福岡ひびき信用金庫

導入効果  

• Active Directory の可視化を実現
• 休眠アカウントを整理し、設定の把握も容易に

インタビューイ

福岡ひびき信用金庫:

吉田 篤史　様 業務執行役員 システム部 部長 兼 DX 推進室長
宮地 真之　様 システム部 調査役

Active Directory の設定ミスによるリスクに不安

Q: 福岡ひびき信用金庫様のセキュリティ対策への取り組みについて教えてください。例えば、金融庁の「金融分野におけるサイバーセキュリティに関するガイドライン」(2024 年 10 月制定) に沿って対策をしているのでしょうか。

吉田氏: 金融庁からガイドラインが公開される前から、サイバーハイジーンは重要事項として取り組んでいました。お客様の資産をお預かりしているので当然のことと考えています。特にインターネットの利用が多いので、ネットワークやクラウド、アイデンティティなどのIT資産に対するセキュリティは重要視しています。ガイドラインの公開後も内容を参照しながら対策を実施しています。

Q: 今回、「Tenable Identity Exposure」の導入に至った経緯についてお聞きします。まずどのような課題を解決したいと考えていたのでしょうか？

吉田氏: Active Directory に対する設定は、当金庫で行っているため、脆弱性対応と設定ミスに不安がありました。ペネトレーションテストは実施していましたが、年に一回の頻度でしたので、頻度を上げる必要性は感じていました。また、過去のペネトレーションテストにおいて Active Directory の設定で指摘を受けたこともありました。ヒューマンエラーは起こり得るので、設定ミスへの対策も必要でした。

Q: そうした課題を放置した場合に、どのようなリスクを想定されていましたか？

吉田氏: 攻撃者は様々な目的で金融機関を狙うため、課題を放置して いたら侵入されるリスクがあることは理解していました。侵入されてしまうと、ランサムウェアの感染や情報漏えい、システムの乗っ取りといった大きな被害を受けることになってしまいます。 金融機関としての信頼も失墜してしまうため、重要な課題でした。

当社では基本的にシステムの構築や運用管理を内製化していますので、自律的に導入を行いました。

Q: その課題を解決するためのソリューションを選定したと思いますが、その際にはどのような要件を設定しましたか？

吉田氏: 私たちは常に最新のセキュリティ製品を探していますが、Active Directory 保護の必要性を感じていたところに、Tenable を取り扱うシステムインテグレーターから効果的なツールがあるとして「Tenable Identity Exposure」をご提案頂きました。

Q: Active Directory への対応は、金融庁のガイドラインでも明記されるようになっていますが、ガイドラインへの準拠というお考えもあったのでしょうか。

吉田氏: Active Directory についてはガイドライン以前から、セキュリティ方針を定めていました。ガイドライン公開と Tenable の導入決定がほぼ同時で、ちょうど良いタイミングだったといえます。 Windows Update などのパッチを適用していても、設定にセキュリティ的問題があれば Active Directory は乗っ取られてしまいますので、 金融庁のガイドラインに準拠するために何らかの対策が必要と考えていました。

Q: Tenable 製品の提案を受けて、導入する決め手になったことは何でしたか？

吉田氏: Active Directory の設定、継続的な監視ができる製品は Tenable しかなかったことが最大の理由です。その上、エージェントレスであるところも導入・管理コストを下げる観点で良い点でした。また、クラウドサービスのセキュリティ対策のために、 Tenable Cloud Security を併せて購入しましたので、将来的にはサイバーエクスポージャー管理のプラットフォームとして、Tenable One で一元管理することも考えています。

Q: 「Tenable Identity Exposure」の導入はスムーズに進みましたか？

宮地氏: はい、導入は簡単で、構築・設定は一日で終わりました。当社では基本的にシステムの構築や運用管理を内製化していますので、当金庫の担当部門で導入を行いました。同様の種類の他社製品であれば、PoCなどを含めてディスカッションしながら導入を進めていきますので、1 か月はかかっていたと思います。

Q: かなり以前から内製化していると伺っています。最近ではマネージドサービスなど外部に委託するケースも多いと思いますが、内製化にこだわる理由を教えてください。

吉田氏: いわゆる企業文化といいますか、パソコンの設定からシステム開発まですべて内製するという歴史があります。それが定着しているので、外部に委託することには違和感があります。ネットワークもセキュリティも仕組みを担当部門で理解していますので、外部に依頼すると詳細な開発・運用が見えないという不安もあります。

Q: 導入後の設定やチューニングも問題なく行えましたか？

宮地氏: もともと容易でしたが、Tenable Identity Exposure のハン ズオンセミナーを受講したため、問題なく構築が行えました。

Q: Q: レクチャーはいかがでしたか？要望などがあれば教えてください。

宮地氏: とても詳しく分かりやすいレクチャーでした。導入とほぼ同時のタイミングで受講し、Active Directoryのセキュリティ詳細やデモを中心にして解説して頂きました。ただ、多機能で検知できる項目も非常に多く、数時間では足りない印象でした。できれば数回に分けてすべてを網羅する内容でレクチャーしていただければ、更に良かったかと思います。

約 200 の休眠アカウントを可視化、設定の把握も容易に

Q: 導入後の効果についてお聞きします。 導入前と導入後でどのような変化がありましたか？

宮地氏: ダッシュボードで瞬時に危険な状況を確認できるようになり ました。一例として、これまで把握できていなかった休眠アカウントを可視化できました。20 年近く利用しているので、休眠アカウントがおよそ 200 ありました。それは Tenable Identity Exposure のコンソールから把握でき、即座に不要なアカウントを削除できました。他にも、グループポリシーの変更などリアルタイムのオブジェクト監視が可能となりました。以前から Active Directory のセキュリティ対策はしていましたが、今回の導入でセキュリティスコアにより Active Directory 全体のセキュリティレベルを可視化できるようになり、セキュリティリスク削減への大きな効果であると感じています。

Q: 運用していて気になる点や不満な点はありますか？

宮地氏: 大きな不満はありません。しいて言えば、私たちシステム管理者はコンソール上で的確な設定がされていることが分かりますが、経営層にも分かりやすいレポートを作成できる機能があれば、更に良いかと思います。 -

Q: コンソールの使い勝手はいかがですか。

宮地氏: コンソールは日本語に対応しており、直観的で非常に使いやすいです。また、脅威の重大度に応じてランク付けされているので、何を優先的に対応すべきか判断しやすく、運用効率が高まりました。

Q: 今後のセキュリティ対策や人材について教えてください。

宮地氏: セキュリティ対策は終わらないものです。次から次へと新しい攻撃手法が登場する中で、常に自社に合った最新の対策をしていきたいと考えています。そのため、セキュリティ対策の基本的な方針は大枠では変わらないものの、フレキシブルさを失わないようにしたいですね。セキュリティ人材の面でも現状は3名ですので、今後は増やしていく必要がありますし、その育成も自分たちを中心にパートナーの手も借りながら、進めていきたいと考えています。

Q: Tenable Cloud Security の導入も決定なさっているとのことですが、どのような効果を期待していますか？

吉田氏: これからクラウドの活用は拡大していきますので、そこでのリスク管理に役立つと考えています。現在は Microsoft 365 が中心ですが、今後は Azure や AWS、Salesforce などの活用も検討しています。 クラウド活用を可視化して、設定からヒューマンエラーを排除し、ワークロードやアイデンティティ、データやそのほかの領域も保護したいと考えているので、ベストプラクティスを提供いただけると助かります。