「金融DX推進を支えるITインフラとは～CX向上のITインフラ戦略～」

金融 DX 推進を加速させるためにはクラウド活用を促進させると共に、クラウドとオンプレミスに分散されたリソースをセキュアに連携させ、顧客体験向上を図れる IT インフラが必要となる。本講演では、金融ＤＸ推進を支え、顧客体験を向上させるIT インフラ戦略に必要な要素について説明する。

<フォーティネットとは>

フォーティネットはNetScreen Technology社の創業者でCEOを務めたケン・ジーが2000年に創業した会社だ。当初は統合型の脅威管理製品を提供していたが、現在はネットワーク機器からセキュリティ全般まで取り扱う。ID・アクセス管理やアクセスポイント、ゲートウェイ、クラウドセキュリティなど、ほぼ全てのセキュリティを網羅している。取り扱う製品は50以上に及び、フォーティネットのセキュリティ・ファブリックの形で、フォーティネットOSをプラットフォームとして全体として連携している。業績も好調で、米国株価指数であるNasdaq100とS&P500ともに、構成銘柄として採用された。ASICを独自に設計・開発しているのもフォーティネットの特徴だ。これによりハイパフォーマンスの製品を提供し、特許も数多く取得している。

ポジショニングに関しては、世界で最も導入されているファイアウォールである。IDCの市場調査ではファイアウォールの全出荷台数の3分の1　以上がフォーティネットであり、トップシェアを獲得している。ガートナー社のマジックアワードにおいては、SD-WANとネットワークファイアウォールの両方において、リーダーの1社として認められた唯一のベンダーだ。

<不確実な時代のDXとサイバーセキュリティ>

COVID-19パンデミックにより非常事態宣言が発出され、テレワークの要請、三密の回避、マスク着用などが要請された。消費者行動やビジネス活動に大きな変化をもたらした。非対面での営業サービスの提供、非接触型のデバイスの活用、在宅勤務の拡大といった形で、ビジネスプロセスの大きな変化に対応しなくてはならなくなった。クラウドサービス、スマートデバイス、リッチコンテンツなどの活用で、デジタルトランスフォーメーション（DX）が進み始めた。パンデミックにより予測不可能な時代になってきている一方、データ駆動型ビジネスも国内で浸透しつつある。

不確実な時代でDXを推進するには、迅速な意思決定とリスク抑制の両輪を回していかなくてはならない。意思決定について具体的には、現状観察、仮説構築、意思決定、実行の4つの要素で構成される「OODAループ」を回していくことになる。リスク抑制に関しては、サイバーレジリエンスの強化が必要だ。デジタル技術に対するセキュリティの監視を行い、問題が発生したら改善することで、サイバーレジリエンスを高めていく。

この両輪を回すことにより、5つの変革が起こる。特に顧客の変革（CX：カスタマーエクスペリエンスの向上）が重要なポイントで、顧客に加えてパートナーや従業員とのエンゲージメントも高めていく必要がある。

<金融DXによる新たなデジタルエコシステム>

金融DXにおいて顧客の期待も多様化しており、シームレスなデジタル製品の提供、パーソナライズされた体験を求めている。一方で各国の当局による法規制があり、各種ガイドラインやプライバシー法等に対応しなくてはならない。フィンテック、レグテックといった市場力学にも対応する必要がある。今後の金融市場はBaaS(Banking as a Service)やBaaP(Banking as a Platform)といった、プラットフォームベースのモデルを介した新しい金融サービスの提供が進むだろう。異業種連携やイノベーションの促進には、機敏性・拡張性・強靭性・効率性・迅速性が必要となる。その実現のためにクラウドが中心的な役割を担う。

<今後求められるIT基盤>

DXやCXを向上させる取り組みを推進するには、ロケーションを問わずにリソースを利用できる環境を整えなくてはならない。よってリソースを活用するユーザーやデバイス、場所は多様化することになる。アプリケーションにおいても、リソースの配信はオンプレミス環境からマルチクラウド環境へと分散させていく結果、分散型エンタープライズシステムが出来上がる。それらが使っているデータをうまく連携させることが、今後求められるIT基盤だ。

必要な要素は3つあり、まずビジネスニーズに俊敏に対応できる拡張性だ。2つ目はあらゆる形態のインフラに渡る可搬性、3つ目は一貫性のある運用で信頼性を高め、強靭化を向上させることだ。特にCXの向上においてこれらは重要な要素となる。

<分散型エンタープライズにおける脅威リスク>

顧客・パートナー・社員とのエンゲージメントを強めていくと、外からのアクセスが広がり、リソースもクラウド上に分散されていくことになる。それにより攻撃対象も拡大していき、境界防御だけでは保護できない状態になる。そこでゼロトラストの考えに基づいたセキュリティ対策が必要だ。全ての通信を保護し、アクセス要求の度に認証・認可を行う。また全ての資産・リソースに対して状態を監視し、インシデントが発生した際にはすぐに改善する。

<ビジネスニーズに対する俊敏性と拡張性、そして信頼性>

クラウドアプリケーションはエンタープライズと異なり、不特定多数による利用が前提だ。ユーザーのコンテキスト情報は基本的に薄い状態にある。そのため多要素認証により、パスワードだけでなく生体認証やリスクベース認証といった情報を集めて認証させ、デバイスにおけるセキュリティ体制も含めてコンテキスト上で監視することが必要だ。これらのテクノロジーはバラバラではなく連携させて動く必要があり、フォーティネットも対応できる。

DevOps環境へのセキュリティも重要だ。クラウドワークロード保護により、データの防御、マルウェアの検知・分析、クラウドアプリケーションの脆弱性の判定といったことをしっかり行う。さらにアプリケーションのマイクロサービス化により、コンテナセキュリティも重要になる。フォーティネットにおいても、それぞれのテクノロジーに対応できる商品を用意している。

<サイバーレジリエンス（リアルタイム検知と自動対処による強靭性向上）>

従来SIEM(Security Information and Event Management)によるログ中心の検知ということで、どちらかというと事後の話で検知をしていた。現在は皆様もお使いになられているようなEDR(Endpoint Detection and Response)やXDR(Extended Detection and Response)によって、リアルタイムで検知され、そこで対処されるようになっている。ただしサイバー攻撃が高度化しているため、対処もリアルタイムで行うことが必要だ。

そこでSOAR(Security Orchestration, Automation and Response)というツールを使い、プレイブックに対処法を登録し、攻撃に対して自動対処することができる。ネットワークとセキュリティ統合運用において、全体をまず監視していきながらさらにAIで分析し、何か問題が発生したらSOARで自動対処していく流れだ。こういったループを回していくことで、サイバーレジリエンスを高めることに繋がる。フォーティネットにおいてもそれぞれのテクノロジーにおいて製品群を提供しており、全てセキュリティ・ファブリックという形で統合連携しながら稼働している。

<まとめ>

最後に本セッションのまとめとして3点お伝えする。1点目に、不確実な時代では常に状況を把握し意思決定を行うOODAループのプロセスによって、リスクを抑制しつつDXを進めることが重要だ。2点目として、金融DXではクラウドが中心的な役割を担うため、ゼロトラストの考えに基づいたセキュリティ対策が必須となる。3点目に、金融DXでCX向上を図るためのIT基盤では、俊敏性・拡張性・信頼性そして強靭性が求められる。こういった要素を含めたテクノロジーを活用することにより、金融DXの推進がより加速していくと考えている。