金融業界全体のセキュリティレベル底上げを目指して。全国の地域金融機関による「共助」の仕組みづくりを。(ロングインタビュー)
2022/07/14
Index
本日はお忙しい中ありがとうございます。エントランスに飾られているサッカー日本代表・長友選手のユニフォームが素敵でした。それではまず最初に、皆様のお仕事と役割について、順番にお話しいただいてもよろしいでしょうか。
(砂田さん)ICT推進部のセキュリティ統括室で室長を務めております砂田(すなだ)と申します。業務は、コンコルディア・フィナンシャルグループ(以下、CFG)のサイバーセキュリティ戦略立案や、組織強化を行っており、現在Cyber Defense Center(プライベートSOC)の立ち上げを行っております。本日はよろしくお願いします。
(北畠さん)私は昨年からNTTデータフォース社より横浜銀行に出向している北畠(きたばたけ)と申します。元々NTTデータフォースでCFG向けの標的型メール訓練を担当していたこともあり出向後も継続して担当し、本共同開発では横浜銀行側の主担当として仕様策定に携わりました。
(濱田さん)私は4年前に横浜銀行に入行し昨年ICT推進部に異動してきた濱田(はまだ)と申します。不審メールが届いた際の調査や対応やCFGのサイバーセキュリティ戦略に基づいた各種セキュリティ施策の推進を行いながら、ITやセキュリティの技術を習得中です。本共同開発において銀行員としての目線で必要な要件を提示しました。
導入前の課題 - 十分なセキュリティソリューションは存在していたが、運用面に課題を抱えていた。
(ICT推進部セキュリティ統括室室長 砂田さん)
ありがとうございます。御社は以前からサイバーセキュリティについて課題感をお持ちで、既に他社製品を利用されていたと伺っています。
(砂田さん)前職でも同様にメガバンクグループでセキュリティを担当していたこともあり、国内の他金融機関がどのレベルで取り組んでいるのか、本来取り組むべきなのかについてある程度の相場観がありました。当行に来て最初に必要だと感じたのが、導入したソリューションの運用最適化や、行員へのセキュリティ意識の浸透という基礎固めの部分でした。セキュリティ統括室を立ち上げたのも施策の一つですが、まずはセキュリティ態勢を整えベースラインを上げて、将来的に地域金融機関全体のサイバーセキュリティをリードしてくために、金融機関相互の「共助」や、金融機関を中心としたサプライチェーン全体の強化を図っていきたいと考えています。
横浜銀行に来た当初サイバーセキュリティの体制は具体的にどういったものだったんですか。
(砂田さん)専任担当者として行員5名とNTTデータフォース社から2名の出向者がおり、同規模の地銀や中小の金融機関と比較すると比較的体制は充実している方でした。私が着任した当初は、専門家を採用しより専門的な視点で全社的なサイバーセキュリティのレベルアップを目指すというのが喫緊の目標でした。
お二方が入られたのもそういった経緯があってでしょうか。
(砂田さん)元々NTTデータフォース社からは若い年次の出向者の方がいましたが、技術的な部分だけではなく組織作りや体制作りをしたかったこともあり、より技術力がありCFGのシステム環境に精通した北畠さんに来ていただきました。濱田さんは元々銀行の営業店にいましたが「ITをやりたい」ということで志望し来てくれて、今は外部のコミュニティに積極的に参加し情報収集やネットワーキングしてくれるため、部署として大変助かっています。
(中央から右へ砂田さん、北畠さん、濱田さん。横浜銀行の中でも、他のチームと比べて中途入社の割合が多く、和やかな雰囲気が魅力的とのこと)
導入プロセス - 経営層の説得、金融機関ならではの導入障壁
セキュリティ部門の変革を始めた際に、経営層・マネジメント層から理解を得るためのポイントってどういう点でしたか。
(砂田さん)「必要な予算を取るのに経営層をどう説得したのか」と結構よく聞かれるんですが、当行の場合は、外部から来た社外取締役や監査役の方々がよりサイバーセキュリティについて課題意識があり、理解の深い方々でした。経営層宛説明の際にもセキュリティ対策が必要な理由を明確にして納得感のある説明ができれば、反対される方はおらず、事前に納得して貰えるだけの材料を揃えることがポイントだと思います。
先ほどの話に戻りますが、「本質的な運用」を見据えて AironWorks とデザインパートナーシップを結んでいただいたということでしょうか。
(砂田さん)メール訓練は事後のフォローが大変で、開封してしまった人に対して毎回エクセルのアンケートを作って、上司をCCに入れてメールで送っています。その後グループ全体の数字の集計をして経営会議で報告するというワークフローがあるんですが、毎回この作業に時間と手間がかかっていました。そこをどうにかできないか、と思案するタイミングで御社とデザインパートナーシップ契約の話があり、我々のニーズを組み込みながら開発してくれるということで契約させていただいたという流れです。
金融機関ならでは導入障壁などはありましたか?
(砂田さん)障壁ではありませんが、どうしても銀行は様々な部署において各々の観点でチェックが入るので契約・決済には時間がかかります。他社製品との比較検討や、現在のコスト比較、機能はレベルアップしているのかなど、検証プロセスまで厳しく追及されるので、サイバーセキュリティに限った話ではありませんが、そのあたりの簡素化・スピードアップが今後の課題かと思います。一緒にデザインパートナーシップを結んで進めていくこと自体は、銀行側からしても、外部にアピールする良い機会だったので役員や広報含めて否定する方はいませんでした。
他の製品と比較検討されて、AironWorksの優位性はどのあたりにあると思われますか?
(砂田さん)現時点で言うと、柔軟でスピード感のあるところだと思います。イスラエルの最先端の技術力のあるエンジニアが我々のニーズを柔軟に取り込んでくれるので、今後は教育コンテンツも充実させていただくなど、よりリアルな攻撃に近い「擬似マルウェア」を作っていただけると嬉しいですね(笑)。
(来日したイスラエルの開発チームを交えた打ち合わせの様子。共同開発をする上で、週次の定例会議も含めた綿密な打ち合わせは欠かせない。)
ありがとうございます。では、ここからは北畠さん・濱田さんお二方にもお話を伺えればと思います。パートナーシップを結んで以降、開発を一緒にされてきた中で苦労した点があれば教えてください。
(北畠さん)今回のような「共同開発」って基本的にクライアント側が「安くならないか」とか「もっとこうしてほしい」とか要望ばかり伝えるケースが多いんです。でも、今回は極めてフラットに進められたと感じています。AironWorksの皆さんから「もっとこういうのはどうですか」とか「こういう方法もありますよ」とご提案をいただいて、大変勉強になった貴重な機会でした。
(濱田さん)週次定例では、我々のニーズに応えていただくために毎週課題を設けてタスクに取り込んでいくといった、銀行では珍しくアジャイル開発に取り組めました。従来の枠組みに捉われず、変えていくところは積極的に変えていく、こうした事例を他行に広げていければ良いなと思っています。
導入プロセス後 - 各拠点の拠点長にセキュリティ意識を持たせる
AironWorks導入後に変化はございましたか?
(北畠さん)ちょうど昨日、部長に説明する機会がありまして、今まで工数をかけて行ってきた機械的な手作業が無くなる点を評価いただきました。加えて、営業店の方々に対するセキュリティ教育も変えていきたいと思っていて、常日頃から我々のようにセキュリティに携わっている行員と、そうではない行員とのセキュリティへの意識の差は大きいので、その差をどうやって埋めていくか試行錯誤しています。現状、Eラーニングでセキュリティ教育は行っていますが、限界がありますし、新しいやり方で積極的に変革する必要があるなと思っています。教育コンテンツについては、今まで他社製品でやれていなかった部分でしたので、AironWorksの導入で良い変化が起こることを期待しています。
(金融機関の中でも先進的な取り組みを続ける横浜銀行。こちらは横浜銀行創立100周年記念事業の一環として本店ビルに作られたミーティングスペース(Hamagin Aqua Labo)のエントランス。海や港をイメージした素敵な空間が広がっている。)
(砂田さん)経営が特に気にしてるのは、各拠点の拠点長等がどれだけサイバーセキュリティに対して意識があるかという点です。拠点長の考えや行動が、その拠点内では大きな影響を与えますので、「サイバーセキュリティをちゃんと守らせよう」とか「拠点全体に浸透させよう」っていう意識については、拠点長に高めて欲しいと考えています。すぐに分かるようなフィッシング訓練を2年に1回行ったって、結局のところ実績作りでしかなく、今まで多くの金融機関がそういうやり方でしか訓練を行っていませんでした。言うまでもありませんが、実際の攻撃ってわざわざ気付けるポイントなんか仕込んでくれませんし、本当にそういう攻撃が来たときに事後対応をどうするとか、そういう仕組みを検討する方がよっぽど重要です。これは別に金融機関だけじゃなくて、国内のレガシィ産業はどこも似たような状況なのでAironWorksを使うことによって、サイバーセキュリティ文化を定着させていくというか「本質的な訓練をやらないと意味がないんだ」ということを周知できればいいなと思ってます。
セキュリティ対策が形骸化している実情はちらほら耳にします。
(砂田さん)当行ではそういうことはありませんが、役員等の偉い方向けの訓練の際に事前に、セキュリティ担当者が忖度をして役員に知らせてしまうという話があると聞きました。少数ではあると思いますがそれがメール訓練の実態で、実績つくりのための意味の無い訓練はやる必要がないと思います。
(北畠さん)たまに怒られるんですよね…。「忙しい時期に訓練なんかやめてくれ」とか。一度訓練すると数名からそういう声が届くんですよ。「暇なときにしてくれ」とか。
(砂田さん)自分が攻撃する側だったら、忙しい日を狙ってやります。(笑)
セキュリティ意識を醸成・共有するのは難しいですね。どうすれば定着すると思いますか?
(砂田さん)金融機関をはじめとするレガシーな企業は、予告なしに訓練を実施してしまうとハレーションが起きてしまう文化なので、管理者向けに教育をしたり、事前に方針を説明した上で実施したりするのが現段階ではベターだと思っています。最初は文句を言う人も出てくると思いますが、徐々にリアルな訓練に慣れてもらうしかないのかなと。まだ当行では訓練の意図を説明すれば理解してもらえると思うんですが、ITやセキュリティの担当者がいない企業だと訓練の意味を納得してくれる人も、納得させる人もいないだろうと想定します。だからといって、セキュリティ訓練をしなくていいかというと決してそうではないので、共助の枠組みにより経営層含む従業員向けのリテラシー教育も含めて共通化していくことでしか、全体のレベル感を上げられないと考えてます。
今後のビジョン - 金融機関全体のセキュリティレベルの底上げを目指して
最後に、所属されているICT推進部セキュリティ統括室で掲げている目標を教えてください。
(砂田さん)重複しますが、やはり「金融機関全体のセキュリティレベルの底上げ」です。金融業界には「金融ISAC」という枠組みがあり他業界に比べると活動的で、一部金融ISACの職員として活動されている方もいますが、活動の主体がボランティアベースなので、組織としては情報共有と勉強会、共同訓練がメインです。TLP(Traffic Light Protocol ※機密性のある情報を確実かつ適切な組織や人物が共有するための手順)の様な文化もあまり浸透していないので、同じ金融業界の仲間と言えど、情報開示の手順が会社ごとに違ったり、情報を開示する度に役員の決済が必要だったりと、基準もバラバラで情報共有が十分に出来ていないという側面もあります。そのため実質的な共助のスキームを作る必要があると思っていますが、メガバンクの様な大きな金融機関は人数もいるしお金もあるので自前である程度の事はできてしまい、他行を巻き込んでまで実施したいというとニーズは少ないと感じてます。一方で、我々の様な地域金融機関は自分自身もリソースについては困っており、共助のスキームを活用して金融機関一体となって、より高いセキュリティレベルを実現していきたいという思いは強いです。AironWorksはそうした金融機関全体を底上げするのに非常に良いツールであり、活用することで各金融機関のセキュリティ組織を発展・強化したいと思っています。
(北畠さん)わかりきった訓練といいますか、台本通りの訓練をしても本物の攻撃メールに対する危機意識は高まらないので、訓練コンテンツのレベルを徐々に上げつつ、最終的には実際の攻撃に近い訓練ができたらいいなと思っています。金融機関ならではの制約やルールもある一方で、やはり訓練する以上は本気の訓練を実施して、その結果を行内に展開することが重要ではないかと思っています。
(濱田さん)当行に限らない話ですが、セキュリティの部署がガバナンスをかけることによって、インターネットが使いづらくなってしまっている企業が多いと思っています。どうしても業務に携わる中でセキュリティ上の制約に目が行きがちですが、今後はガバナンスをかけつつも使いやすい設計になることを目指して、事後的な対応ではなくプロアクティブに対応できる組織になるように、銀行をもっと働きやすいところに変えていけたらと思っています。
金融業界全体のセキュリティレベル底上げをご支援できるように、AironWorksもバージョンアップを重ねていきたいと思います!
本日は大変貴重なお話をありがとうございました!
※文・写真は取材時のものです。
取材:マーケティング部 狩野