ふくおかフィナンシャルグループにおけるサイバーセキュリティ対策の取り組み

＜FFGの概要＞

2007年、福岡県福岡市に設立されたFFGは、九州全域にネットワークを展開する地域金融グループだ。

九州を基盤とする福岡銀行・熊本銀行・十八親和銀行を中心に、2021年に開業したみんなの銀行およびグループ傘下の関連会社で構成されている。「あなたのいちばんに。」をFFGブランドスローガンに掲げ、地域に貢献していくことを重視している。時代が移り変わっても、地元密着型の銀行の重要性は変わらないと考えている。

組織の特徴は、「シングルプラットフォーム・マルチブランド」だ。九州を基盤とする3つの銀行で営業を展開し、顔の見える関係をお客さまと構築する一方で、商品・サービスやシステムをグループで共通化し効率化・合理化を目指す。その結果、さらなる高度な金融サービスや効率的な経営を実現していくものだ。このようなサイクルを上手に回しながら持続的な成長を意識し、地域の発展に寄与していく。

本日ご紹介するDXやセキュリティ対策も、このシングルプラットフォーム・マルチブランドをベースに行うものだ。

●金融業界を取り巻く環境の変化

前職のKDDI時代にauじぶん銀行設立にかかわった後、2018年にKDDIに出向帰任したことから、銀行側の立場と銀行を出て客として銀行を見る両方の立場を経験している。その経験から、2018年当時、金融機関を取り巻く環境の変化や金融機関自身の変化の必要性を強く感じていた。

2018年当時、とくに地方金融機関は「合従連衡」は不可避とされていた。また構造不況の理由は人口減少・少子高齢化・異常な低金利だと言われていた。しかし構造不況の実態は、規制に守られた状況下で金融機関自らがどう変わるかという視点が欠落しており、相対的に存在価値が低下しているのでは、と考えた。

この仮説をもとに、3年後以降の金融業界を取り巻く環境についてチャートを作成して、KDDIのお客さまである金融機関にお見せしていた経緯がある。窓口でないダイレクト取引の増加、ATMや店舗が大きく削減、社員数も削減などの事象から、実際にどうなっていくのか。それは顧客が店舗に、社員が会社に「行かない」革命だと結論づけた。

「行かない」革命を経て、金融機関はどのようなUI・UXを整えていくべきなのか。一方で、銀行は会社組織として社員のためにどのような仕組みやルールを整え、働き方を示していく必要があるのか。

ITという観点では、ITの進むべき道はこれら内と外への変化への対応だとした。そして金融は聖域ではなく、自前化か否かの二極化が進むだろうというのが当時の私の仮説であった。この仮説が、コロナ禍で一気に加速し、その時期が想定よりも前倒しになったのは皆さまご承知のとおりだ。

＜組織が避けて通れないサイバーセキュリティ対策＞

FFGではCSIRT（シーサート）を組成し、グループ内でさまざまな課題に対処できるような仕組みを構築している。実際に、IT部門だけでは対処が不可能な事象や限界も当然ある。

従って、さまざまな関連部署を巻き込んで組織横断的にCSIRTを構成している。また外部の協力会社にも支援してもらう体制にもしている。CSIRTのメンバーで定期的に部会を開催し、現状の認識合わせや組織内外の情報を常にキャッチアップするなどの活動を行っている。

サイバーセキュリティに関連したCSIRTの活動において、とくに必要性を感じるのは外部との連携だ。金融ISAC、他の金融機関や他業種との情報交換は、非常に役立っている。今後は、外部との連携をより密にする運営体制を整えていくべきだと考えている。

●CSIRTの中核はFFGのIT統括部

CSIRTの中核を担っているのが、FFGのIT統括部が運営する事務局だ。FFG3行、関連会社におけるセキュリティを、このCSIRT事務局が一元管理・監視している。ここにもシングルプラットフォームによるシナジー効果が活かされているのがポイントだ。

ここ数年のメンバーたちのスキルアップは目覚ましいものがある。しかし計10名でなんとか回している状態なので、何らかの事案が重なって発生するとパフォーマンスが落ちる。そこで現状の大きな課題としては、持続的に質・量の両面で人材をさらに増強していくことが必要だ。

サイバーセキュリティ対策の概要は、複数のポイントで防御を行い、万が一、一箇所が破られることがあっても他の部分でカバーできるような多層防御の仕組みだ。常時監視やモニタリングも実施している。

CSIRTのメンバーだけでなく利用者全員のセキュリティに関する意識づけや啓蒙を行うと同時に、定期的にセキュリティ診断を行い、通常発見できないような箇所を確認し対応を行っている。

●4つのレイヤーごとに対策を実施

実際には「入口・出口対策」「内部対策」、そしてそれらの対策で守るべき「FGGシステム」「運用」の4つのレイヤーに分けてそれぞれの対策を実施している。可能な限り、汎用かつ共通で対応できるように整えている。

子銀行3社、関連会社それぞれにパソコン・業務システムのセキュリティ対策を統一し、一元管理しやすい構成とした上で共通化を図り、実際に障害が発生した場合にも対応しやすい体制にした。

ホームページの運用においても統一基盤を整えて、巧妙化するBot攻撃に対応している。セキュリティ運用管理においても全て統一化を図り、リスク評価および診断も一元的に実施している。

お客さま向けのインターネットバンキングにおいても、攻撃動向に応じて対策を強化しつづけていく。外部委託先は300社に及ぶことから、セキュリティホールになりうる恐れがある。そこで年次でFFGと同レベルのセキュリティチェックを各社実施するようお願いしている。必要に応じて、立入調査も行う。

＜これからのFFGの挑戦＞

1つめの挑戦は、アジャイルとクラウドだ。当たり前だと指摘されるかもしれない。しかし、実は金融機関ではまだまだというのが現実だ。

現状、FFGにおいてはDX推進本部とIT統括部では大きな温度差がある。DX推進本部では、専任部隊を立ち上げてすでに実績も出しつつある。一方、IT統括部はこれまで主に勘定系の安全運行が至上命題ということがあり、アジャイル開発に取り組むという発想がそもそも希薄だった。

しかしここ数年で大きく変化し、IT統括部門でもアジャイル開発手法を試行しようという気運が徐々に高まっている。まずは既存のアジャイルチームと連携を図り、人材交流を行い、ノウハウを共有し勉強会をするなどして取り組み始めているところだ。

一方のクラウド管理体制はかなり進んでいる。FFGにおいてCCoE（Cloud Center of Excellence）を組成し、運営を行っている。IT統括部で専門部隊を立ち上げ、チェックリストやルールの策定を行い、それらに基づいた導入診断などのスキームを構築している。

サイバーセキュリティの手法を活かして組織横断型の組成をし、外部専門家を招いて内製要員のレベルアップを図っているという現在進行形の状況だ。クラウド統制はチェックリスクによる評価、システムによる自動およびCCoE要員によるリスク監視、統合的なクラウド統制基盤の3つをポイントにしている。

FFGクラウド統制基盤を構築することで、リスク統制、リスク極小化、運用負荷および構築負荷の軽減を目指す。立ち上げたばかりだが、今後大きな効果を上げていくと期待している。

挑戦の2点目は、ゼロトラストセキュリティだ。境界型のインフラから今ではクラウドシフトを実現し、働き方改革を踏まえてセキュリティの考え方をフィットさせている。4月には本部と関連会社に展開を開始し、2023年の上期中にはゼロトラスト環境につながる端末6500台を稼働させていきたい。

＜結びに＞

サイバーセキュリティ対策は当たり前であり、ゴールや終わりはない。「クラウド」「ゼロトラストセキュリティ」はFFGの価値向上に資する取り組みだ。働き方改革、DX推進は企画力や提案力の向上につながり、お客さまに付加価値を提供できるようになる。結果として、地域貢献・活性化につながる。

これらの取り組みに、企業間の垣根は不要だ。今後も多くの方々と協力して持続的な進化に寄与していく所存だ。