かつて銀行のサイバーセキュリティにおける究極の解決策とされた生体認証技術は、生成AIの台頭により重大な脆弱性に直面している。しかし、これは銀行や保険会社が抱えるセキュリティ問題の一つに過ぎない。テクノロジー革命では、悪意ある行為者が組織よりも速く適応することが多い。コーディングエージェントの登場により、ハッキングは強化されている。「既存の」フィンテック企業は、従来の銀行と同様に脆弱な状態にある。実は、金融機関を最もリスクにさらしているのは、テック人材へのアクセスではなく、システムアーキテクチャの技術的複雑性の増大である。
消費者がコンシューマーインターネットと同様の銀行体験を求めていることから、銀行のテクノロジー支出は膨らみ、複数のサードパーティやホワイトラベルのアプリケーションとの統合が可能になっている。マッキンゼーの報告によると、クラウドコンピューティングの登場以降、「銀行ITで使用されるアプリケーションの平均数は、2013年の収益10億ドルあたり133から2022年には224へと、68%以上増加した」とされ、同期間にアプリケーションベンダーの数も60%増加したという。
銀行がこの膨大なインフラを社内に取り込もうと努力する中でも、大きなギャップが残っている。マッキンゼーによれば、「クラウド導入と統合により銀行が使用するインフラベンダーの数は減少したが、アプリケーション側では同じことが言えない」という。マッキンゼーは、「チャネル全体で新しいサービスを立ち上げるプレッシャーにより、統合がより困難になっている」ことで、アプリケーションの「幅広さと複雑さ」が増していると強調している。
金融サービス向けのペネトレーションテストを提供するセキュリティ企業Virtue SecurityのCEO、エリオット・フランツ氏によると、顧客にシームレスなサービスを提供するために設計されたこの複雑なインフラの結果、「脆弱性の高まりと膨大なセキュリティ負債」が生じているという。優れたデジタル製品を提供するためにはベンダー関係の多様化が不可欠だが、大規模な連携は脆弱性を招く。フランツ氏は「銀行は本質的にあらゆる企業と同じであり、幅広い技術プラットフォームを使用している」と述べる。しかし、そのシステムアーキテクトやエンジニアは「構築の専門家であり、ハッキングの専門家ではない」のだ。
この環境では、従来のペネトレーションテストモデルはもはや目的に適合しない。従来のペンテストは厳格なプロセスと「定型化された手法」に従っており、組織のITの現在の運用環境に合致していない。これらのプロセスは、複雑なシステムに蓄積される広範なリスクではなく、特定のユーザージャーニーという狭いレンズを通してセキュリティを見ている。
AIがこの問題を悪化させている。銀行とそのパートナー企業の両方が、生成AIから価値を引き出すための強いプレッシャーを感じており、それは独自データを使ってモデルをトレーニングすることを意味する。これは、慎重に訓練されたモデルが実生活で学習を展開するAIユーティリティの第二段階、推論に備えるために不可欠である。フランツ氏は「最大のリスクの一つは、(時に知らず知らずのうちに)AIモデルをトレーニングするために大量のデータを取り込んでいる関係者の数だ。データが予期せぬ多くの場所で収集されている」と説明する。そしてそれらのデータプールは深刻な脆弱性を表している。
解決策は顧客向けアプリケーションの構築やモデルのトレーニングを止めることではなく、非常に予測可能で標準化されたセキュリティ体験を中心に設計された過去のセキュリティ評価では不十分だと認めることだ。生成コーディングエージェントを駆使する、より洗練されたハッカーたちは、現代の金融機関のマルチシステム環境を標的とした攻撃を設計している。従来のセキュリティ評価は単純にこのアーキテクチャを考慮していない。
人工知能に関する一般的な比喩、つまり「凡庸な人材を失業させる」というのは、サイバーセキュリティでも同じである。フランツ氏は「鋭い技術スキルを持つ人々がますます価値を高めている」と語った。技術システムに対するアプローチを変えることは、現代の企業セキュリティテストプロトコルを概念化することから始まる。優れたハッカーは、倫理的であれ非倫理的であれ、システム思考の持ち主なのだ。
