多数の口座や預金の安心・安全を支える専門組織 JNB-CSIRTの重要な武器はSplunk

株式会社ジャパンネット銀行（以下、ジャパンネット銀行）は、「戦後初の普通銀行免許取得」、「新たな形態の銀行の第一号」、「日本初のインターネット専業銀行」として知られ、2000年10月に営業を開始して以来、従来の銀行にないスピード感と創造性で利便性向上や新たなサービスの開発にチャレンジを続けてきた銀行界のベンチャー的存在だ。

株式会社三井住友銀行、Zホールディングス株式会社傘下のZフィナンシャル株式会社などが出資する形で強固なアライアンスを組み、共同マーケティングや提携商品・サービスの開発を進めている。事業内容としては、柱となる銀行業務のほか、宝くじ・BIG/toto販売、VISAデビットサービス、公営競技、FX（外国為替証拠金取引）、外貨預金／投資信託など豊富なポートフォリオを揃えており、2020年1月現在、口座数が約460万口座、預金残高は約9000億円（市場性商品を除く）となっている。

ジャパンネット銀行の最大の特徴は、個人事業主から、高額取引の可能性があるビジネスアカウント（法人口座）まで、広範に対応したサービスと強力なインターネットセキュリティの拡充にある。それを支えているのが、コンピュータ・セキュリティ・インシデントを調査・対応を行う専門組織「ジャパンネット銀行CSIRT」（以下、JNB-CSIRT）だ。2013年に立ち上げられ、現在はIT企画と管理を担うIT統括部と、アプリやインフラを開発するIT本部の2つのIT関連部署から13人が選抜・兼務する形で活動している。

そのJNB-CSIRTにおいて重要な武器となっているのが2015年にマクニカから導入したマシンデータ分析プラットフォーム「Splunk Enterprise」（以下、Splunk）だ。「従来は、社内システム環境のファイアウォールログやプロキシのログを収集していてもばらばらで運用していたため、それらを十分に活かすことができませんでしたが、ログ分析の仕組みを統合し、分析結果をいつでも把握できるようにするためSplunkを導入しました。主にフィッシング対策や、不正送金の検知・モニタリングなどのログ分析に活用しています」と語るのは、ジャパンネット銀行 IT統括部で、JNB-CSIRTのブレーンとなっているサイバーセキュリティ対策室長 小澤 一仁氏だ。

一般にはモニタリングセンターと呼ばれているSOC（セキュリティオペレーションセンター）もサイバーセキュリティ対策室内に立ち上げられ、日常的に検知システムとしてSplunkを活用。取り込むログの量と種類が増えるにつれ利用目的が変化して利用方法も高度化していったという。例えば、社内情報システムへの標的型攻撃対策として、プロキシログをFQDN（完全修飾ドメイン名）別やIPアドレス別に日次で集計し、メジャーな通信先はホワイトリストに登録して集計から除外することで、レアな通信先だけをウォッチできるようにするなど、マルウェア感染によるC&C通信の発見を容易に実現している。

キャッシュレス決済ブームで取引急増膨大な取引データもリアルタイム監視

現在、JNB-CSIRTではSplunkに2系統でログを取り込んでいる。1つは社内システム環境側。ファイアウォール、次世代ファイアウォール、プロキシのアクセスログおよびフィルタリングログ、Active Directoryのアクセスログなどをリアルタイムで収集している。

もう1つはインターネットバンキング側。Splunkとパートナーシップを結ぶAkamaiのCDN（コンテンツ配信ネットワーク）サーバのアクセスログや、アプリケーションのアクセスログ、Akamai Cloud Monitor（Web・モバイル・APIのトラフィックにおけるプッシュ型のリアルタイム監視と分析サービス）のリクエストヘッダ・レスポンスヘッダ・IPアドレスの地理的位置情報・レスポンスタイム・WAFの検知情報のほか、ジャパンネット銀行が取り扱うVISAデビットカードのトランザクションログなどが対象だ。これらを、10分～3時間ごとに収集し、その量は2020年3月現在、双方合せて35GB／日ほどに達している。

最近のキャッシュレス決済ブームで新規のお客様が増え、トラフィックも増えたことから、ログも急増しているが、Splunkは問題なく処理しているという。

また、日本の金融機関によるサイバーセキュリティに関する情報の共有および分析を行う一般社団法人金融ISAC（以下、金融ISAC）から、他行で発生した不正送金事案のIP情報などが頻繁に提供されてくるため、そのIP情報とお客様の取引データを元に、不正アクセスの有無や、そのIP情報でどのような取引が行われているのか、第三者になりすまして他の顧客の口座にログインしたか、不正送金をしているのかなどSplunkでリアルタイムに把握している。

「当初、IT関連部署のメンバーはお客様の個人情報に直接アクセスすることが許可されていなかったため、追跡調査もままならなかったのですが、お客様の保護が第一優先と判断し、経営からの承認を得てお客さまの取引データをSplunkに取り込むことになってからはSplunkの利用価値が格段に向上しました」と小澤氏は話す。

新たな不正手口にも即座に検知ルールを作成 Splunkで被害を最小限に抑制できた対応例

さらに、最近の金融業界を揺るがす脅威に対してもジャパンネット銀行はSplunkをフル活用して対処している。その主な例を3つ紹介する。
1つ目は、不正送金フィッシング被害への迅速な対応。2019年9月からインターネットバンキングに係る不正送金事犯による被害が急増し、11月の発生件数は統計がある2012年以降最多の573件、被害額は約7億7,600万円に達した。その多くは、スマホユーザを狙った巧妙なフィッシングによるものとみられる。金融機関を装った偽のログインサイトへ誘導するメールやショートメッセージ（SMS）によってアカウントやパスワードの情報のみならず、ワンタイムパスワードや秘密の合言葉なども入力させるなど、銀行のサービス仕様を熟知し、非常に組織化された犯行グループによるものと推測された。ジャパンネット銀行も被害は皆無ではなかったが、Splunkの活用で最小限度に抑えることができたという。
「対応には苦労しましたが、Splunkはほぼリアルタイムに検知ルールのカスタマイズやチューニングが可能なので、アドホックサーチの検知ルールを対象に合わせて柔軟に変化させることによって、フィッシングサイト自体を迅速に発見したり、アカウントを盗られたお客様への不正ログインを未然に防いだりもしました。もしSplunkがなかったら、調査に時間がかかり、他行のように被害も拡大していたと思います」と小澤氏は述べ、そのスピード感を高く評価する。

2つ目は、クレジットマスター攻撃の検知。クレジットマスター攻撃とは、クレジットカードの番号の規則性を悪用し、特殊な計算を加えて機械的に番号を総当たりするなどして他人のカード番号を割り出す手口のこと。ジャパンネット銀行はVISAデビットカードを取り扱っており、利用時に銀行口座から即時引き落としされるこの種のカードは被害が甚大になるため、取引を常時モニタリングしており、ある手法を用いればSplunkで容易に検知することができるようになった。

小澤氏は、「クレジットマスター攻撃を検知するためには、日々トランザクションをモニタリングし、異常が発見されれば迅速に調査開始することが重要で、そうした検知方法にSplunkは非常に適しています。おかげで業務負荷も大きく軽減できました」と話す。

3つ目は、口座不正利用の防止。口座不正利用とは、法令・公序良俗に違反する行為に銀行口座が利用されることで、他人名義や架空名義で開設された口座、開設後に第三者に譲渡された口座などが、振り込め詐欺や架空請求、ネット詐欺などの犯罪資金の出し入れに使用される。ジャパンネット銀行では社内の役割・責任を明確にして情報を一元的に管理し、Splunkで異常な口座取引の監視を強化することで未然に防止するように努めている。また、Splunkで得た情報を基に、各都道府県警察や金融庁、全国銀行協会などと密接な協力体制をとっているという。

SplunkとMineMeldを連携させ最新の脅威インテリジェンスを活用

加えて、ジャパンネット銀行が最近強化しているのが、SplunkのAppsの活用だ。特に注目したいのは、Splunkと連携できるPaloAlto Network MineMeld（以下、MineMeld）フレームワークを活用した、脅威インテリジェンスの自動化である。MineMeldは、OSINT（オープンソースインテリジェンス）を活用し、各種サイト（Feed）からIOC（セキュリティ侵害インジケーター）データを自動取得した上で統合。それらの情報を基に、脅威情報をブラックリスト化し、各種セキュリティ機器でブロックできるように出力する。Splunkから定期的にMineMeldにデータを取りに行くことで、常に最新のIOCを活用することができ、各種セキュリティ機器でブロックが可能となる。また、デフォルトで複数のIOC配信サイトに対応しており、IPアドレス、URL、ドメインなどの他に、マルウェアファイルのハッシュ値、マルウェアの通信先、スパムメールの送信元、User Agent、ブラックリストなどもSplunkで収集可能だという。
「主に活用しているのはTor（TCP/IPにおける接続経路を匿名化するフリーウェア）からのアクセス監視です。TorはIPアドレスリストを日々更新するため、MineMeldを中継させてSplunkにそれを取り込んでいます」（小澤氏）

こうしたジャパンネット銀行の取り組みは、金融ISACの「不正送金対策ワーキンググループ」にも報告されており、攻撃の手口や、Splunkで実施しているモニタリングのノウハウを共有する貢献も行っているという。

ゼロトラストソリューションを活用しテレワークの労務管理も容易に実現

ジャパンネット銀行によるSplunkの活用はセキュリティだけではない。同社は2020年3月からリモートアクセスサービスを利用したテレワークを全社規模で展開したが、その運用で遅れ気味とされている労務管理・就労管理にもSplunkを応用している。「人事部が必要としたのは、誰が、何時から何時まで業務をした時間（ログインからログアウトした時間）でした。Splunk Appでログを収集し、その結果をstatsで集計して毎日人事部に提供しています」と小澤氏は説明する。この仕組みを、同氏はSplunkをベースにわずか1日で作ったという。

このログ収集の仕組みでは、リモートアクセスサービス用のSplunk Appを活用した。このサービスはあらゆるユーザ・端末・場所からのアクセスに対して適切な認証と最小限のアクセス権限を提供する「ゼロトラスト・セキュリティ」モデルに則った次世代リモートアクセスソリューションで、複数のクラウドやデータセンター上に分散したさまざまな業務アプリケーションへのセキュアなアクセスを容易に実現し、業務効率とセキュリティを同時に改善する。Appを使用すると、APIをコールする設定をSplunk内に作ることができ、ユーザおよびアプリケーションの使用状況データをSplunkに簡単に取り込み、他のイベントと分析・相関させることが可能になる。主に、働き過ぎの管理や、シャドー残業の防止、許可されていない時間外勤務のチェックなどに活用している。
「ゼロトラストなのでゲートウェイやファイアウォールが不要な上、構築費用は安く、インターネット回線でもスムーズに動きます。SplunkとAppsの組み合せで、短期間に安全なテレワークの可視化環境が構築できました」（小澤氏）

今後ジャパンネット銀行では、Splunkの管理サーバもアップデートし、運用環境を強化する予定だという。「Splunkの活用を始めて5年。フィッシングなどインシデントが発生した際は、Splunkですぐに状況を把握する運用フローがすっかり定着しました。サイバーセキュリティ対策室やJNB-CSIRTにも若い社員が増え、Splunkを使える人材の幅も広がったことで、活用の新しいアイデアも日々生まれています」と小澤氏は語る。

国内銀行界のファーストムーバー的存在として、従来にないスピード感・クリエイティブ力で利便性向上や新たなサービスの開発にチャレンジし続けるジャパンネット銀行が、今後Splunkをどのように使いこなしていくのか、業界は大いに注目している。

User Profile

045-476-2010
月～金 8：45～17：30

お問い合わせ
お気軽にご相談ください

無償セミナー
各種セミナーはこちら

資料ダウンロード
各種資料はこちら