- 「みんなの銀行のクラウドネイティブなセキュリティ対策とゼロトラストの考え方」
株式会社みんなの銀行 二宮 賢治 氏 - 「DXに必要なセキュリティ運用のモダナイズ」
Sumo Logicジャパン株式会社 広瀬 努 氏 - 「脅威インテリジェンス駆動型セキュリティプラットフォームとXDRで最新のセキュリティ脅威から企業を守るために」
Anomali Japan株式会社 菊地 吾朗 氏 - 「ゼロトラストに基づくエンドポイントセキュリティ~組織の最大の脆弱性「人」へのサイバー攻撃に対する新しい解決策~」
株式会社 日本HP 大津山 隆 氏 - 「ひろがるインテリジェンス主導のセキュリティ- セキュリティインテリジェンス導入の最新動向 -」
レコーデッド・フューチャー・ジャパン株式会社 松田 知行 氏 - 「直近のサイバー脅威に対する理解獲得と「企業」を守るための努力方法」
株式会社サイバーディフェンス研究所 名和 利男 氏 - 【ご紹介動画】タニウム合同会社
「みんなの銀行のクラウドネイティブなセキュリティ対策とゼロトラストの考え方」
- 基調講演
【講演者】 - 株式会社みんなの銀行
サイバーセキュリティグループ グループリーダー
兼 ゼロバンク・デザインファクトリー株式会社
執行役員CISO
二宮 賢治 氏
<はじめに>
今回はみんなの銀行がこれまで行ってきたセキュリティ対策について、ご紹介したい。セキュリティの世界におけるゼロトラストの考え方についてはすでに関心をもたれている方も多いと思う。当行でも試行錯誤しながら取り組みを進めているところだ。少しでもみなさまのお役に立てるような話ができれば幸いである。
<みんなの銀行について>
みんなの銀行は、ふくおかフィナンシャルグループ(FFG)傘下のスマートフォン専業銀行である。主に、デジタルネイティブ世代を対象としたBtoCの銀行サービスを展開し、すべての手続きをスマホで完結できる点に特徴がある。
みんなの銀行においてITガバナンスやセキュリティを担当するのは、同じくふくおかフィナンシャルグループのシステム子会社であるゼロバンク・デザインファクトリー(ZDF)である。ZDFはセキュリティ、システムデザインなどそれぞれの専門を持つエンジニア集団であり、次世代バンキングシステムの構築やBaaS事業も手がけている。
みんなの銀行はデジタルネイティブ世代に向けた新しい銀行をコンセプトとしている。システムを開発する側もクラウドネイティブ、アジャイル、エンジニアフレンドリーをキーワードに開発を行っており、勘定系システムをはじめとする大半のシステムがクラウド上にある。オンプレの部分は外接系のみと、ほぼすべてをクラウドネイティブで構築しているのが特徴だ。
<サイバーセキュリティ体制とカバレッジ>
ここで、みんなの銀行とサイバーセキュリティの体制とカバレッジについてご紹介したい。
我々が所属しているサイバーセキュリティグループはCIO直下のグループであり、サイバーセキュリティのみを専任で担当している部署だ。ふだんはシステム統括・システムリスク全体の管理を行うデジタルサービスマネジメントグループと連携して業務を行っている。みんなの銀行のサイバーセキュリティグループのメンバーは全員ZDFのSecurity Groupのメンバーを兼務しており、ZDFが作り提供するプロダクトのセキュリティ担保を担当している。
さらに、サイバーセキュリティグループはみんなの銀行-CSIRTとみんなの銀行-SOCを統括し、みんなの銀行全体のセキュリティについて横断的な対応を行っている。SOCは基本的に内製化しており、セキュリティ監視等も一部の定型的な対応を外部に委託しているほかは、基本的には自前である。
「エンジニアフレンドリーの追求」「やれることを全部やる」「自分たちも成長する」という合言葉のもと、我々のグループだけでSOC系、PSIRT系、CSIRT系といった各領域をカバーしている。のみならず、FFG全体を横断的に総括するFFG-CSIRTやグループ内の他企業、さらには金融ISACやJPCERT/CCといったグループ外の組織とも連携し、自社のサイバーセキュリティ確保に努めている。
<どんな風に守っているの?>
対お客さまのサービス防御については、DDoS対策など基本的な対策はひととおり行っているほか、追加的な対策のPoCにも力を入れている。また、プロダクトセキュリティ、PSIRT領域についてはセキュリティ診断や脆弱性管理などの対策を開発プロセスで活用してセキュリティ確保に努めている。インテリジェンス領域については脅威インテリジェンスのサービス、テイクダウンのサービス等を活用しつつ、アプリケーションのログ収集などを通した「見える化」も進めている。さらに後述する通り、ゼロトラスト領域についても対策を進めているところである。
<ゼロトラストの考え方と現状、今後について>
現在我々はゼロトラスト領域にも積極的に取り組んでいる。ゼロトラストとは、NISTによれば「ネットワークが侵害されている場合であっても、情報システムやサービスにおい て、各リクエストを正確かつ最小の権限となるようにアクセス判断する際の不確実性を最小化するために設計された概念とアイデアの集合体」と定義される。加えて、NISTではゼロトラストの要件をみたすための7つの原則も提唱している。我々もNISTの提唱する7つの原則には全面的には同意であり、それを目標に対策を進めている。特に、「ネットワークが侵害されている場合であっても」被害を最小限に抑えるというのは重要であると考えている。
現在、当社ではコロナの影響もあって、従業員の働き方が大きく変化している。ほとんどの業務で在宅勤務ができるようになって、多くの従業員が会社のPCを自宅に持ち帰るようになった。現時点では顧客情報を扱う業務や本番系システムの保守業務は在宅ではできないようにしているが、今後はこれらの業務も在宅で行えるようにする予定である。こうした在宅勤務の増加に伴い、課題となりやすいのがセキュリティ確保だ。
当社では在宅勤務の場合、VPN経由で社内ネットワークに入る仕組みを採用している。社外からアクセスできるOA領域と基幹業務領域はVDIによる論理分離の構成になっていて、基幹業務へのアクセスの際には全面的にログをとれるようになっている。その一方で、エンジニアやデザイナーが使っている端末については課題も多いというのが現状だ。
当社のセキュリティチームはエンジニアフレンドリーを旨としている。しかしエンジニアやデザイナーは、業務効率化のために外部ツールを積極的に使う傾向があり、セキュリティ面を考えると、彼らのニーズにはなかなか応えにくい。SASEを導入して外部ツールを使いやすい環境を整えたものの、セキュリティチームとしては、彼らが何をしているか正確に把握できないところもあるというのが正直なところだ。今後は人の不審な動きを監視できるUEBA等の仕組みも導入する必要があると感じているところである。
そのほか、端末の物理セキュリティやセキュリティチームの負担軽減も課題であり、現在IT資産ツールやSOARの導入に期待をかけているところである。
<クラウドネイティブな悩みとこれから>
現在、セキュリティチームの管理対象が増大しており、現場の負担感が問題になりつつある。このあたりはSOARや端末ログ収集の改善などで地道に改善するしかないという印象を抱いている。また、エンジニアフレンドリーと内部不正対策の両立、脆弱性情報のトリアージといった課題もある。我々セキュリティチームはこれまで半ば手探りでセキュリティ業務を進めてきた。そこで、感じたことを4点ほど紹介したい。
1点目は、特効薬はないということだ。トライアンドエラーで改善を進めていくしかないと考えている。
2点目は、自社のニーズを把握することの重要性だ。導入目的を明確化してPoCをやる必要性を感じている。
3点目は、情報集約の重要性である。現在魅力的なコンソールが多数乱立しているが、見た目の美しさよりも、何はともあれSIEMにログを集約して、深堀り検索できることが大切だと思う。これは現場の人間からベンダーの皆さまへのお願いである。
4点目は人材確保の重要性だ。やるべきことが見えてくるとやるべき業務も増える。人的リソースの必要性はつねに痛感しているところである。
<おわりに>
我々のセキュリティ対策はまだまだ道半ばである。現在も試行錯誤しながら前に進んでいるような状況だ。やっていることはオンプレの延長ではあるが、手探りの状態が続いている。金融機関の中には金融ISAC等に入り、セキュリティ対策に取り組んでいる方もいらっしゃると思う。皆さまに置かれては、ぜひ我々と知見を共有し、ともにセキュリティ対策のベストプラクティスを追求できれば幸いだ。