SaaS利用の安全性を守るため、セキュリティ対策を強化したい

2021年5月に開業した株式会社みんなの銀行（以下、みんなの銀行）は、デジタルネイティブ世代をメインターゲットとした、まったく新しい銀行を目指すデジタルバンクである。同行は業界に先駆けてバンキングシステムをフルクラウドで構築。口座開設からATM入出金、振込などのすべてのサービスがスマートフォン上で完結できるよう、ゼロベースでバンキングシステムを設計している。2021年5月よりサービスの提供を開始したが、開設された口座数はすでに約50万口座（2022年12月時点）に及ぶ。そしてみんなの銀行のバンキングシステムの開発・運用を一手に担っているのがゼロバンク・デザインファクトリー株式会社（以下、ゼロバンク・デザインファクトリー）だ。同社は新しいデジタルバンキングシステムの開発を通じて新たな価値の創造を目指すとともに、銀行ビジネスへの新規参入を目指す他企業へのシステム提供も計画している。

さて、みんなの銀行では数多くのSaaSサービスを利用しているが、常に留意しないといけないのがセキュリティである。特にアクセス権限等、セキュリティにかかわる設定に不備や考慮漏れがあると、情報漏洩などのインシデントに繋がってしまうため、その確認には正確性が求められる。しかし、近年のSaaSは設定が複雑化しており、機能の追加や変更も頻繁に発生するため、一度設定したとしてもそれがずっと正しいかどうかはわからない。みんなの銀行 サイバーセキュリティグループ マネージングディレクターの高橋明氏は「当行でもバンキングシステムの安全性を高めるため、以前よりIaaS、PaaSなどの設定の安全性を評価するCSPM（Cloud Security Posture Management）製品を導入していました。しかし、この製品はSaaSまでカバーできておらず、設定の確認は人手に頼っていたのです。そうした中、2020年末に、あるSaaSにおいて、設定不備から情報を第三者が閲覧できてしまうというインシデントが国内で発生しました。このSaaSは当行でも利用していたため、あらためて対策強化の必要性を感じました」と語る。

主要なSaaSをすべてカバー、PoCで機能が十分なことを確認し採用

そこで、みんなの銀行では、SaaSまでカバーできる製品がないか調査を開始。「Adaptive Shield」の存在を知った。日本の金融機関によるサイバーセキュリティに関する情報の共有および分析を行う一般社団法人金融ISAC（以下、金融ISAC）の会合において、他の金融機関から情報を得たのである。

「もともとマクニカから『Prisma Cloud』を導入しており、同社がAdaptive Shieldの代理店でもあったことから、さっそく問い合わせてみることにしました」（高橋氏）

マクニカよりAdaptive Shieldの概要について説明を受けた同行は、2022年3月頃PoCを実施した。このPoCでは、同行が利用しているSaaSにAdaptive Shieldが対応しているかどうかを確認するのが一番のポイントだったという。

「当行が利用しているSaaSは約30種類ありますが、AdaptiveShieldはそのうち主要な9種、具体的にはSalesforce、Office365、SharePoint、Intuneなどについてカバーできていました。ほかに確認したい点としては、誤検知がないか、検知項目数はいくつか、アラートをしっかり上げてくれるのか、SIEM連携が可能かといったものがありましたが、Adaptive Shieldは期待にしっかり応えてくれました」（高橋氏）

そこで同行はAdaptive Shieldの正式採用を決定。本番運用へ移ることになったが、Adaptive Shieldに検知された項目について、一つ一つ社内で評価していく過程に苦労があったという。「まず、私たちセキュリティのチームが一次評価として判定を下した上で、各SaaSの担当者と協議し、対処が必要かどうかを決めていきました。SaaSによっては、検知項目が多く、何時間も社内でディスカッションし、是正の要否を判断していきましたね」（高橋氏）

このように効果をしっかり確認したのち、同行は2022年7月より本格的に運用を開始した。本番利用時にはPoCの環境を活かし、SaaS連携の再設定が不要であったため、スムーズに利用開始ができたという。

情報が一覧化・可視化されリスク管理が容易に、国際的なセキュリティ規格にも準拠

Adaptive Shieldの効果について、みんなの銀行 サイバーセキュリティグループ グループリーダーの二宮賢治氏は「情報が一覧化・可視化されたことで、リスク管理が容易になりました。インターフェースも使いやすく、状況を直感的に理解できるので、操作に戸惑うことはほとんどありません。なにより、従来とは違い設定状況をしっかり確認できているという安心感が大きいですね」と語る。

運用の開始後も、検知された項目の評価は続いている。例えば Slack について設定を見直したところ、セッションタイムアウトの間隔は環境によって異なる設定を行っており、どの程度が適切なのか社内でも議論になっていた。

「Adaptive Shieldは、CISやSOC2など国際的なセキュリティ規格に準拠しており、このようなケースではこう設定すべきと提示してくれます。おかげで、設定に関する指示を客観的な裏付けをもって説明できるようになりました。利用しているSaaSは親会社であるふくおかフィナンシャルグループと共同利用しているものもあるため、親会社のセキュリティ担当者にも検知内容などを還元しています」（高橋氏）

また、Adaptive Shieldの導入により、運用負荷が軽減されたのもメリットだ。

「何か設定に問題があったときは、アラートメールで通知してくれます。またSIEMとの連携により、数多くのアラートを一覧で確認できるため、余計な負荷がかかりません」（高橋氏）検知された項目の中には、SaaSの担当者も把握していたが、手が回らず、対応できていなかったものもあるという。

「Adaptive Shieldは、検出されたリスクの中から優先して対処すべきものを順位付けてくれるので、対応に手を付けやすくなりました。また、SIEM側でアラートごとにコメントを付けることにより、このアラートにはこう対処するという方針をメンバー間で共有できるような工夫もしています」（二宮氏）

対象とするSaaSを増やし、セキュリティ対策の強化を図る

みんなの銀行では、今後もSaaSの利用を増やしていくことを検討している。

「その意味では、利用することの多い国産のSaaSへの対応について、アップデートを望みます」（高橋氏）

また、APIを使った連携により、セキュリティに関する情報をSIEMに集約し一元化。漏れのない対策をとれるようにすることも目指していく。

「今回の導入では、ベンダーに問い合わせを行う際も間にマクニカが入ってくれたため、日本語でやり取りでき、スムーズに回答がもらえました。今後も引き続きサポートを期待しています」（二宮氏）