左から、ゼットスケーラー Account Executive 竹中 大智氏 、ゼットスケーラー CISO in Residence (Japan) 深谷 玄右氏、ゼットスケーラー Sales Engineer, Enterprise 大林 有子氏、ゼットスケーラー Account Executive 清水 沙希子 氏
多くの金融機関が既存事業の効率化、外部企業との協業や新規事業の展開を模索している。そこで大きな障壁となるのが金融機関のシステムだ。多くの金融機関が老朽化したシステムの見直しを進めているが、金融庁や金融情報システムセンター(FISC)が策定するガイドラインに準拠しながらDXを進める必要があるという。企業のビジネス変革をセキュリティ面から支援するZscaler 日本法人CISOの深谷氏、セールスエンジニアの大林氏、また、金融機関を担当するアカウント・エグゼクティブの竹中氏、清水氏の4名に金融機関の現状や対策の要点を聞いた。
「部門横断」で行うからこそトップダウンで
金融機関におけるセキュリティリスクの高まりは、昨今の報道からも明らかだ。銀行などを標的としたサイバー攻撃は増加し、システムの復旧と引き換えに金銭を要求する「ランサムウェア攻撃」や、大量のデータを送りつけてサーバーに障害を起こす「DDoS攻撃」など、内容も複雑化・高度化している。
こうした外部環境に加え、金融機関の内部状況を見てもセキュリティ強化は急務になっている。実際に金融機関とやりとりしているゼットスケーラー アカウント・エグゼクティブの竹中大智氏が詳しく説明する。
「従来の金融事業の成長が期待しにくい中で、新規事業を模索する金融機関が増えています。特に地方銀行では顕著でしょう。そのために企業買収や外部企業との提携などにより外部のシステムとの連携を行うケースも多く、社内ガバナンスの複雑性が増すため、セキュリティ対策が必要になっています。一方でIT人材も不足しており、人海戦術でセキュリティを強化するのは難しい。どのように対策を取るか、喫緊の課題となっています」
ゼットスケーラー Account Executive 竹中 大智氏
そもそも金融機関は、「事業成長のために合併を行っていることが多く、システムやセキュリティの複雑性は高いといえます」と話すのは、同じくアカウント・エグゼクティブとして金融機関と対面する清水沙希子 氏。「仮に合併する2社のシステムを統合する際、どちらのセキュリティにレベルを合わせるかなど、細やかな調整を重ねています」
金融機関のシステム自体が転換期に差し掛かっていることも、セキュリティ強化の背景にある。かつてはオンプレミスが主流だったが、ここ数年でクラウドに移行するケースが増加した。ネットワークやサーバーなどのITインフラをクラウドで利用する「IaaS」へ舵を切る機関も多い。
ゼットスケーラー Account Executive 清水 沙希子氏
その背景には、人手不足の中でリモートワークを可能にして従業員の確保につなげたいという考えや、そもそも老朽化したオンプレミスを継続使用するのは現実的ではないという事情もある。こうした中で、オンプレミス時代とは異なるクラウド用のセキュリティ対策が必要になっている。
「もはやこの課題は、情報システム部門だけでなく、経営層が主体的に取り組むべき項目となっています」。そう話すのは、ゼットスケーラー CISO(最高情報セキュリティ責任者)を務める深谷玄右氏。理由として、以下のような考えを述べる。
「安全性の高いシステムを構築するには、開発の初期段階からセキュリティの視点を盛り込んで設計する『セキュリティ・バイ・デザイン』の実践が重要です。建築において、建物の完成後に骨組みを変えようとすれば多大な費用がかかるのと同様で、システムが出来上がってからセキュリティ機能を補強するとコストが膨らむのです。だからこそ、システム構想の段階から関われる経営層 が、トップダウンでセキュリティを重視することが不可欠です」
ゼットスケーラー CISO in Residence (Japan) 深谷 玄右氏
加えて、金融機関でセキュリティ対策を進める上では、社内ネットワークやITインフラを管轄する部門と、セキュリティを担当する部門が横断で取り組む必要がある。2つの部門をまとめ、足並みを揃えて進めるには、経営層の関与が求められるだろう。
実際に、さまざまなセキュリティのガイドライン・規格書を見ると「セキュリティ対策は経営層が向き合うべき項目」という主旨の記述があるという。
FISCのガイドラインで重視される「冗長性」
金融機関がセキュリティ対策を取る際は、上述したようなガイドラインを手掛かりに進めることが1つの手段となる。代表的なものが「金融機関等コンピュータシステムの安全 対策基準・解説書」、通称「FISC安対基準」だ。金融機関の基幹システムに始まり、ATMや社員が業務で使うITツールまで、安全確保の方策・手順が広範かつ具体的な内容で示されている。
「多くの金融機関では、FISC安対基準を最低限のベースラインとしてチェックリストを作り、自社のシステムやIT環境、新規に導入するITソリューションが基準を満たしているかを確認し、満たしていなければ必要な安全対策の追加を行っています。業界標準のガイドラインになっていますね」(深谷氏)
FISC安対基準は、IT機器やツールの普及が進み始めた1985年に初めて発表され、その後、内容が更新され続けてきた。先述のように、オンプレミス主流の時代におけるセキュリティ対策から始まり、現在はクラウドのシステム管理における項目も設けられている。
その中でも注目すべきポイントとして、クラウド利用における「冗長性の保持」を挙げるのは、ゼットスケーラー セールスエンジニアの大林有子氏。ITにおける冗長性とは、システムの障害やトラブルに備えて予備を用意していること。「仮にクラウドが利用できなくなった場合、“迂回ルート”のようなアクセス方法を設けてシステム利用を継続できるようにする、業務停止リスクを排除するといったことが冗長性の一例です。こうした点の強化もFISC安対基準で重視されています」
クラウドの大きな特徴は、システムの核となる部分を他社――多くはクラウド提供元企業が管理していること。そのため、仮にクラウド提供元企業のサーバーやデータセンターで障害が起きれば、ユーザー各社のシステムが止まるリスクがある。こうした際の冗長性確保が重要になるという。
オンプレミスの時代は自社内でシステムを管理していたため、それらに障害が起きた際の冗長性も自前で構築することができた。しかしクラウドは他社管理になるため、冗長性の確保が難しくなる。かといって、老朽化対策が必要な オンプレミスを今後も継続使用するのはコストや将来性の観点で厳しい面があり、また自社管理するだけの人材も必要になる。「その分、ITを使った新たなプロジェクトに人やお金を投入しにくくなります」と大林氏は話す。だからこそクラウドへのシフトが進んでおり、その中での冗長性確保が求められている。
ゼットスケーラー Sales Engineer, Enterprise 大林 有子氏
「金融機関で重視するのは『いかに業務停止リスクを低減するか』です。人々のライフラインであるお金を扱う以上、クラウドが止まっても金融機能が停止しない仕組みを作る必要があります。FISCの基準でもその点が重視されているのです」(深谷氏)
なお、昨今の情勢を見て、金融庁でも2024年10月に「金融分野におけるサイバーセキュリティに関するガイドライン」を発表した。扱う項目が広いFISC安対基準に対し、金融庁のそれはサイバーセキュリティに特化した内容になっているという。「サイバー攻撃の増加と、一方で金融機関のDXが進んでいることを背景に、国としてもこうしたガイドラインを策定したのではないでしょうか」(大林氏)
障害時にも機能を継続させる仕組みとは
Zscalerでは、FISCや金融庁のガイドラインを満たすソリューションを数多く提供している。クラウドが登場して間もない2007年にアメリカで創業し、いち早くクラウドセキュリティの仕組みを構築してきた。
同社が提唱するのは「ゼロトラストアーキテクチャ」と呼ばれるセキュリティモデル。社外のインターネットと社内のネットワークを分けず、全てのアクセスに対してセキュリティ機能をつける考え方だ。従来のように社外のアクセスだけにウイルス検知機能などをつけるのではなく、ネットワーク内部からのアクセス、例えば社内PCなどからの接続も安全と決めつけず、いかなる場所・デバイスについても防御可能な環境を作るといえる。
先述した「クラウドの冗長性」についても、同社は工夫を凝らしているという。Zscalerのクラウドサーバーが何かしらの理由でダウンしても、予備の機能が働くようになっている。
その仕組みを説明すると、Zscalerの通常利用時では、インターネット上にクラウドサービスとして構築されているセキュリティ基盤「Zero Trust Exchange」を利用し、インターネットへのアクセス、社内へのリモートアクセスを安全に利用できるようになっている。この利用方式の場合、社内に閉じたい通信であっても、一旦、インターネットを経由してクラウドに送られることになる。そこで、Zscalerでは、社内に閉じた通信を実現するためクラウドサービスを仮想サーバーとしてオンプレミス環境に構築できるようになっている。このサーバーはPrivate Service Edge(PSE)と呼ばれているが、PSEがクラウドと同じ機能を提供することで、社内に閉じたい通信はインターネットに出すことなくゼロトラスアクセスを実現できる。一方、PSEがクラウドと同じ機能を提供できるため、クラウドがダウンした場合は、クラウドを利用していた通信もPSEに迂回させることで、耐障害性を持たせている。
仮にZscalerのクラウドサーバーがダウンしても、ZPA DRで社内システムへのアクセスを継続できる。拡大画像表示
「仮にクラウドがダウンした場合、社内に設置したPSEがその分も補うことで機能を止めないようにしています。なお、この切り替え指示を端末に出すのにはDNSサービスを利用しており、Zscaler以外の第三者機関が提供するサービスであるため、万が一、当社のクラウドに障害が起きても、今お話しした切り替えを外から行える設計となっています」(深谷氏)
障害発生時だけではなくさまざまなユースケースに利用拡大画像表示
Zscalerのソリューションは幅広く、この他にも金融機関がFISC安対基準を満たすために寄与するものが豊富にあるという。金融機関が新たなシステムを導入する際、FISCの基準と照らし合わせて、一項目ずつ要件をクリアしているかチェックするケースも多いが、「すでに基準を満たしている当社ソリューションを入れることで、ガイドラインへの対応をスピーディに進めることが可能です」と竹中氏は話す。
大和証券や七十七銀行、佐賀銀行など、Zscalerを導入する金融機関は増えている。とりわけ大和証券はその取り組みを推進しており、社内の専用ネットワーク回線を無くそうとしている。
というのも、Zscalerの掲げるゼロトラストを実践していけば、「最終的には社内ネットワーク回線がいらず、すべてインターネットで業務が行えます。私たちが実現したいのはその世界です」と竹中氏。大和証券はそこに向けて歩を進めている。
「提供したら終わり」ではなく変革を後押しする
Zscalerでは、FISC安対基準の各項目に対して、同社がどのように基準を満たしているかを一覧化したホワイトペーパーを発行する予定だ。また、上述した金融庁のガイドラインについても、金融機関が基準を満たすために活用できるソリューションの一覧を今後公開するとのことだ。
こうした取り組みを通じて、同社は企業のビジネス変革をサポートしていく。「私たちはセキュリティ会社ではなく、お客さまの変革を後押しする企業です。セキュリティはあくまでそのためのツールに過ぎません」と深谷氏。「最初から特定のソリューションについてご相談いただくだけでなく、お客さまの課題を幅広く伺いながら、一緒に解決策を考えていきたい」という。
清水氏も「私たちはソリューションを提供したら終わり、という会社ではありません」と口にする。同社の日本法人スタッフは、約3分の1がカスタマーサクセスや顧客サポートに従事するなど、“提供後”の支援に力を入れている。「ソリューションの運用中もお客さまの困りごとを聞きながらより良いものを構築していきます。小さなことでも構わないので、ぜひ気軽にご相談いただければと思います」と続ける。
新事業への挑戦やシステムのクラウド移行など、転換期にある金融機関。こうしたビジネス変革を着実かつ安全に進めるために、足場となるセキュリティを固め、リスクを低減することが重要になる。ゼットスケーラーはその足取りをサポートしていく。
