北國銀行

導入効果

• Active Directoryのセキュリティ面を容易に可視化できた
• 修正が必要な設定を把握し対応が可能になった
• セキュリティ対応の省力化が実現できた
• Tenable オンプレミス実行の選択肢を活用して、柔軟にデプロイメントが可能だった

ソリューション

Tenable Identity Exposure

インタビューイ

北國銀行

システム部 セキュリティグループ マネージャー 松井 千明 様
システム部 セキュリティグループ チーフ 八十嶋 努 様

はじめに

金融機関として常にセキュリティの最前線を走り続ける北國銀行。その強靭なセキュリティ体制を支える重要基盤として「Tenable Identity Exposure」がどのように貢献しているのか、システム部セキュリティグループの松井氏と八十嶋氏にお話を伺いました。本記事は、金融機関が直面するサイバーセキュリティの厳しい現実と、それを乗り越えるためのTenableの革新的な価値を浮き彫りにします。

Q: 北國銀行のセキュリティへの取り組みについて教えてください。

八十嶋氏:  「当行のセキュリティは、システム部のセキュリティグループが一手に担っており、その職務は多岐にわたります。全社のセキュリティ方針の策定と運用、最適なセキュリティソリューションの導入から日々の運用管理、そして何よりも重要なセキュリティ監視、脅威の検知、そして万一のインシデント発生時の迅速なレスポンスまで、セキュリティに関するあらゆる領域を包括的にカバーしています。」

松井氏: 「北國銀行は2012年頃から、システム開発の内製化に大きく舵を切ってきました。以前は多くのシステムインテグレーター様の協力を得ながらパッケージソリューションを導入する事が多かったですが、個人向けインターネットバンキングサービスを開始してからは、自社でシステムの構築から運用までを手掛ける割合が増加しています。そのような背景からも金融庁のガイドライン公開前後から『境界防御』に依存するのではなく、『侵入されることを前提とした防御』への移行について意識する事が多くなってきていました。同時に、ビジネスの柔軟性やデータ活用の促進を阻害しないよう、難しい課題ではありますがセキュリティと利便性のバランスを意識しています。」と、取り組みの背景を説明してくださいました。

Q: 今回、Tenable Identity Exposureの導入に至った、そもそも抱えていた課題はどのようなものだったのでしょうか。

松井氏: 「Tenable Identity Exposureの導入を具体的に検討するきっかけとなったのは、2023年に外部のベンダーに依頼して実施したTLPT演習（Threat-Led Penetration Test）でした。この演習では、具体的な侵入目標を設定し、ベンダーが攻撃シナリオに沿って模擬攻撃を実施することで、私たちの防御能力を客観的に評価してもらいました。その結果、特にオンプレミス環境の境界防御を突破され、内部に侵入された際の検知および対応能力に弱点があると指摘されたのです。この課題を抜本的に強化することが、喫緊の課題として浮上しました。中でも、企業内のユーザー認証の要であり、一旦侵害されるとドメイン全体への支配を許してしまうActive Directory（AD）のセキュリティは極めて重要です。しかし、TLPT演習の結果、このADに対して継続的にリスクを監視する仕組みが確立されていない状態であることが明らかになりました。何よりもまず、このADにおける潜在的なリスクを解消し、強固な防御体制を築く必要性を痛感しました。」と、導入に至るまでの具体的な背景と緊急性を語ってくださいました。

Q: ソリューションを選定する際に、どのような要件を設定しましたか。また、他にも候補に挙がったソリューションはありましたか？

八十嶋氏: 「ソリューション選定の軸としたのは、やはりオンプレミス環境にあるActive Directoryを確実に保護できることでした。市場にはAD保護を謳う製品は数多く存在しますが、その多くがクラウドへの接続を前提とした製品でした。オンプレミス環境が残る当行の既存インフラを考慮すると、これは大きなハードルとなります。そのような中で、Tenable Identity Exposureがオンプレミス環境に柔軟に対応できると知り、非常に大きな魅力を感じました。実は当行では、 Tenable Identity Exposure 導入以前から脆弱性診断のためにTenable Nessusを利用しており、その後もTenable Vulnerability Managementを導入・活用してきました。これらの実績と経験から、Tenable製品群に対する信頼と知見が既にあったため、既存のセキュリティ基盤との親和性の高さも考慮し、自然な流れでTenable Identity Exposureの検討を進めることができました。」

「もちろん、Tenable以外の他社製品も並行して綿密に検討しました。しかし、Tenable Identity Exposureのユーザーインターフェースが持つ『直感的で視覚的に理解しやすい』という優位性が後押しとなりました。デモンストレーションを通じて、Active Directoryに存在する脆弱性の危険度やそれが及ぼす影響、さらには他の脆弱性との複雑な関連性が、一目で、しかも段階的に理解できることに感銘を受けました。これは、サイバーセキュリティの専門家でなくとも、誰もがリスクを認識し、適切なアクションに繋げられるという点で、他社製品とは一線を画していました。この『見える化』の能力が、継続的なセキュリティ運用において極めて重要であると判断しました。」

Q: 導入自体はスムーズに進みましたか。

八十嶋氏: 「導入プロセスは非常に迅速に進みました。2024年4月に検討を開始し、わずか2ヶ月後の6月には契約、そしてすぐに導入へと移行できました。このスピード感は、私たち自身も驚くほどでしたし、それだけ製品の導入負荷が低かった証拠だと思います。」

「他社製品の場合、Active Directory全体にわたって大がかりな導入作業が必要となるケースが多く、膨大な時間とリソースを要することが調査で判明していました。しかし、Tenable Identity Exposureは、その点で非常に優れていました。エージェントを各サーバーにインストールする必要がなく、一度ADの情報を同期してしまえば、露出インジケーター(IoE)ですぐに継続的な監視を開始できます。このエージェントレスの特性が、導入期間の短縮に大きく寄与した主要な理由の一つです。実装作業を担当した社内のインフラ部門と連携しながらの導入でしたが、想定よりも負担がはるかに少なかったと評価しています。さらに、エージェント型ではないため、導入後の継続的なメンテナンスコストや長期的な運用負荷がほとんど発生しない点も、当行にとって非常に重要な選定ポイントでした。これにより、限られたリソースをより戦略的なセキュリティ強化に振り向けることが可能になったのです。」

Q: 導入後の効果について教えてください。導入前と導入後でどのような変化がありましたか。

八十嶋氏: 八十嶋氏： 「Tenable Identity Exposure導入後の最大の変化、そして効果として挙げられるのは、Active Directoryのセキュリティ態勢が『見える化』できたことに尽きます。これまで漠然と存在していたADのリスクや、どこに潜在的な脆弱性があるのかが、Tenable Identity Exposureのダッシュボードを通じて視覚的に明確に把握できるようになりました。これにより、『修正を検討すべき設定』や『優先的に対処すべき課題』が具体的に浮き彫りになり、その後の改善アクションへとスムーズに繋げられています。セキュリティ強化の最初のステップとして、まさに理想的な成果だったと実感しています。」

Q: Tenableのトレーニングやプロフェッショナルサービスも活用されているとのことですが、どのように活用していますか。

八十嶋氏: 「Tenableのトレーニングは、約2時間というコンパクトなオンラインコンテンツでしたが、Tenable Identity Exposureのダッシュボードの見方から、検知された問題に対する具体的な対処方法まで、非常に実践的な内容でした。導入前のデモで既に直感的な操作性を感じていましたが、実際にトレーニングで手を動かすことで、その確信がより強固なものとなりました。」

「さらに、私たちはTenableのプロフェッショナルサービスも積極的に活用しています。特に、Tenable Identity Exposureでの検知結果について、Tenable側の専門アナリストに分析してもらえるサービスは、非常に価値が高いと感じています。検知された膨大な内容に対して、彼らが深刻度や優先度を付与して一覧化してくれるため、社内での対応の優先順位付けが明確になり、効率的なアクションが可能になっています。今後もTenableの専門知識と協調しながら、中長期的なセキュリティ改善の方向性を定めていく予定です。これにより、私たちは常に最新の脅威動向に対応し、セキュリティ態勢を最適化し続けることができると確信しています。」

Q: Tenable Identity Exposureを導入して約1年になると思いますが、改善点や欲しいと感じている機能はありますか。

八十嶋氏: 「導入後約1年が経過しましたが、現時点でTenable Identity Exposureに対する大きな改善要望は特にありません。非常に満足して活用させていただいています。もし追加されるとさらに良いと考えている機能があるとすれば、それは『予期せぬ権限の変更など、リスクとなりうる変化が実際に発生する前に、その予兆を検知できる機能』ですね。現状でもログ分析を通じて予兆検知を強化したいという意向はありますが、全ての分析を自力で実施するには、私たちの人的リソースには限界があります。もし、そうした先進的な予兆検知機能がTenable Identity Exposureに追加されれば、当行のセキュリティ運用は飛躍的に向上し、よりプロアクティブな防御が可能になると考えています。」

Q: 今後、実施していきたいセキュリティ対策について教えてください。先ほどの人的な制限への対応も含めてお願いします。

松井氏: 「現在の日本市場、そして当行においても、IT人材の不足は深刻な課題であり、セキュリティ人材だけを増やすことは極めて困難な状況にあります。このような状況下でセキュリティを担保していくためには、セキュリティソリューションを最大限に活用し、限られた人員でも効率的かつ効果的にセキュリティを確保することが必須であると考えています。Tenableには、現在私たちが活用しているクラウド環境に対するセキュリティソリューションも提供されていると伺っていますので、それらのツールも積極的にフル活用することで、セキュリティ運用の省力化と生産性向上を実現していきたいですね。」 「金融庁のガイドラインで資産管理の自動化が強く求められていますので、この点も早急に対応する必要があると考えています。」

Q: 最近では生成AIの企業活用が進んでいますが、セキュリティ対策におけるAI活用について、どうお考えでしょうか。

八十嶋氏: 「当行では、社内での生成AIの利用は、一定の条件のもとで許可しています。具体的には、エンタープライズ版の生成AIサービスを導入し、指定した環境内で入力されたデータが外部で学習に利用されないよう、厳格な管理と制限を行っています。」

松井氏: 「生成AIをどのようにセキュリティ対策に活かしていくかについては、現在も情報収集を行っている段階です。様々なソリューションが市場に出ていることは把握していますが、費用対効果を考えると、現時点では導入するまでには至っていません。AIが検知された内容やアラート情報を『何が起きているのか』を要約してくれる機能は、多数提供されつつありますが、特に、大量に発生するアラートが本当に脅威なのか、それともノイズなのかを明示的なノイズケースの提示によりAIが学習し自動で判定してくれるような『ノイズアラートのチューニング』にAIを活用できる仕組みがあれば、セキュリティ担当者の運用負荷を大幅に軽減し、省力化に繋がると期待しています。私たちは、AIの進化を注視し、セキュリティ運用への最適な導入を模索し続けていきます。」

まとめ: Tenableが実現する、金融機関の未来を護るセキュリティ基盤

この事例は、金融業界が直面する高まるサイバーリスクに対し、いかにプロアクティブかつ戦略的に対処しているかを明確に示しています。そして、その中核にTenable Identity Exposureが位置づけられ、Active Directoryの可視化、リスクベースでの優先順位付け、迅速な導入、そして継続的な運用コストの削減という多大な価値を提供していることが明らかになりました。

Tenableのソリューションは、単なる脆弱性管理ツールに留まらず、限られた人的リソースの中で、最大限のセキュリティ効果と生産性向上を追求する企業にとって、不可欠なパートナーとなることを証明しました。