1. HOME
  2. イベントレポート
  3. 2023年2月16日(木)開催 FINANCE FORUM「巧妙化するサイバー攻撃とセキュリティ体制の強化」<アフターレポート>

No.1テクノロジーバンクを標榜するGMOあおぞらネット銀行が目指す新しい銀行セキュリティ

SPECIAL GUEST

【講演者】
GMOあおぞらネット銀行株式会社
執行役員 テクノロジー&プロセシンググループ長
金子 邦彦 氏

GMOあおぞらネット銀行株式会社について

あおぞら銀行の銀行経営ノウハウとGMOインターネットグループのテクノロジーノウハウを掛け合わせて、2018年7月に誕生したネット銀行だ。テック企業を母体とする銀行が技術力を武器に銀行サービスを提供し、No.1テクノロジーバンクを目指す取り組みを進めている。

中長期戦略として、「スモール&スタートアップ向け銀行No.1」、「組込型金融サービスNo.1」、「テックファーストな銀行No.1」3つの戦略を掲げており、本講演ではテックファーストな銀行に関する取り組みについてご紹介する。

システム内製化へのこだわり

ネット銀行だからこそ、とくにシステム全般の内製化が重要だ。なぜならネットビジネスでは、ビジネス戦略、システム戦略、サイバーセキュリティへの対応などいずれをとっても「システム」が中心になっている。

ビジネスの中核となるシステムのコントロールを他社に委ねることはできない。だからこそ内製化が重要だ。逆に内製化ができていないと、システムのコントロールが思うようにできず、新たなチャレンジがやりづらい、時間がかかるなどの弊害がうまれる。

●内製化の状態とは?

単純に開発要員を増やすことが、内製化を意味するのではない。内製化とは、開発だけでなくインフラ構築から運用に至る「システム」のすべてを把握しコントロールできる状態のことだ。つまり、自社ですべてを把握できる状態をいう。

そのため弊社において、請負契約は一切ない。障害発生時のログの確認をはじめ、システムにかかわるすべての対応を弊社社員が直接行っている。GMOインターネットグループとも協業し、ホワイトハッカーをグループ内で育成しているので、万が一の際には自分達で解析する体制を整えている。

社員の倍の人数にあたるベンダースタッフも常駐しているが、主導はあくまでも弊社の社員という点がポイントになる。

内製化がスピード感につながる

通常インシデントが発生すると、さまざまなベンダーに声をかけて情報を集めるだろう。しかしサイバーセキュリティで重要なのは、金融ISACでも申し上げているとおり「スピード」だ。

サイバー攻撃は、非常にスピード感が高い。気がついた時には、すでにさまざまな場所に展開されており情報がすっかり抜かれている。攻撃のスピード感に対応するためにも、ビジネスの中核であるシステムを自ら把握しコントロールできる状態、つまり内製化が大事というわけだ。

内製化は、さまざまなチャレンジの礎になる。実際に、弊社では3か月タームで新しいサービスをリリースしている。スピード感のある対応は、サービスの提供においても自社を守る意味においても重要というわけだ。

弊社では内製化の体制づくりのために、エンジニアに興味・関心を抱いてもらえるよう、採用の現場では銀行色を払拭するように努めているほか、FinTech企業とのコラボセミナーやハッカソンの開催などにも取り組んでいる。またKPIを設定しており、エンジニアとデザイナー等を含む「創る人」比率60%超を目指している。

固定観念への挑戦〜新しいセキュリティへ〜

銀行は固定観念が強い業界だと思う。根強い固定観念を打破するために超えるべきハードルは、経営層の理解と社員のチャレンジ精神の2つだ。

そこで弊社では、基本的にCIO&CISOに導入判断を委譲しているほか、ミスを許容する文化を醸成するために、役員自らが率先してチャレンジする姿を見せている。ミスを許容できなければ、社員から新しいアイデアがあがってこないからだ。

また新しいセキュリティ施策を導入する際に弊害となる要因として、「導入プロセス」「予算措置」「費用対効果」の3つも押さえておきたい。スピード感のあるインターネットの世界では、3か月経つと過去になってしまう。

そこで弊社では、基本的に他社導入実績は気にせずに、セキュリティ商品の評価を行い、時間のかかる相見積り依頼は行わない。

システムに関する予算はCIO&CISOが管理して、新しいことにチャレンジしやすい環境を整えている。正直にいえば、セキュリティ商品の費用対効果はでない。費用対効果を求めると、間違った方向の議論になりがちだ。そこで機能・効果・利便性を軸に検討すべきだと考える。

このように選定にかかる考え方を変える、また手続きの簡素化を行うなどして、新たなアイデアを実現しやすいと思える環境を目指すことが肝要だ。

No.1テクノロジーバンクへの道〜セキュリティを武器に!〜

「セキュリティを武器」にするために、弊社では社内向けとお客さま向けの2つの軸で考えている。

社内セキュリティ

サイバーインシデントが発生した際に迅速に対応するために、「本番部屋」を廃止した。本番部屋に到着するまでに時間がかかるようでは、すべての機密情報を攻撃者に盗まれてしまう。そこでリモート環境でもインシデント対応できる仕組みを、2018年の事業開始時に構築した。常駐するには体制を厚くする必要があり、大手金融機関以外では難しいためだ。

これによりスピード感をもった対応が可能になったものの、セキュリティを担保しすぎて承認が多すぎるという課題があった。現在ではその点を解消すべく、新しいソリューションを導入している。一度築いたシステムに対して意見がでたら、PDCAで回してよりいいものにしていく姿勢が大事だ。

お客さまに向けたセキュリティ

弊社の新しいチャレンジのスタートであり反省第1号でもある、ハイセキュリティデビット一体型キャッシュカードをご紹介する。

ユーザー自身が設定したパスコードを入力すれば、ATMやデビットカードの利用が可能になる仕組みをもつキャッシュカードだ。紛失等による物理的なセキュリティを担保するとして導入する予定だったが、海外ベンチャー案件であることやコロナの影響などで対応が保留中となっている。そこで同等の機能である「カードロック機能」を作成し、2021年9月に取引アプリに実装している。

また「LIQUID eKYC」で知られるLIQUID社から、製品完成前に新サービス計画を聞き、同社製品のなりすましを防ぐ「LIQUID Auth(リキッドオース)」サービス導入第1企業となった。「LIQUID Auth」の「Auth Face」を導入したことで、現在の口座利用者が本人であることを継続的にオンライン上で確認可能となった。

お客さまにセキュリティ面での対応をアピールするためにも、スピード感をもって対応することが大事だと考えている。LIQUID社との取り組みも、他社がすでに導入を検討中であったが、スピード感を活かして1番に取り組みを開始しプレスリリースを出す、1番でいいもの・サービスを提供することが重要だと取り組んだ事例だ。

現在、導入に向けて動いているのが、GMOサイバーセキュリティbyイエラエ社による「サイバー攻撃対策サイトシール」だ。このサイトシールは、不正アクセスのリスク最小化を示すシールとして、イエラエ社側でセキュリティ診断をして要件を満たしていることが確認された上で発行される。

第三者評価による当社サイトの安全性をアピールすると、抑止効果ではなく逆に攻撃されるのではという懸念の声が社内であがったが、ここでもチャレンジ姿勢を崩さず、お客さまへ取り組みをアピールして「安心してお付き合いできる」というブランディング効果を狙って進めているところだ。

結びに

本日は、弊社がシステムの内製化にこだわる背景や、また新しいセキュリティ構築に向けたチャレンジについてご紹介した。内製化は、No.1テクノロジーバンクを実現するためのさまざまなチャレンジの礎になる。弊社は今後もチャレンジを続けていく所存だ。