「真っ先に相談され、地域の発展に貢献するBest Reliable Bank」として四国・高知県で明治11年から地域を支える金融機関である四国銀行。堅牢なITシステムの構築と、それに合わせたセキュリティ対策は、地域を支える金融機関として必要不可欠なものである。今回は同行のシステム部部長代理 豊田様にセキュリティ対策の現状などをお伺いした。
【お話をお伺いした方】
・システム部 部長代理 豊田 氏
四国銀行のシステムの設計思想は厳格にインターネットと行内ネットワークを分離し、外部からの脅威を極力排除するもので、情報セキュリティ対策もその設計思想に基づくものとなっている。また、2015年には金融ISACへ加入、CSIRTを立ち上げるなど、地域を支える金融機関として必要な情報セキュリティ対策を行ってきている。四国銀行ではインターネット環境を構築した当初から、サイバーリスクについて検討してきた。
「実は2015年あたりから脆弱性診断は毎年しています。ペネトレーションテストも2018年頃から実施していました」と豊田氏。「そういうと、よく『先進的ですね』と言われることがあるのですが、サイバーに関しては非常に保守的なんですよ。腰が引けているのかもしれません」と豊田氏は笑う。「セキュリティを優先するため、行内に対しては利便性が低いために申し訳ないなという気持ちもあり何とかしたいとは思っている」とも話す豊田氏だが、お客様の資産を預かる銀行としてセキュリティが優先する姿勢は崩せない。地味だが手堅い。それが四国銀行の持ち味といえるかもしれない。
しかし一方で、必要だと思えば外部のリソースを利用するのに躊躇しない大胆さも持ち合わせている。情報セキュリティ対策において、行内のリソースや知見だけでは十分でないと判断された場合には、外部のサービスを積極的に採用している。 コンサルティングや脆弱性診断、日々の監視などを通して自行のシステムのセキュリティ水準を把握していた同行システム部であるが、近年のサイバーセキュリティにおける各種の脅威や監視結果を見ての危機感もあり、「攻撃者視点」でのチェックの必要性を感じたという。この「攻撃者視点」でのチェックのために、同行ではペネトレーションテストを2018年より実施しはじめた。そして昨年、BBSecが新たに正式なサービスメニューとしてペネトレーションテストを提供し始めたことから、昨年よりBBSecにペネトレーションテストを依頼することとなった。
対象となるシステムに対してサイバー攻撃者が用いる既知の手法による不正侵入を試み、対象システムにおけるセキュリティ上の問題や侵入可否を明らかにするテストする手法を指す。実施に際しては十分なヒアリングを元にした攻撃シナリオの構築と、不正侵入の技術を熟知したホワイトハッカーの存在が不可欠となる。 脆弱性診断との違いや手順など詳しくはBBSec脆弱性診断ブランドサイト SQAT.jpの解説記事をご覧ください。
他社によるペネトレーションテストの実施にも立ち会ってきた豊田氏はBBSecのペネトレーションテストについて、「エンジニアがヒアリングの段階から報告の段階まで、当社のポリシーやシステム構成、課題や要望などを理解し、寄り添ってくれたことが非常に印象的だった」と語る。ペネトレーションテストのヒアリングにおいて顧客環境や課題、ニーズなどを把握し、攻撃シナリオへ活かすことは基本といえるが、その基本を踏まえたうえで、報告の段階まで同行の状況を理解したうえで対応していた点が印象に残ったようだ。
また、豊田氏は「ペネトレーションテストに立ち会う中で、エンジニアの技術水準の高さを 実感した」という。ペネトレーションテストは、「侵入できなかった」という結果だけで安心はできない。「立ち会ってみて、テストのプロセスを確認しましたが、非常に高いレベルだということを感じました。その一方で、なるほど攻撃者はこういうところに食いつくのか、という驚きがありましたね」という。「本当に穴がないかということを確かめるツールとしては有効だな、と思います。プラットフォーム診断で脆弱なところは改修していますし、何度もペネトレーションテストを実施しています。でも本当に大丈夫なのか、穴がないのか、ということを確かめるにはいいツールですね。」念には念を。常時監視や脆弱性診断を定期的に実施してきた同行であるからこそ、脆弱性診断の結果だけではわからない侵入の可能性の有無を確認する必要性を感じ、ペネトレーションテストを実施するに至ったといえよう。
ペネトレーションテストの実施によってもたらされたものは何か、との問いに「攻撃者視点というのはこういうものだ、ここを狙う可能性が高いといったことを教えてもらったことが、今の対策に非常に役立っている」と豊田氏は答える。システムを開発・運用する側が最新の攻撃動向や攻撃手法を把握することは本来業務から外れることもあり、把握が難しいというのが多くの企業の現実だろう。攻撃が成立するかどうか、攻撃による影響がどのようなものかという本来のペネトレーションテストの目的に加えて、攻撃者がどう攻撃してくるかを知り、防御策を検討するためのベースとなる情報を得る、気付きを得るということもペネトレーションテストの効果として見逃せないものだろう。
今後も脅威動向を勘案しつつ、計画的に脆弱性診断などと合わせてペネトレーションテストを定期的に実施すると語った豊田氏。だが、声高にサイバー対策をしていると喧伝するつもりはない。「地味に。堅実に」。四国銀行は今後も様々なセキュリティ施策を機動的に実施しながら、堅実に、地域のお客様に信頼されるシステムのセキュリティ水準の確保を目指していく。
<会社情報>
| 会社名: | 株式会社 四国銀行 |
| URL: | https://www.shikokubank.co.jp/ |
| 1878(明治11)年創業、高知市に本店を置き、高知県と徳島県を中心に110店舗を展開する高知県内最大の金融機関。地域経済を支える金融機関として、”地域の皆様に最も愛され、親しまれ、信頼される銀行”をモットーとし、高知県内の企業・個人にとって欠かせない金融機関となっている。 | |
※ 記載の情報は2021年6月現在のものです。
※ 文中の社名、製品名は各社の商標または登録商標です。