近年の脅威の高まりに対応するためセキュリティ対策の強化を図る

日産証券は、1948年に創業して以来、「顧客本位」と「地域密着」を経営方針とし、また、めまぐるしく変化する経済環境、金融情勢及び顧客の投資ニーズに対して迅速かつ適切に対応すべく、M&Aによる業容の拡大、地域補完を行ってきた。現在は、株式や投資信託などの金融商品から商品先物取引、FX取引、CFD取引など、多様なデリバティブ商品も取り扱い、対面取引だけでなく、インターネット取引やコールセンター取引などにも対応し、サービス環境を整備している。

このように幅広い商品を扱っている同社は、金融事業者として顧客が不安なく取引できる体制を整える必要があり、これまでもさまざまなセキュリティ対策を進めてきた。

具体的には、社員が証券顧客の各種照会や発注などを行う端末のネットワークは、インターネットと完全に分離。株価情報を閲覧したりWebやメールを利用したりする際には、別途インターネットに接続した他の端末を利用することで、情報漏えいなどのリスクの低減を図っている。また、これらインターネットに接続した端末についても、ウイルス対策ソフトの導入をはじめ、操作制限や操作ログ取得などの対策をとってきた。

とはいえ最近のサイバー攻撃はますます高度化・複雑化しており、こうした脅威の高まりを考えると、これらの対策も十分とは言えなくなってきた。執行役員 情報システム部長の早川智史氏は「当社では各種クラウドサービスの利用を積極的に進めていることもあり、端末のインターネット接続を止めることはできません。そこで、利便性を落とさずにセキュリティ対策を強化するため方策を検討することにしました」と語る。

従来と同様の環境／ブラウザが使える迅速・容易な導入が可能な点も評価

日産証券は、インターネットに接続する端末の環境全体を見直すことを決定。現時点で可能な最善策をとることを前提に、2016年より検討を開始した。3月には以下の3つの方針を定めている。

1. インターネット接続をホワイトリスト方式に移行して、安全な特定のWebサイトへのインターネット接続はホワイトリストで許可
2. 振る舞い検知型のメールセキュリティサービスを導入
3. 不特定のWebサイトへのインターネット接続は、インターネット分離ソリューション（仮想Webブラウザ）を導入

これら3つの方針をベースに検討を進めた同社だったが、③のインターネット分離ソリューションの導入については製品選定が難航していた。検討していた他社製品は、仮想環境に接続して閲覧するまでにログインなど認証の手間がかかる、利用できるブラウザが限定されるなどの課題があり、機能面でも満足いくものではなかった。中でもブラウザの制限は厄介で、同社は各種クラウドサービスを利用する際に複数のブラウザを使っており、これらが使えなくなると業務が進められなくなってしまう。

そんな中、同社は2016年11月に分離／無害化ソリューション「Menlo Security」の紹介を受ける。このサービスの特徴こそ、同社がまさに求めていたものであった。「それまで検討していた他社製品とは違い、Menlo Securityは従来と変わらない環境／ブラウザをそのまま利用できます。これならユーザビリティに影響を与えることなく、セキュアなWeb閲覧環境が実現できると考えました。また、クラウドサービスなので迅速・容易に導入できるというのも評価したポイントでした」（早川氏）

同社は2017年1月よりPOC（Proof ofconcept/評価）を開始、Menlo Securityの導入を決定した。

完全に安全なWeb閲覧環境が実現 運用管理の負荷も大幅に削減

Menlo Securityの導入にあたっては、各端末に証明書とプロキシを設定。これらの作業は1カ月で完了し、2017年3月から全社での使用をスタートさせた。こうしたスピード感はクラウドサービスならではの大きなメリットだ。

同社では、Menlo Securityを多段プロキシ構成で利用している。インターネット接続が可能な端末のうち、一日の閲覧回数や閲覧先が限定されているユーザについては他社の仮想Webブラウザを利用、業務の上で不特定のWebサイトの閲覧が必要なユーザはMenlo Securityを利用している。
「仮想Webブラウザについては80の同時ユーザライセンスを確保し、メインのMenlo Securityと使い分けています。以前はWeb閲覧に対する脅威に対して社員に繰り返し注意を促しながら、ブラウザのセキュリティパッチ適用に加えFlashやAcrobat Readerなどのアドオンに対するセキュリティ更新対応の負担もありました。しかし今でMenlo Securityの導入によって全てのサイトが分離・無害化されて、完全に安全なWeb閲覧環境が実現したことで、利用者側の脅威に対する心配もなくなり、計画的にセキュリティ対応が実施できるようになりました」（早川氏）

実際にサービスが稼動してから3ヵ月以上経っているが、「Webサイトが閲覧できない」「レスポンスが遅い」などの苦情はほとんどないという。情報システム部 課長の松本卓矢氏は「導入当初は一部のクラウドサービスが動作しないなどの問題も発生しましたが、迅速に解決してくれましたし、今ではそういうこともありません。クラウドサービスなのでシステムの面倒を見る必要がありませんし、偽セキュリティソフトに引っかかるなどして社員が問い合わせてくることもなくなりましたので、運用管理の負荷は大幅に削減されました」と語る。

このほか、Webサイトにおけるファイルのアップロード／ダウンロードに対して制限や無害化がかけられる点、ブラウザ以外のアプリケーション通信の制御が可能な点なども製品選定の理由であったという。

金融事業者ならではの事情に対応 常にシステム環境を最新の状態に保つ

日産証券は、同社のWeb閲覧環境のセキュリティ対策について、現時点で最善の状態になったとみている。しかしセキュリティ対策に終わりはない。また、定期的な基準の見直しや主務省等からの監査対応など、金融事業者ならではの事情もある。
「利用ブラウザや閲覧サイト等の状況把握や分析にMenlo Securityのレポーティング機能を活用しています。今後は、OSからアプリケーションまで常にシステム環境を最新状態に保つべく、更に検討を重ねていきたいと考えています」（早川氏）

User Profile