1. HOME
  2. イベントレポート
  3. 2021年10月7日(木)開催 FINANCE FORUM「脅威が増すサイバー攻撃と金融機関のセキュリティ」<アフターレポート>

「PayPay銀行におけるニューノーマル時代のセキュリティ対策」

岩本 俊二 氏
特別講演
【講演者】
PayPay銀行株式会社
IT統括部長 PayPay Bank CSIRTリーダー
岩本 俊二 氏

Paypay銀行の概要

2000年、日本初のインターネット専業銀行、当時はジャパンネット銀行として開業。Zフィナンシャルの子会社および三井住友銀行の持分法適用子会社として位置づけられる。

特に決済には力を入れおり、freeeやMoney Forwardなど の家計簿アプリを始め、PayPay、メルペイ、Google Payなどの決済アプリとも連携している。

また、銀行アプリやLINEとの連携、AI、チャットボットの活用を進め、さらなるお客様対応の強化を目指す。

当社のセキュリティ組織体制としては、2013年9月CSIRTを立ち上げ、2015年9月には「サイバーセキュリティ対策室」を設置、セキュリティ対策の企画・検討、導入などに取り組んでいる。

クラウドサービスの採用について

ネット専業銀行ということもあり、早くからクラウドの活用、API連携に取り組んでいる。当行は適材・適所でクラウドを活用しており、2017年~2018年、対外接続系のクラウド移行は国内ベンターのベアメタルを採用した。また、OAのサーバーに関しては、2015年~2016年より社内利用を目的とし、AWS採用した。今後、社外利用など活用の幅を広げていく予定だ。

システムそのものの移行は、比較的スムーズにいったものの、WAN越えのCIFS通信が想定以上に遅いといった問題が発生した。そこで急遽、各拠点にキャッシュ装置を導入し 対応した。このキャッシュ装置は昨今、急激な値上げをしており、この方式が適当かどうかは今後も議論を重ねていく。

また当時、クラウドの採用は、コスト削減のためという認識が多かったが、最近では、コロナ禍の継続、経営の不安定な状況、働き方改革などにより、企業は経営環境の変化に応じた柔軟さや対応スピードの速さが求められていると感じる。こうした背景に沿って、当行は、マルチクラウド化を進めている。

働き方改革、DX(業務改革含む)推進

当社の働き方の課題として、従業員満足度が高くない、中堅社員の離職率が上がる、労働生産性が低いなどが挙げられる。その対応策として「働き方の多様化」「コミュニケーション効率化」「DX(業務改革)」を実現している。

当社は “仕事も楽しむ”をキーワードに「ワークライフミックス」を掲げ、資料や稟議のペーパーレス化に取り組み、モバイルワーク推進している。さらに、無線LAN 、内線スマホ導入などを加え、執務場所を意識しない働き方が定着してきた段階で、テレワーク導入の推進を図った。    

ビジネスチャットの導入にも取り組んでいる。従来は、深夜・休日のインシデント対応に課題があったが、インシデントの状況に応じて、情報共有の範囲を設定したグループチャットを事前に作成したことで、対応者が連絡範囲を考える必要がなく、社長・役員含む社内連絡で判断の迅速化を実現した。    

DX、業務改革の推進としては、顧客応対の一元化を進めた。入電時に顧客情報を手動入力して画面起動し、コミュニケータ判断で数百パターンから対応を案内、応対記録を複数システムへ入力しなければならず、一連の動作に手間がかかっていた。そこで、入電時に顧客情報を自動表示し、対応パターンをナビゲーション化するなどし、業務改革を進めていった。

 利用者のニーズを満たすシステム・サービスを構築・導入するにあたり、クラウドありきで考えたのではなく、必ず候補として 、クラウド( IaaS 、 SaaS 、 PaaS など)採用案が必然的に浮上すると考える。

PayPay銀行のセキュリティ対策

働き方改革、DX(業務改革含む)推進を踏まえ、当行のセキュリティ対策について説明する。まず、モバイルワーク では、 BYOD( Bring Own Your Device :私用端末)も想定していたため、社内配布端末以上にセキュリティに注意をする必要があった。そこで、スマートフォンの 紛失・盗難 端末内に情報を残さないシステム上の仕組みを整え、さらには、認証強度を強化、アクセスログの取得、ログの点検などで第三者からの不正アクセスに関するリスクを低減した。

テレワークを推進する上では、不正ログインを防ぐため、ワンタイムパスワードの利用、VPN ではなく HTTPS 通信を利用した仕組みを採用し、セキュリティを強化した。

また、ビジネスチャットでは、当時比較した4ツール共に、必要なセキュリティ機能は具備されていた。それから、Web会議システムに関しては、インシデント対応の効率化、会議の効率化(いつでも、どこでも、会議室の確保が不要)の観点で導入を推進していたため、 最終的には直感的な操作ができるかが決め手となった。

<クラウド利用の評価>

セキュリティを含めてクラウドでも整理すべき項目はオンプレとさほど変わらないと考える。当社はFISC「金融機関におけるクラウド利用に関する有識者検討会」報告書をベースに策定したもの使用している。

クラウドで考えるべきセキュリティ対策を「ゼロトラスト(何も信頼しない)」対策だと考えることは間違いだと考える。バズワード化、横文字のワードが先行している印象のため、どこから手を付けて良いか分からない状態に陥るケースあるからだ。ゼロトラストモデルを考える前に、まずは従来型でサイバーキルチェーンベースに考えることが重要である。クラウドのセキュリティ対策について従来型の対策分類で検討すると、基本的な事項は変わらないが、クラウドを利用している場合、検討範囲は変わる。根本的に重要情報がクラウド上に存在し、社内から各種クラウドへの通信が発生することを許容せざるを得ない。そのため、業務通信か、プライベートか、不正通信か、どこからのアクセスかは見極めが必要であると考える。当該クラウドへのアクセスを社内環境からに限定することも1つの手だが、ネットワークのレイテンシ(応答時間)を踏まえると、自宅から直接アクセスさせた方が効率の良いサービスもある。そのため、クラウドアクセス時の認証強化が重要であると考える。

人事制度、労働法への対応

テレワークの導入の観点では、人事制度、労働法への対応が重要であると考える。テレワークは目的/用途によって、対象者の範囲や人数が大きく異なり、留意すべき事項も変わる。そのため、様々なリスクを想定すべく、主目的を明確化することが重要である。当行としても、テレワークに関しては、発展途上であり、今後も利用者が使いやすいルールの整備に努めていきたい。

まとめ

クラウドサービスの採用については、外部環境の変化に柔軟に対応することが求められ、マルチクラウド化が進むため、データやシステムのサイロ化(分断)には注意が必要である。    

それから2つ目、セキュリティ対策については、 クラウド通信の可視化・制御がポイントだと考える。ゼロトラストに関しては、言葉に踊らされずに、本質から考えるべきだ。    

最後に3つ目、人事制度、労働法への対応については利用者が使いやすいルールの整備、定期的な見直しが重要である。コロナ後もこれがスタンダードになるという経営判断、その判断があれば、セキュリティで注力すべき対策も自ずと決まってくる。