取材レポート:金融・IT業界向け
2025.12.10
【グッドウェイ、セミナーインフォ】金融 IT EXPO 2025開催~生成AI時代の システムモダナイゼーションと サイバーセキュリティ対策~【前編】
2025年12月5日(金)、株式会社グッドウェイと株式会社セミナーインフォは「金融 IT EXPO 2025 ~生成AI時代の システムモダナイゼーションとサイバーセキュリティ対策~」を共同で開催。
金融業界の喫緊の課題と未来の方向性を示すための議論の場を提供しました。
金融業界の喫緊の課題と未来の方向性を示すための議論の場を提供しました。
本レポートでは、講演の一部を抜粋してご紹介します。
なお、全ての講演内容はアーカイブ配信にてご視聴いただけます。
【視聴無料】お申し込みはこちら ※視聴期限:2025年12月19日(金)まで
【視聴無料】お申し込みはこちら ※視聴期限:2025年12月19日(金)まで
| 特別講演 | 生成AI時代のシステムモダナイゼーションとサイバーセキュリティ対策 |
登壇者:五十嵐 ほづえ 氏(金融庁 総合政策局 リスク分析統括課 参事官)
最初の特別講演では、金融庁の五十嵐ほづえ氏が、DXとAI活用が求められる現代において、金融機関が直面するシステムとセキュリティの統合的な課題と、その対応の必要性を強調しました。
デジタル化を阻む二大障壁
日本政府がDX・AIの重要性を掲げる中、その基盤となる強固なサイバーセキュリティ対策が必須とされている。
しかし、金融機関は、データの分断(サイロ化)や品質のばらつきに加え、多くの勘定系システムにレガシーシステムが残存している。
これは「2025年の崖」の課題の只中にあり、喫緊の対応が求められる状況だ。
日本政府がDX・AIの重要性を掲げる中、その基盤となる強固なサイバーセキュリティ対策が必須とされている。
しかし、金融機関は、データの分断(サイロ化)や品質のばらつきに加え、多くの勘定系システムにレガシーシステムが残存している。
これは「2025年の崖」の課題の只中にあり、喫緊の対応が求められる状況だ。
モダナイゼーションと防御の原則
システム刷新(モダナイゼーション)は、将来コストと経営戦略に合致したリスク評価のもとで進めるべきだ。
データ活用成功のためには「Garbage In, Garbage Out」を避け、経営主導によるデータガバナンスの確立が不可欠である。
サイバー脅威では、ランサムウェアが組織の脅威第1位であり、被害時の初期対応と予防(サイバーハイジーン)の徹底、そして経営層を交えた訓練の継続が推奨される。
システム刷新(モダナイゼーション)は、将来コストと経営戦略に合致したリスク評価のもとで進めるべきだ。
データ活用成功のためには「Garbage In, Garbage Out」を避け、経営主導によるデータガバナンスの確立が不可欠である。
サイバー脅威では、ランサムウェアが組織の脅威第1位であり、被害時の初期対応と予防(サイバーハイジーン)の徹底、そして経営層を交えた訓練の継続が推奨される。
総合リスク管理(オペレーショナル・レジリエンス)の推進
未来の脅威として、攻撃の80~90%を自動化するAIエージェントの悪用が進んでおり、防御側もAIを活用したリアルタイムな脅威検知を導入すべきだ。
さらに、将来の量子コンピュータ実用化に備え、現行暗号が破られるリスクに対応するため、耐量子計算機暗号(PQC)への移行準備(暗号インベントリの作成)を始める必要がある。
システムモダナイゼーションとサイバーセキュリティは「切り離せない両輪」であり、経営層は戦略、組織、人材、取引先管理を含めた総合的なリスク管理(オペレーショナル・レジリエンス)を主導して推進することが強く提言された。
未来の脅威として、攻撃の80~90%を自動化するAIエージェントの悪用が進んでおり、防御側もAIを活用したリアルタイムな脅威検知を導入すべきだ。
さらに、将来の量子コンピュータ実用化に備え、現行暗号が破られるリスクに対応するため、耐量子計算機暗号(PQC)への移行準備(暗号インベントリの作成)を始める必要がある。
システムモダナイゼーションとサイバーセキュリティは「切り離せない両輪」であり、経営層は戦略、組織、人材、取引先管理を含めた総合的なリスク管理(オペレーショナル・レジリエンス)を主導して推進することが強く提言された。
| 講演 | 「守り」と「攻め」のデータセキュリティが金融DX時代のカギを握る ~金融分野のガイドライン準拠とデータ利活用両立の最適解とは |
登壇者:
饒村 吉晴 氏(Ridgelinez株式会社 ディレクター)
高作 典行 氏(株式会社インサイトテクノロジー 製品戦略本部)
饒村 吉晴 氏(Ridgelinez株式会社 ディレクター)
高作 典行 氏(株式会社インサイトテクノロジー 製品戦略本部)
本講演では、金融庁ガイドライン改定により経営層の責任が明確化される中、DX推進(攻め)とセキュリティ(守り)を両立させるための「データセキュリティ」の重要性を指摘しました。
経営課題としてのセキュリティと境界の崩壊
クラウドや生成AIの普及によりデータ保管場所が分散し、従来の「境界防御」だけでは侵入を防ぎきれない状況にある。
経営層は、事故発生時に善管注意義務違反や損害賠償責任を問われるリスクがあるため、セキュリティ対策への主体的な関与が必須である。
脅威が「侵入前提」となる現状、ゼロトラストや多層防御に加え、データそのものを守るアプローチ(Data Security)が不可欠である。
クラウドや生成AIの普及によりデータ保管場所が分散し、従来の「境界防御」だけでは侵入を防ぎきれない状況にある。
経営層は、事故発生時に善管注意義務違反や損害賠償責任を問われるリスクがあるため、セキュリティ対策への主体的な関与が必須である。
脅威が「侵入前提」となる現状、ゼロトラストや多層防御に加え、データそのものを守るアプローチ(Data Security)が不可欠である。
DXとセキュリティを両立させる4ステップ
インサイトテクノロジーは、重要データを守りつつDXを推進するための具体的な施策として、以下の4ステップを提案する。
1. 可視化:社内のデータベースを棚卸し、「野良データベース」に個人情報が含まれていないか検出する。
2. マスキング:AI分析や開発テスト用に、データを匿名化・秘匿化し、安全に利活用する。
3. 監視:データベースへのアクセスを常時監視し、不正アクセスを検知する。
4. 監査/点検:アクセスログと特権IDの申請記録を突合し、不正操作がないかを確認する。
インサイトテクノロジーは、重要データを守りつつDXを推進するための具体的な施策として、以下の4ステップを提案する。
1. 可視化:社内のデータベースを棚卸し、「野良データベース」に個人情報が含まれていないか検出する。
2. マスキング:AI分析や開発テスト用に、データを匿名化・秘匿化し、安全に利活用する。
3. 監視:データベースへのアクセスを常時監視し、不正アクセスを検知する。
4. 監査/点検:アクセスログと特権IDの申請記録を突合し、不正操作がないかを確認する。
セキュリティの進化と次世代への備え
攻撃側がAIを活用する中、防御側もAIを用いたログ分析・検知の自動化で対策を高度化する必要がある。また、量子コンピュータの実用化に備え、耐量子計算機暗号(PQC)への対応も急務である。
最終的な提言として、セキュリティは「守り」に留まらず、マスキングや監査といった技術的対策を講じることで、データの安全な利活用(攻め)を実現すべきだ。
攻撃側がAIを活用する中、防御側もAIを用いたログ分析・検知の自動化で対策を高度化する必要がある。また、量子コンピュータの実用化に備え、耐量子計算機暗号(PQC)への対応も急務である。
最終的な提言として、セキュリティは「守り」に留まらず、マスキングや監査といった技術的対策を講じることで、データの安全な利活用(攻め)を実現すべきだ。
| 講演 | 生成AIを安全に使いこなすためのセキュリティ戦略: ゼロトラストとIllumioによるリスク最小化 |
登壇者:福本 淳 氏(イルミオジャパン合同会社 Managing Senior Sales Engineer)
本講演では、生成AIの普及に伴い激化するサイバー脅威に対し、従来のリアクティブ(受動的)な防御から、侵入後の被害を最小化する「ゼロトラスト・セグメンテーション」への戦略転換の必要性を強調しました。
脅威モデルの変化と課題
生成AIの悪用により攻撃の速度と規模が桁違いに増大した現代において、複雑化したIT環境での侵害は「必ず起こる」という前提に立つ必要がある。
最大の課題は、侵入後、攻撃者がシステム内部で感染を広げる「ラテラルムーブメント(横移動)」を止められない点だ。
セキュリティ戦略のゴールを「侵害を防ぐこと」から「致命的な被害に発展させないこと」にシフトすべきである。
生成AIの悪用により攻撃の速度と規模が桁違いに増大した現代において、複雑化したIT環境での侵害は「必ず起こる」という前提に立つ必要がある。
最大の課題は、侵入後、攻撃者がシステム内部で感染を広げる「ラテラルムーブメント(横移動)」を止められない点だ。
セキュリティ戦略のゴールを「侵害を防ぐこと」から「致命的な被害に発展させないこと」にシフトすべきである。
Illumioによる「封じ込め」戦略
生成AI基盤の保護と、AIからの横展開リスクという課題に対し、Illumioは被害範囲を最小化する解決策を提示した。
・Illumio Segmentation(止める力):ネットワークに依存せず、ホスト(OS)のファイアウォールを活用してオンプレミスやクラウドを一貫して制御する。IPアドレスではなく「役割」などのラベルでポリシーを定義し、アプリケーションフェンスにより生成AI基盤の周囲を論理的に囲い込み、横移動を封じる。
・Illumio Insights(見抜く力):AIが通信フローを分析し、ランサムウェアなどの横移動の予兆を検知。リスク検知時には、ワンクリックで該当ホストを隔離(封じ込め)し、被害の拡散を数分で阻止する。
生成AI基盤の保護と、AIからの横展開リスクという課題に対し、Illumioは被害範囲を最小化する解決策を提示した。
・Illumio Segmentation(止める力):ネットワークに依存せず、ホスト(OS)のファイアウォールを活用してオンプレミスやクラウドを一貫して制御する。IPアドレスではなく「役割」などのラベルでポリシーを定義し、アプリケーションフェンスにより生成AI基盤の周囲を論理的に囲い込み、横移動を封じる。
・Illumio Insights(見抜く力):AIが通信フローを分析し、ランサムウェアなどの横移動の予兆を検知。リスク検知時には、ワンクリックで該当ホストを隔離(封じ込め)し、被害の拡散を数分で阻止する。
次世代リスクへの戦略的対応と経営提言
セキュリティは「侵害されない」から「致命傷にしない」へと考え方を変え、可視化された情報を組織全体で共通言語として活用し、迅速な意思決定を行うべきである。
生成AI時代においては、AIによる「検知(Insights)」とゼロトラストによる「封じ込め(Segmentation)」を組み合わせることが、リスクを最小限に抑えながら安全に利活用を進めるための最適解である。
セキュリティは「侵害されない」から「致命傷にしない」へと考え方を変え、可視化された情報を組織全体で共通言語として活用し、迅速な意思決定を行うべきである。
生成AI時代においては、AIによる「検知(Insights)」とゼロトラストによる「封じ込め(Segmentation)」を組み合わせることが、リスクを最小限に抑えながら安全に利活用を進めるための最適解である。
| 特別パネルディスカッション | セキュリティ対策と生成AI活用 powered by FITA |
<パネラー>
望月 孝 氏(横浜信用金庫 デジタル変革・ITガバナンス推進顧問)
石川 久雄 氏(横浜銀行 ITソリューション部 部長)
大日向 隆之 氏(金融ISAC 理事)
<モデレーター>
阿部 展久 氏(金融IT協会(FITA)理事 セキュリティ民主化WG長)
望月 孝 氏(横浜信用金庫 デジタル変革・ITガバナンス推進顧問)
石川 久雄 氏(横浜銀行 ITソリューション部 部長)
大日向 隆之 氏(金融ISAC 理事)
<モデレーター>
阿部 展久 氏(金融IT協会(FITA)理事 セキュリティ民主化WG長)
リソース格差と「共助」の限界を超える AI活用
[阿部氏] 昨今、アサヒビールさんやアスクルさんの事例をはじめ、大規模インシデントが多発しており、セキュリティへの関心はますます高まっています。今日は、地域金融機関が持つリソースの制約の中で、生成AIの光と影をどう捉え、業界・業態を超えた共助で何ができるか、議論を進めたいと思います。
[望月氏] 信用金庫はメガバンクと比較し、セキュリティ対策に投下できる「人・モノ・金」のリソースに圧倒的な差があります。単独での対策には限界があり、業界団体や金融機関同士の横連携、いわゆる「共助・公助」に多くを頼らざるを得ないのが現状の共通課題です。
[石川氏] 地方銀行もサイバーセキュリティを「経営のトップリスク」と位置づけていますが、単独での体制整備に限界があるため、グループ一体で取り組んでいます。大きな投資が難しい中、システム開発を伴わない「プレーンなAI活用」でインシデントマニュアル作成や訓練シナリオ作成に成果が出ており、専門人材のスキルをAIで補完できる手応えを感じています。
[阿部氏] 昨今、アサヒビールさんやアスクルさんの事例をはじめ、大規模インシデントが多発しており、セキュリティへの関心はますます高まっています。今日は、地域金融機関が持つリソースの制約の中で、生成AIの光と影をどう捉え、業界・業態を超えた共助で何ができるか、議論を進めたいと思います。
[望月氏] 信用金庫はメガバンクと比較し、セキュリティ対策に投下できる「人・モノ・金」のリソースに圧倒的な差があります。単独での対策には限界があり、業界団体や金融機関同士の横連携、いわゆる「共助・公助」に多くを頼らざるを得ないのが現状の共通課題です。
[石川氏] 地方銀行もサイバーセキュリティを「経営のトップリスク」と位置づけていますが、単独での体制整備に限界があるため、グループ一体で取り組んでいます。大きな投資が難しい中、システム開発を伴わない「プレーンなAI活用」でインシデントマニュアル作成や訓練シナリオ作成に成果が出ており、専門人材のスキルをAIで補完できる手応えを感じています。
AI利用に伴う統合リスク管理と次世代への備え
[大日向氏] I利用のリスクはセキュリティだけではなく、もっと広くテクノロジーリスクとして捉える必要があります。「ガバナンス」「クオリティ」「セキュリティ」の3要素で統合的に管理・統制する仕組みが必要です。石川さんの事例は「AIを使って守る(AI for Security)」ですが、これからは同時に「AI自体を守る(Security for AI)」という観点から、適切なコントロールを入れていく体制が重要になります。
[大日向氏] I利用のリスクはセキュリティだけではなく、もっと広くテクノロジーリスクとして捉える必要があります。「ガバナンス」「クオリティ」「セキュリティ」の3要素で統合的に管理・統制する仕組みが必要です。石川さんの事例は「AIを使って守る(AI for Security)」ですが、これからは同時に「AI自体を守る(Security for AI)」という観点から、適切なコントロールを入れていく体制が重要になります。
業態の垣根を超えた連携への提言
[石川氏] 本日、横浜信用金庫さんとお近づきになれましたので、もし被害にあった時は助け合うですとか、地域への啓蒙活動など、業態を超えた新たな共助の事例を作っていきたいなと考えています。
[望月氏] 本当にありがたいお声がけです。リソースが限られる中、同じ地域の金融機関同士で地域連携や共助の取り組みができたら素晴らしいなと思っております。
[大日向氏] 金融ISACでも「AIワーキンググループ」を立ち上げる準備を進めています。どんなユースケースにどんなリスクがあるのか、業界全体でベストプラクティスを共有できるようなモデルを構築していくことが重要だと考えています。
[石川氏] 本日、横浜信用金庫さんとお近づきになれましたので、もし被害にあった時は助け合うですとか、地域への啓蒙活動など、業態を超えた新たな共助の事例を作っていきたいなと考えています。
[望月氏] 本当にありがたいお声がけです。リソースが限られる中、同じ地域の金融機関同士で地域連携や共助の取り組みができたら素晴らしいなと思っております。
[大日向氏] 金融ISACでも「AIワーキンググループ」を立ち上げる準備を進めています。どんなユースケースにどんなリスクがあるのか、業界全体でベストプラクティスを共有できるようなモデルを構築していくことが重要だと考えています。
| 講演 | 生成AI時代のデータ保護 ~Copilot導入におけるセキュリティの盲点とは~ |
登壇者:瀧沢 慶彦 氏(株式会社マクニカ セキュリティソリューション技術統括部第4技術部 第1課)
本講演では、Microsoft Copilotの普及が劇的な生産性向上をもたらす一方で、AIが社内データを横断的に読み込むことで、「アクセス権限の不備」という従来のセキュリティの盲点を顕在化させている現状を指摘しました。
「AIによる見つけすぎ」リスク
Copilotは従来のキーワード検索と異なり、人間が見つけられなかった機密情報(設計書など)を網羅的に探索・提示する。
この「AIによる見つけすぎ」により、「共有=公開」意識の薄さから全社員アクセス可能になっている機密情報が容易に露見し、情報漏洩リスクが拡大する主要課題となっている。
Copilotは従来のキーワード検索と異なり、人間が見つけられなかった機密情報(設計書など)を網羅的に探索・提示する。
この「AIによる見つけすぎ」により、「共有=公開」意識の薄さから全社員アクセス可能になっている機密情報が容易に露見し、情報漏洩リスクが拡大する主要課題となっている。
データガバナンスのためのDSPM戦略
非構造化データの管理難に対し、Copilot時代のデータ保護にはデータセキュリティポスチャマネジメント(DSPM)に基づく管理が不可欠である。
具体的な施策として、AI活用ツール(Data X-Ray)を用いた以下の自動化アプローチが有効だ。
・AIによる分類:正規表現では難しい「知的財産」などの文脈依存の機密情報を、生成AIを活用して高精度に自動検出する。
・リスク評価:検出された「機密情報」と「全社公開」が同時に設定されているハイリスクな状態を可視化する。
・自動防御:検出結果に基づき、Microsoft Purviewと連携し、アクセス制御を強化するラベルの自動付与を行う。
非構造化データの管理難に対し、Copilot時代のデータ保護にはデータセキュリティポスチャマネジメント(DSPM)に基づく管理が不可欠である。
具体的な施策として、AI活用ツール(Data X-Ray)を用いた以下の自動化アプローチが有効だ。
・AIによる分類:正規表現では難しい「知的財産」などの文脈依存の機密情報を、生成AIを活用して高精度に自動検出する。
・リスク評価:検出された「機密情報」と「全社公開」が同時に設定されているハイリスクな状態を可視化する。
・自動防御:検出結果に基づき、Microsoft Purviewと連携し、アクセス制御を強化するラベルの自動付与を行う。
安全利用のためのガバナンス自動化
Copilotは「社内データの鏡」であり、データ管理の乱れを映し出す。
情報漏洩リスクをコントロールするため、単なる教育ではなく、システム的に「Copilotに読み込ませて良いデータ」を棚卸しし区分する必要がある。
データの発見から保護までの一連の流れをシステム化し、安全に生成AIを活用できるデータガバナンス体制の構築が重要だと語った。
Copilotは「社内データの鏡」であり、データ管理の乱れを映し出す。
情報漏洩リスクをコントロールするため、単なる教育ではなく、システム的に「Copilotに読み込ませて良いデータ」を棚卸しし区分する必要がある。
データの発見から保護までの一連の流れをシステム化し、安全に生成AIを活用できるデータガバナンス体制の構築が重要だと語った。
【視聴無料】アーカイブ配信のお申し込みはこちら ※視聴期限:2025年12月19日(金)まで
(取材、撮影、記事、編集・制作 :株式会社グッドウェイ )
レポート
-
取材レポート:金融・IT業界向け
2025.12.12
【グッドウェイ、セミナーインフォ】金融 IT EXPO 2025開催~生成AI時代の システムモダナイゼーションと サイバーセキュリティ対策~【後編】
-
取材レポート:金融・IT業界向け
2025.12.11
【グッドウェイ、セミナーインフォ】金融 IT EXPO 2025開催~生成AI時代の システムモダナイゼーションと サイバーセキュリティ対策~【中編】
-
取材レポート:金融・IT業界向け
2025.12.10
【グッドウェイ、セミナーインフォ】金融 IT EXPO 2025開催~生成AI時代の システムモダナイゼーションと サイバーセキュリティ対策~【前編】
