるスピードがほぼ同時で、ぐずぐずしていられないという判断です。
Q4. 中小企業も同じ対策が必要ですか?
金融機関向けの要請ですが、考え方は全業種に共通します。特に「優先システムの特定」「未適用パッチの棚卸し」「能動停止の判断基準を決めておく」の3点は中小企業でも今日から始められます。
Q5. 個人ができる備えは?
給与振込・住宅ローン引き落としなど重要な決済について、メイン口座とは別の銀行口座やクレジットカードを1つ確保しておくと、サービス停止時のリスクを大きく減らせます。
まとめ
- 金融庁と日銀が2026年5月22日、フロンティアAI対策の緊急要請を発出
- 背景はClaude Mythosが23,019件の潜在脆弱性、6,202件を高深刻度と判定したこと
- 9項目の対策を「概ね1ヶ月」で実施するよう求める異例のスピード感
- 能動的なシステム停止まで経営判断の選択肢として例示
- 米財務長官は「ミュトス」を日本に2週間で提供すると表明、防御側もAI装備の時代へ
- 利用者は突然のサービス停止に備え、代替決済手段を準備しておくと安心
次のアクションとして、自分が利用している銀行アプリが急に止まっても困らないよう、もう1枚のカードかサブ口座を今日のうちに確認しておきましょう。
参考文献
- 金融庁「フロンティアAIによる脅威変化を踏まえた金融機関等の短期的な対応」に係る要請について
- 日本銀行「フロンティアAIによる脅威変化を踏まえた金融機関等の短期的な対応」に係る要請について
- ITmedia AI+「金融庁と日銀、フロンティアAIによる脆弱性大量発見に備えた対応を金融機関に要請」
- FinWave Japan「金融庁と日銀、金融機関にフロンティアAI脅威への短期対応を要請」
- Innovatopia「Project YATA-Shieldに沿う1ヶ月対応を全金融機関に要請」
こんな時代だから遊んで学びたい
AIを学ぶオンラインサロン「AIフレンズ」では、生成AIを楽しく、どこよりも優しく学べる環境をご用意しております。
毎週開催されるオンラインセッションでは、リアルタイムで学び合える機会を提供しています。 さらに、月に一度のオフラインイベントでは、メンバー同士が直接交流し、アイデアや知識を深めることができます。
「AIフレンズ」の仲間とともに、新しい価値を創造し、可能性を広げてみませんか?
一緒に学び、成長しながら、生成AIを使いこなす力を身につけましょう!
