Menlo Security

メンロセキュリティ

筑波銀行様

VDI脱却を目指し仮想ブラウザ方式に刷新
運用コストの大幅な削減とともに
行員のストレス解消や業務効率化を実現

導入のPOINT

  • 5年間で約35%超のランニングコスト削減
  • インターネットへの同時接続数を拡大
  • 内製による運用が可能な容易さと手厚いサポート
高崎 隆行 氏

筑波銀行
事務統括部 システム企画グループ 主任調査役
高崎 隆行 氏

塩崎 晴章 氏

筑波銀行
事務統括部 システム企画グループ 調査役
塩崎 晴章 氏

VDI方式のインターネット分離基盤で生じた同時接続数の制限やコスト上昇の課題

 2010年3月に関東つくば銀行と茨城銀行が合併して発足した筑波銀行は、「地元中小企業の積極的な支援」を重要施策の1つに掲げ、豊かで持続可能な地域社会づくりに貢献しています。またSDGsにも積極的に取り組んでおり、「筑波サステナビリティ・リンク・ローン」や「筑波グリーンローン」といったサービスを中心に、サステナブルファイナンスの実行額を順調に増加させています。

 そんな筑波銀行では、行内業務を支えるITシステムのセキュリティ対策にも注力しています。同行 事務統括部 システム企画グループ 主任調査役の高崎 隆行氏は、「金融庁のセキュリティガイドラインに対応して2017年にCSIRTを立ち上げ、組織横断的なセキュリティ対策を強化しています」と話します。

 この取り組みに先駆ける形で、筑波銀行ではインターネット接続環境を行内ネットワークから切り分ける、いわゆるインターネット分離にも取り組んできました。

 ただ、このインターネット分離の仕組みは多くの課題を抱えていました。同行 事務統括部 システム企画グループ 調査役の塩崎 晴章氏は、「当行では、VD(I 仮想デスクトップ)を利用してインターネット分離を行っていたのですが、契約していたクラウドサービスのホストサーバーにキャパシティの制約があり、各店舗からインターネットに同時接続できる人数は、最大140人程度に限られていました。加えて、技術の進歩とともに銀行でもインターネットを活用した業務が増大したことで、インターネット接続を必要とする行員も600人近くまで拡大し、すぐに利用できない順番待ちが常に発生していました」と明かします。

 VDI方式においては、主に3つの課題を抱えていました。

①ライセンス数(同時接続数)とコストの課題

 同時接続ライセンス数は、VDI導入当初は購入した数量で問題ありませんでしたが、時代の変化と共にインターネット利用のニーズが高まり、リソースが不足するようになりました。そのため、インターネットを利用しようとしてもログインができず、ユーザーからの問い合わせやクレームも増加しました。 さらに、この基盤の契約更新期を迎えて顕在化したのがコストの問題です。VDIを含めたインターネット分離の基盤は契約時のドル円の為替レートをベースに料金が決まります。近年の円安の影響もあり、導入当時より利用料が跳ね上がっていたのです。

 「現在のユーザー数に見合ったリソースの増強を合わせると、VDI継続の場合はコストが3倍程度に膨らむことが見込まれました」(塩崎氏)

②運用負荷の課題

 VDIでは、サーバーが止まったり、クラウドサービス側でIPアドレスが知らぬ間に変更されてしまったり、エラーメッセージが画面に表示されるたびに、自分たちで手順を調べて実行しなければならず、運用負荷が大きいことも課題となっていました。特にファイルのダウンロードについては、ダウンロード用のファイルサーバーの容量がいっぱいになってしまい、ダウンロードができない事態が起きたり、その削除対応に追われたりもしました。またCSIRTの観点からは暗号化ファイルを取り込む際の手順が煩雑となる運用リスクも存在していました。何か問題があっても効果的なサポートを得られないことも多く、運用に疲弊していました。

③生産性の課題

 インターネットを利用したくても、インターネット端末の順番待ちをするために業務が止められてしまうことや、せっかく空いた端末もライセンスの問題で待たされてしまうこともありました。行員がファイルのアップロードを必要とする業務も数分~10分の待ち時間が発生してしまうこともあり、業務に必須となったインターネットを行員が快適に利用できる働きやすい環境が求められていました。

VDIからの脱却を目指し、新たな解決策を模索

 そこで筑波銀行は、VDI 方式に代わる新たなインターネット分離の基盤へのリプレースの検討を開始しました。そして2023年初頭よりPoCを開始したのが、メンロセキュリティのWebアイソレーション(Web分離)「MenloSecurity Isolation Platform」ならびにセキュアWebゲートウェイ「Menlo Securityグローバルクラウドプロキシ」です。(以下、2つの製品をメンロセキュリティと総称)

 「実は以前からメンロセキュリティについては、金融ISACでのカンファレンスや展示会で説明を聞いたり、デモを見たりして、快適にインターネット接続ができることに強い興味を持っていました。また暗号化ファイルのダウンロードについても、メンロセキュリティの仕組みであれば解決できるということが頭の片隅に残っていました。いつか導入したいと思っていましたが、ようやくその機会が訪れました」(高崎氏)

 実際にPoCを通じて触れてみたメンロセキュリティは、十分に期待に応えるソリューションでした。

 「現在の約600人の行員はもとより、将来的にさらにユーザー数が拡大した場合でも余裕をもってインターネットへの同時接続が可能です。セキュアWebゲートウェイを介したパフォーマンスも良好でした。管理コンソールのUIもわかりやすく、各種設定を短期間で習得することができました。またマクニカのサポートも非常に親身で、私たちのさまざまな問い合わせにもスピーディーに答えていただき、これならシステム運用グループのメンバーで十分に運用していけると判断しました」(塩崎氏)

 しかし、最初からメンロセキュリティの導入ありきで検討をしてきたのではありません。VDIからのリプレースを検討するために、さまざまなソリューションを調べ上げ、メンロセキュリティに勝るソリューションには出会うことがありませんでした。すでにメンロセキュリティを導入した他の地方銀行に連絡を取り、ユーザーとしての感想をヒアリングしてみたりもしましたが、メンロセキュリティは良い評価を得ていることが分かり、安心して導入を決断することができました。

 「導入過程ではメンロセキュリティ自体がSaaSのクラウドサービスであったこともあり、基盤構築自体には労せず、構築ベンダーに依存しすぎませんでした。そのため、行内でチーム一丸となってUATを実施する時間をとることができました。一般的なシステム導入よりも苦労した部分も一部ありましたが、結果として行内にナレッジをため込むことができ、その後の運用においてスピード感のある対応ができました。約300ケース超のテストを頑張ってくれたチームメンバーにも改めて感謝したいです」(塩崎氏)

VDIのみならず、セキュアWebゲートウェイもメンロセキュリティで一本化

 メンロセキュリティのWebアイソレーションの導入に向けて、既存のセキュアWebゲートウェイとの多段プロキシ構成にするか、メンロセキュリティのWebアイソレーションのライセンスに内包されたセキュアWebゲートウェイを利用するかも検討し、最終的にメンロセキュリティに一本化することを決定しました。メリットはコスト削減と運用性の向上です。

 「以前のプロキシでは、ログがあまり整理されておらず解析しにくかったりしましたが、メンロセキュリティのセキュアWebゲートウェイではログも見やすく、管理画面も細かい設定ができるなど分かりやすくストレスがありませんでした。メンロセキュリティはとても簡単なシステムという印象を受けました。また以前はプロキシがアップローダーと認識しているものについてはアップロードをできないようにしていましたが、アップロードの制御は十分にはできていませんでした。メンロセキュリティではセキュリティポリシーを強化すると共に、アップロードの制御が満足にできるようになりました」(塩崎氏)

インターネットへの同時接続数が増大 SAMLによるSSO実装で利便性も向上

 2023年11月に正式導入されたメンロセキュリティは、筑波銀行に数多くのメリットをもたらしています。まずは運用コスト削減です。

 「VDIのまま更改した場合と比較すると、少なくとも5年で35%超程度のコスト削減につながると見込んでいます。さらにVDIではホストサーバーの増設の必要性もあったので、それ以上の効果が見込めると考えています」(高崎氏)

 さらにメンロセキュリティは、行内のさまざまな業務の効率化にも貢献しています。

 「インターネットへの同時接続数が大幅に拡大したことで、インターネット専用端末の順番待ちがなくなり、行員のストレス解消と業務の効率化につながりました。また今回のインターネット分離基盤の刷新にあわせて、各種SaaSやWebベースの業務システムへのリンクをまとめた社内ポータルサイトを構築したのですが、メンロセキュリティでは一連のアクセスをSAMLによるSSO(シングルサインオン)で行うことが可能で、利便性を大きく向上しています。インターネット接続した仮想ブラウザとオンプレミスの業務システム間で、データをコピー&ペーストで転記できるようになったことも、行員から好評を得ています」(塩崎氏)

 もちろん、金融業界には絶対に欠かすことができないセキュリティ強化の効果も確実に出ています。

 「たとえばメールに添付して送られてくる暗号化ファイルを仮想サンドボックスに展開して検査するといったことが可能となり、外部との情報のやり取りに関する安全性が大きく向上しました」(塩崎氏)

 これに続けて、高崎氏は、「インターネット分離の基盤を刷新するにあたり、外部の監査法人にサイバーセキュリティに関する第三者評価を依頼したのですが、特に問題点を指摘されることがありませんでした。そのため、安心してメンロセキュリティを利用できています」と話します。

 サポート面においても、「何か問題があった際も、マクニカから日本語でのサポートが提供されることは以前のVDIと比べても安心感があります。そしていざという時には後ろにメンロセキュリティの日本人のメンバーがいてくれて柔軟な対応をしてもらえることに感謝しています」と塩崎氏は語ります。

時代の変化にあわせたセキュリティへ 中長期的にはゼロトラストの導入も検討

 メンロセキュリティの導入によって得られた成果をベースに、筑波銀行ではセキュリティ対策のさらなる強化を図っていく考えです。将来的な方向性の1つとして見据えているのは、ゼロトラスト型のセキュリティの導入です。

 「銀行という業務の特性もあり、今後の数年間は境界型防御を基本としたセキュリティ対策を維持する必要があります。しかし、コロナ禍を経て当行の行員の働き方も大きく変化しつつあるのも事実であり、時代にあわせてセキュリティ対策も見直していかなければなりません。そのため、ゼロトラスト型のセキュリティソリューションやAIを活用した取り組みなど、さまざまな対策を検討しているところです」(塩崎氏)

 そうした中で、メンロセキュリティおよびマクニカに対する期待もますます高まっています。

 「当行にとって、どのようなセキュリティ対策のあり方が望ましいのか。仮にゼロトラストセキュリティに移行するとなった場合も、どんなスキームで導入するべきなのか、構想フェーズから私たちと一緒に考え、良き伴走パートナーとしてサポートをいただけると幸いです」(塩崎氏)

 もちろんメンロセキュリティとマクニカも、こうした筑波銀行の取り組みをしっかり支えていく意向にあり、3社がワンチームとなったチャレンジは今後も長期にわたって続いていくことになります。

User Profile

筑波銀行
所在地 茨城県土浦市中央二丁目11番7号
導入時期 2023年11月
URL https://www.tsukubabank.co.jp/

お問い合わせ・資料請求

株式会社マクニカ Menlo Security 担当

平日 9:00~17:00