PayPay銀行における「共創型」セキュリティ対策

＜１．PayPay銀⾏の概要＞

2000年、日本初のインターネット専業銀行、当時はジャパンネット銀行として開業。Zフィナンシャルの連結子会社および三井住友銀行の持分法適用子会社として位置づけられる。

24時間365日取引可能でサービス停止時間は年間30分。2006年から顧客全員がトークンを利用、カギ型からカード型、スマホアプリに変化している。規模感としては2015年と比べると、口座数が約2～3倍、ピーク取引量が約4～5倍、預金残高は約3倍に成長。決済に力を入れており、PayPayを主軸に多様な提携先と連携することで件数を伸ばしている。

PayPay銀行アプリや、お客様サポートとしてAIチャットやLINEでのお問い合わせ、外貨、投信、FX、カードローン、住宅ローン、ビジネスローン、Visaデビット等のサービスを提供している。

セキュリティ組織体制としては、2013年9月に経営会議相当にある社内機関の下部に社内横断的な仮想組織としてCSIRTを立ち上げ、2015年9月に事務局の「サイバーセキュリティ対策室」を設置、IT本部を中心としてセキュリティ対策の企画・検討、導入等に取り組んでいる。

＜２．『共創型』セキュリティ対策＞

＜（１）業務改革（DX）、働き方改革推進＞
当社の課題に労働生産性の低さ、中堅社員の離職率が上がる、従業員の満足度が高くない等があった。その対応策として業務改革（DX）、コミュニケーション効率化、働き方の多様化を実現した。

業務改革（DX）では主に2点対応した。
1点目は複数あった顧客応対システムの一元化。業務効率が低いという課題を3つ課題に分解し、入電時の顧客情報の自動表示や対応パターンのナビゲーション化、APIによる複数システム間連携を業務・システム一体となって対応した。
2点目はRPA（Robotic Process Automation）。2012年に導入開始したが、当初はRPAという用語を認識せずに使っていた。RPA、業務改革を行う専門組織をIT部門に設置し、業務の見直しを含め約200業務を自動化した。

コミュニケーションの効率化では主に3点対応した。
1点目は社内向けのビジネスチャットの導入。社内OAメールでは深夜・休日のインシデント対応で効率性・全社的な円滑なコミュニケーションができない等の課題があり、チャットツールを導入した。今では大型プロジェクトのリリース作業や、事務関連の対応連携など利用範囲が拡大している。
2点目はグループ会社向けのビジネスチャットの導入。社内向けは導入したもののグループ会社とは違うツールを採用したため、グループ間での円滑なやり取りができないことが課題になり、グループ共通のツールをリスク整理・対応した上で利⽤範囲・⽬的を限定して導入した。
3点目はWeb会議システムの導入。会議時に資料を印刷し配布していたが、ペーパーレスを目的にテレビ会議システムの導入から開始し、双方向でのやり取り強化を目的にWeb会議システムを導入した。図らずもコロナ対策になった。

働き方の多様化では、テレワークを導入した。
元々モバイルワークや内線スマホの導入などで執務場所をさほど意識しない働き方が定着していたが、働き方改革を一層進めるため、テレワークを導入した。セキュリティ上の整理だけでなく、人事・法令上の整理も必要で、本格導入までに1年半を要した。

＜（２）直面したセキュリティ上の課題＞
業務改革（DX）ではRPAでセキュリティや開発品質の担保は避けて通れなかった。早く開発する必要があり、既存のシステムリスクのチェックリストは約300項目あるため、そもそもチェックが必要なのかという議論から始めた。当時はガイドが存在せず、独自にリスクシナリオを洗い出し、項目数を抑えたチェックリストを作成した。

コミュニケーション効率化の社内向けビジネスチャットの導入では、4ツールを比較し必要なセキュリティ機能が装備されており操作性を基準に製品を選定した。グループ向けのビジネスチャットの導入では、顧客情報の漏えいなどのリスク低減を中心に検討。他テナントの接続許可やファイル添付の制限等を行った。導入してみると評価が高く利用拡大に向けてDLP等を検討中。Web会議システムの導入も情報漏えい観点を中心にセキュリティを評価した。会議参加者の特定やファイル添付制御等を行った。製品制定には直感的に操作できるかが決め手となった。セキュリティ面だけでなく人事・労務面でも課題が出た。

働き方改革としてのテレワーク導入では、不正アクセスを防ぐために海外IPブロックやワンタイムパスワードを必須化し、VPNではなくHTTPS通信を用いた製品を採用した。また情報漏えいを防ぐため、コピー&ペースト等を禁止し顧客情報の参照権限をすべて返上した者のみ利用可とした。こちらもセキュリティ面だけでなく人事・労務面で課題が出た。

＜（３）クラウド利用における対策＞
昨今、経営環境の変化に応じた柔軟性や対応スピードが求められる中、クラウドの利用が増加している。当社も最初はコスト削減が目的だったが、機器導入の期間短縮等による各種メリットがあり、マルチクラウド化が進んだ。

クラウドのシステムリスクはセキュリティ関連も含め、オンプレとさほど変わらなかった。クラウド特有のリスクに対しては、FISCの「金融機関におけるクラウド利用に関する有識者検討会」の報告書をベースに評価基準を策定した。

クラウドで考えるべきセキュリティ対策は、ゼロトラストセキュリティ対策と言われているが、境界型のセキュリティ対策が有効なケースもあり、そのまま適用するのは違うのではないかと考えている。

一旦従来型でサイバーキルチェーンをベースに、入り口対策、内部対策、出口対策と既存ソリューションで代替できるものがないか等を含め検討を進めた。入口や内部対策はさほど変わらないが、出口対策はシャドーITや攻撃者等の個人テナントへの情報持ち出しの可能性があるため対応強化の優先度は高い。諸々の対策が済んだ後は、本当に守れているか検証することも大切だ。当社では約4年前にCASBのPOCを行った。そのときは何も見つからなかったが、クラウド利用が増加している現在では何かが見つかる可能性はあるため再検討している。

＜（４）『共創』について＞
働き方改革や業務改革は、各部から積極的・具体的なニーズが出づらく実現に苦労した。「あったら嬉しい」という声はあるものの、案件化してまで実現したい部署が出づらかった。解決策としてPOCで価値を実感してもらう、プロジェクトとして社内体制を整備し各部に参加してもらう等を行い、経営には適宜、現場の意見をエスカレーションして必要性について判断を仰いだ。「うちの部署は使わない」という人もいたが、その部署の別の人に話を聞くと、「うちの部署でも使いたい」という場合もあった。経営やプロジェクトの合意だけではなく、広く社員の意見を聞きながら検討していくべきだと考える。

人事制度、労働法への対応は、テレワークとビジネスチャットを念頭にお話しする。まず導入の主目的の明確化が大事だ。対象者の範囲や人数、留意すべき事項も変わり、使えてしまう事のリスクを確認する必要があるため。当社の場合は、介護、育児を行う人への配慮が出発点になった。テレワークの場合いつでも使えるようになるため、時間外でのアクセスが逆にデメリットになるケースの整理が必要だった。

また最終的には利用者が使いやすいルールでないと意味がない。当社ではトライアルの中で意見を取込み、出勤時と同様のパフォーマンスを目指すことを掲げて上司の許可を得られるようにしたり、対象者を会社指定から希望者に変えたり、時間外労働の禁止や回数上限を撤廃した上で本番導入した。あとは労働法に準拠するように勤務規則や誓約書を整備した。コロナ後もこれがスタンダードになる経営判断が重要だった。

＜３．最近の動向と対策＞

最近の動向と当社での対策についていくつかご紹介する。

経済安全保障推進法について。
重要システム設備導入時の事前審査の対象となる特定社会基盤事業者の条件は、現時点の案では銀行業では金融庁から預金残高10兆円以上、または口座数1000万口座以上、またはATM台数1万台以上で、約60の金融機関が該当する。
当社はこの条件を満たしてないが、口座数が数年後には該当すると予測されるため情報収集を進めている。
2022年2月から調達制限の対象に、米国の国防権限法が「安全保障上の脅威がある企業リスト」として定義している特定の会社を追加し別の会社の製品への切り替え等を対応済み。

サプライチェーンについて。
IPAの2023年の情報セキュリティ10大脅威の2位で年々順位が上がっている。当社でも親ロシア派のハクティビストによる鉄道会社のDDos攻撃の巻き添えや、提携企業の情報漏えいによる機器関連情報の漏えい等が発生している。対策として委託契約のないクラウドや外部サービスでもチェックリストを用いたリスク評価を行っている。
ASM（アタックサーフェスマネジメント）もセキュリティレイティングサービスを2023年2月から利用している。週単位で評価基準や点数・対象が変わるため対応に苦労している。

不正送金について。
フィッシング対策協議会の月次レポートを見ると、2023年2月頃から悪用されている金融系ブランド数が増加しており、フィッシング被害は増加している。当社でも被害あり。
DMARCはフィッシング等によるなりすましメール対策の一種で、メール受信側が検知したメールに対して、なにもしない、隔離、拒否の指定ができる。当社では2021年8月にDMARレポートでの監視を目的にDMARCを「何もしない」で登録した。
監視の結果、ドメインのなりすましメールはほぼ発生していなかったが正規メールの視認性向上のために、DMARC解析ツールを導入し影響を確認・対応した上で、2023年6月に「隔離」に変更した。
現在は正規メールの視認性向上を検討している。BIMI（Brand Indicators for message Identification）、Yahoo!メールブランドアイコン、ドコモ公式アカウントを導入視野に入れている。そのうちBIMIはVMC（認証マーク証明書）やアイコンの商標登録等が必要で、対応に時間がかかる見込み。

ロシア、ウクライナ侵攻について。
2022年2⽉の開戦後、特定国のIPのモニタリングを強化した。週次で経営層が参加する会議体での報告は停⽌済だがモニタリング強化は継続中である。当社を狙った攻撃はないものの、Killnetの攻撃の巻き添え事象は複数回発⽣しており、やめるタイミングが難しいと感じている。

生成AIについて。
2022年11⽉にChatGPTが公開されて以降、⽣成AIの利⽤が国内で増加している。当社ではAIに特化したガイドラインが無かったため併せて制定中である。

＜４．まとめ＞

DXや各種施策を進む中、クラウド利用の拡大は避けられない。マルチクラウド化が進んでいくだろうが、サイロ化には注意が必要だ。社内で「こういうのやりたい」となった時、すぐに新規サービスを導入するのではなく、既に利用しているサービスで対応できないか検討し、不必要なサービスの増加を防ぎたい。

今後のセキュリティ対策は、既存のベースラインのセキュリティ基準で整理はしつつ、クラウド通信の可視化・制御がポイントだ。現場と経営を繋げてより良いものを作る・提言しやすいのは2線・3線部署だと考えており、現場の空気をエスカレーション、適切な報告をすることによる合意・共創が重要なのではないかと考える。

導入したが使ってもらえない、その結果他の施策で非協力的になる、一部の部署・利用シーンでは効果がない等、そうならないように経営と共創していくことが施策、セキュリティ対策の実効性確保の鍵と考える。