新インターネットバンキングシステムの構築・運用において、クラウドで利便性とセキュリティを両立する方法を模索していた
システムを稼動し続けながら動作検証を行える柔軟な運用を仮想パッチが支え、クラウドにフィットした多層防御を実装
マイナス金利の導入などで、地方銀行を取り巻く状況は厳しさを増している。そんな中、「次世代地域商業銀行」を目指し、組織や文化、ITシステムのあり方に至るまで、さまざまな角度から変革に取り組んでいるのが、北陸3県を中心に事業を展開している北國銀行だ。2019年9月にはチャネル多様化の一環として、かねてから開発に取り組んできた新インターネットバンキング「北國クラウドバンキング」を開始した。
北國銀行では、市場の変化や経営の意向を即座に反映し、技術やノウハウを蓄積する意図もあって、以前からシステム開発に関して内製化を図っている。新インターネットバンキングシステムの開発に際しても同様に内製で実施し、また従来のウォーターフォール式とは異なりDevOpsやCI/CD、スクラムといった考え方も取り入れ、システムのモダナイゼーションを進めている。
新インターネットバンキングシステムはオンプレミス環境ではなく、マイクロソフトのクラウドサービス「Microsoft Azure」を採用し、クラウドサービスベンダーであるFIXERの協力を得ながら、より良いサービスを素早く提供できる環境を整えてきた。それもPaaSだけでなく、システムの用途や構成に応じてIaaSも活用し、適したクラウドサービスを組み合わせて構築している。
北國銀行 システム部 上席調査役兼システム企画課長の岩間 正樹氏は「仕事を進める上で『仮説思考』を徹底しており、クラウドについてもこれからを見据えて試してみようと挑戦しました。クラウドならば、責任共有モデルに基づき、インフラに関する基本的なセキュリティ運用は事業者側が世界中のノウハウをきっちり適用した形で実現してくれるため、レベルアップできると期待しました」と語る。システムの陳腐化を防ぎ、災害対策も容易なことなど、クラウドのメリットを評価した。
北國クラウドバンキング 画面イメージ
その上で、さまざまなガイドラインを遵守し、金融機関として求められる高いセキュリティ水準を満たすため、多層防御のアプローチが必要だと考えていた。特にポイントとなるのがエンドポイントプロテクションである。マイクロソフトが公開しているベストプラクティスに基づき、サードパーティのソリューションを組み合わせた多層的な防御として、仮にどこか1つの壁が破られても別の手段で食い止める環境を目指して検討を始めた。
かといってセキュリティを重視するあまり、クラウドならではの利便性が損なわれてしまっては本末転倒だ。全体最適の考え方に基づき、クラウドのメリットを生かしながらセキュリティと両立させる方法が望ましかった。
また、IaaS上の仮想マシンの保護を検討する中で、最大の悩みがパッチマネジメントだった。OSやアプリケーションに脆弱性が発見されれば速やかにパッチを適用すべきことは重々承知していても、動作確認や運用スケジュールとの兼ね合いで、ある程度の時間や手間が必要だ。無防備になる期間においてもセキュリティを担保する方法を模索した。
そうした課題解決に合致したのが「Trend Micro Deep Security™」(以下、Deep Security)だった。Deep Securityは、AzureとAPIで連携し、仮想マシンの増加に対して自動的に保護を拡張するなど、クラウドのメリットを損なわず多層防御を実現するセキュリティ製品である。北國銀行とともに新インターネットバンキングシステムの構築に取り組んできたFIXERでは、以前から、Microsoft Azure向けのフルマネージドサービス「cloud.config」のサービスとしてDeep Securityを提供していた。
さらにDeep Securityの仮想パッチは、パッチマネジメントというもうひとつの課題解決にも役立つものであった。北國銀行 システム部 システム企画課 管理グループ(セキュリティチーム)課長代理の丸金 正和氏は、「パッチが適用されていない状態のシステムを仮想的にパッチが適用されているように防御する機能があれば、セキュリティを担保しながら動作検証できるようになり、運用に柔軟性が出ると考えました」と振り返った。
北國銀行は「cloud.config」とともにDeep Securityを採用し、パッチの検証を終えるまでの間、仮想パッチによって不正アクセスを防ぎ、アップデート作業に十分な時間を確保できる仕組みを整えた。
同時に、不正プログラム対策や侵入防御、セキュリティログ監視といったDeep Securityの複数の機能によって、仮想マシンの多層防御を実現。「金融業界のセキュリティスタンダードを満たすことに大いに貢献している」とFIXERの三井 陽一氏は述べた。それでいて、個別にコンソールを使い分ける必要がないため、「マネージドサービスを提供する側の私たちにとっても、1つのコンソールで統合でき利便性が高いと感じています」(三井氏)。
マネージドサービスを利用して運用を担う北國銀行のセキュリティチームも「ある程度勘所が分かれば使いこなせるコンソールなので、万一何かインシデントが起きたとしても、FIXERからの通報を踏まえ、戸惑うことなく状況を把握できると思っています」(丸金氏)という。
北國銀行では個人向けインターネットバンキングに続き、法人向けサービスの開発も進めている。その中で、CI/CDを取り入れ、コンテナを活用したマイクロサービス化にも着手しているが、トレンドマイクロにはそうした新しい環境の保護にも期待している。
サイバー犯罪の手口は次々と変化し、巧妙化しているが、岩間氏は「セキュリティ対策もそれに応じてどんどん進化していくべきだと思っています。トレンドマイクロやFIXERなど、パートナーとコラボレーションしながら、全体最適でより良いサービスを構築していきます」と最後に述べた。
"攻撃の手口に合わせて進化していくセキュリティソリューションを積極的に採用し、パートナーとコラボレーションしながら最適なビジネスを構築していきます"
岩間 正樹 氏
株式会社北國銀行
システム部
上席調査役兼システム企画課長
"仮想マシンにセキュリティパッチを適用するまでの間、うまく守ってくれるものがあれば。という部分にDeep Securityがうまくはまってくれました"
丸金 正和 氏
株式会社北國銀行
システム部 システム企画課
管理グループ(セキュリティチーム)
課長代理
"Azureという高いセキュリティレベルのクラウドに、トレンドマイクロのソリューションを組み合わせることでベストプラクティスを実現しました"
三井 陽一 氏
株式会社FIXER
Chief Security Architect
業種
金融
従業員
地域
石川県、日本
利用環境
導入製品・ソリューション
※製品・サービスの導入効果は、ご利用企業・組織の方の声に基づくものであり、お客さまご利用状況により効果は異なります。
※記載内容は2019年9月現在のものです。内容は予告なく変更される場合があります。
Get started with Trend today