セキュリティ
インド、Mythosが犯罪の連鎖を引き起こす場合に備え情報セキュリティの「レッドアラート」を命令
証券規制当局、AIモデルが大規模攻撃を後押しする前に、市場関係者が新たな戦略を構築し、サイバーの基礎を徹底できるよう促す
インドの証券取引委員会(SEBI)は、AnthropicのMythosがバグ発見AIとしてサイバー攻撃の連鎖を引き起こすような事態に備え、国内の株式業界の参加者に対し、情報セキュリティの仕組みと運用を直ちに見直すよう助言した。
同委員会は、インド版の米国証券取引委員会(SEC)であり、英国の金融行為規制機構(FCA)に相当する。インドの規制当局は火曜日、アドバイザリーを公表したが、冒頭で次のように述べている:
AI主導の脆弱性特定ツール(例:Claude Mythos)を含む、新たに登場した技術の急速な進化は、規制対象事業者(Regulated Entities)に対するリスクの新たな側面をもたらした。こうしたツールは、速度と規模によって既存の脆弱性を特定し、潜在的に悪用できるようにすることで、リスクへの曝露を高める可能性がある。また、データの機密性、アプリケーションの完全性、出力の信頼性に関する懸念を引き起こす可能性もある。
これらの脅威に対し、同委員会は、Mythosのようなモデルがもたらすリスクを検討し、脅威インテリジェンスを共有し、インシデントを報告し、さらに、当局および監督下にある事業者にソフトウェアを供給する第三者ベンダーに対してサイバーセキュリティの見直しを開始するためのタスクフォースを設置した。
続いてアドバイザリーは、いくつかの基本的なインフォセック(情報セキュリティ)の助言を提示している。パッチが最新であることを確認し、潜在的な脆弱性について監査を行い、APIを棚卸しして保護し、きちんとしたSOCを運用してその助言を取り入れ、ゼロトラスト・ネットワーキングといった原則の採用や、不可欠なサービスだけを稼働させることでシステムを強化すること。
また、同規制当局は、インドの株式市場の参加者に対して、IT委員会がAI主導の脆弱性検出モデルによって生じるリスクをどう軽減するかのガイダンスを発出し、その上で、情報セキュリティ対策の武器としてAIを活用する計画を策定するよう求めた。
関連記事
「また、AIによる加速型の脅威に対するリスクの再評価、AIを活用したSOC(セキュリティ運用センター)変革、そしてAIツールを用いた継続的な脆弱性管理など、その他の措置も講じるよう」 と助言では述べている。
取締役会は、上記の助言を、ベンチャーキャピタリストからマーチャントバンカー、投資信託、証券取引所に至るまで、合計19の異なる企業クラスに対して出した。さらに、顧客情報を保存する代理店のようなニッチなサプライヤーにまで及んでいる。
世界各地の他の規制当局も、Mythosがもたらすリスクを認めている。米国財務長官のスコット・ベッセントは、数週間前に緊急会議を招集し、同国の銀行に集まってもらった。シンガポールの規制当局も、昨日同様に対応した。オーストラリアの規制当局は、AIが生み出すリスクを考慮に入れたAI戦略を策定しなければならないという、強い文言による注意喚起を、現地の銀行に送った。香港の金融管理局(HKMA)は、Mythosの時代に向けた新しい情報セキュリティ(infosec)ガイダンスの策定を進めている。
インドの対応は、規制対象となる事業体を差し迫った脅威の存在について効果的に警戒状態に置き、問題を防ぐための行動を命じている点で際立っている。®
