地域金融機関にとって、サイバーセキュリティは顧客の資産と信頼を守るための基盤である。「真っ先に相談され、地域の発展に貢献するBest Reliable Bank」として四国・高知県で明治11年から地域を支える金融機関である四国銀行では、これまでも様々な取り組みを実施してきた。そんな四国銀行が従来の境界防御や年次診断に加え、24時間365日の監視と初動対応をどう担保するかを課題と認識し、同行が選択したのが、XDRと専門SOCを組み合わせたG-MDR®である。
本稿では四国銀行システム部でCSIRT事務局としてサイバーセキュリティを担う同行システム部の豊田氏(副部長)、山下氏(主任)、川村氏(調査役)に背景となった課題、金融分野サイバーセキュリティガイドライン対策としてG-MDR®を選んだ理由、取り組みの成果と今後の展望を伺った。
【お話をお伺いした方】
(写真右から)
・四国銀行 システム部 副部長
豊田 明啓 氏
・四国銀行システム部 主任
山下 誠司 氏
・四国銀行システム部 調査役
川村 雄 氏
四国銀行は地域を支える金融機関として、必要な情報セキュリティ対策にいち早く着手してきた。2015年には金融ISACへ加入、CSIRTを立ち上げるなど、地味ではあるが手堅く、そして時には大胆に改革をしていくのが四国銀行の強みだ。それは、「ペネトレーションテスト」という言葉が浸透し始めた2018年にいち早く実施したことにもつながる。必要な対策について機を見るに敏であるのが同行システム部の特徴だ。
四国銀行システム部では次なる課題として、『日常的な監視』と『即応体制』について検討していた。年次の脆弱性診断やペネトレーションテストは実施していたものの、それだけで顧客の信頼に足るセキュリティ対策が十分であると言い切れるのか―。金融機関の根幹をなすものは、顧客の「信頼」を守ることであるという認識から、四国銀行ではサイバーセキュリティを経営の最重要リスク項目のひとつとして位置づけている。
「当行では、サイバーセキュリティを経営の最重要リスク項目の一つとして位置づけています。地域のお客さまからお預かりしている資産と信頼を守ることは、金融機関の存続に直結します。そのため、CSIRTを所管するシステム部から経営陣へ定期的に報告を行い、取締役会でも継続的に議題として扱っています。社会でインシデントが発生した際には、機動的に状況整理と対策方針を共有するようにしています。」と同行システム部副部長の豊田氏は同行のセキュリティへの取り組み状況を語る。
セキュリティを重要課題として認識していた同行だからこそ、2024年10月に制定された金融分野におけるサイバーセキュリティに関するガイドライン*1に対してもいち早く反応した。同ガイドラインでは継続的な監視やインシデント対応手順の実効性が問われる。
「ガイドラインで最も強く感じたのは、『検知から対応までの一連のプロセスを、実効性をもって説明できる体制』が求められている点です。これまでは境界防御中心でしたが、ガイドラインでは侵入を前提とした検知・対応能力が明確に求められています。『やっています』ではなく、『どのように、何分以内に、誰が対応するのか』まで語れる必要があると認識しました。特に、サードパーティリスク管理の難しさを強く感じました。」と語るのは四国銀行システム部の山下氏だ。
同行のCSIRTはシステム部を中心に各部門横断で構成され、兼任を含め約30名弱が関与する体制だ。経営と現場の距離を近づける運用は、以前から意識されてきたという。
そのために、常に近隣の動向や今後の予想が欠かせない。しかし、サードパーティリスク管理などを含めた検知や相関分析までを現在の体制で賄うことは難しいと感じていた。診断やペネトレーションテストで『脆弱性を見つける』ことはできていたが、実際の攻撃を検知し、リアルタイムで対応する能力に課題があると感じていた。また、複数のセキュリティツールを導入していたものの、ログが分散しており、相関分析が極めて困難という現状もあった。「点の対策から、線・面の対策へ転換する必要がありました。」と豊田氏は語る。そんな折に公開されたガイドラインである。
「(ガイドラインの中で)最も悩ましかったのは『検知後の初動対応』です。アラートは出ますがそれが本当の脅威か誤検知かを判断できる専門人材が不足していました。深夜や休日の対応も含め、24時間体制で判断できない点が大きな課題でした。」と現場の課題を語るのは調査役の川村氏だ。
とはいえ、単純にツールを導入すれば解決するわけではない、と川村氏は続ける。「ツールを足すだけでは、運用が複雑化し、アラート疲れを招くだけだと考えました。重要な脅威を見逃すリスクもあります。統合的な視点で脅威を分析し、優先順位を付けて対応する――運用モデルそのものの変革が必要でした。」まさに「地味で手堅く、時には大胆に改革する」四国銀行ならではの対応だった。
四国銀行のIT部門は関連会社まで含めてもセキュリティ人材は限られている。さらに地方では首都圏と比較して採用・育成も容易ではなく、この体制で24時間365日の監視を続けるのは物理的に不可能で、持続可能性の観点から内製には限界があると判断したという。
そこで四国銀行が選んだのがBBSecのフルアウトソース型のセキュリティ運用サービス「G-MDR®」だった。
G-MDR®を選んだ理由について尋ねると、豊田氏は次のように語った。「決め手は三点です。一つ目は、XDRによる統合監視ですね。エンドポイント、ネットワーク、クラウドを横断した相関分析が可能だということ。二つ目は、金融機関での監視実績が豊富なSOCの専門性です。BBSecは金融機関の監視実績が豊富で、業界特有の脅威を理解していることが大きい。三つ目は、『専門家による24/365監視・対応体制』が実現できたこと。また、単なる監視サービスではなくインシデント対応支援まで含まれていることも、決定的でした。」
豊田氏が特に評価するのが三つ目の『国内の専門SOCが常時監視し、異常を検知すれば即座に連絡・対応支援する体制』だ。SLAを含めた具体的な体制を示せる点は大きな強みだという。「何をしているかだけでなく、それがなぜ有効で、継続できるのかまで説明できることが必要であると思います。専門家による運用という客観的な根拠を示せる点は、経営判断を支える要素になります。」
経営層からは日ごろから『属人化しない、持続可能なセキュリティ運用』という観点での判断を求められていた。サイバーアタックの手口は常に高度化している。システムは一度導入して終わりではなく、ロードマップを描き、継続的に強化していける体制が必要だ。G-MDR®の導入で、内製では対応が困難であった懸念を解消できたという。
一方でXDRによる統合監視を重視するのは川村氏だ。従来のツールでも検知はできていた。しかし、先に述べたように現在の体制では24時間体制で判断できない点が大きな課題だった。
「従来は点の情報しか得られなかったものが、XDRでは攻撃の全体像を把握できます。誤検知を減らし、真の脅威を早期に発見できる点を高く評価しました。例えば『特定のエンドポイントや特定のユーザーでの不審な動き』と『外部への不審な通信』を関連付けて、攻撃の全体像を把握するという、統合的な視点がAPT攻撃のような高度な脅威には、不可欠です。」と川村氏は言う。
平時の監視から有事の初動支援、フォレンジック対応までを一気通貫で備えられる点を評価するのは山下氏だ。事前契約を締結することで、有事の際すぐに対応可能であることは大きな魅力であるという。有事の際に、法務を通じて一から契約をする通常のフォレンジック契約で顧客の大事な資産を守り切れるのか―BBSecのサービスでは有事の際には24時間受付の電話をすることですぐに対応が可能だ。またオプションメニューではあるものの、場合によっては対応人材を派遣可能である。G-MDR®の初動支援を受けながら、四国銀行のCSIRTが主体的に対応する。人材、ツール、運用、報告がそろった点が、単なる監視サービスとの違いだと山下氏は語る。
現場には『専門家の支えがある』という安心感が生まれ、セキュリティ投資が、コストではなくリスク管理への投資として認識されたと感じているというシステム部の皆さんに『今後、G-MDR®をどのように活用していきたいか』という質問をしてみた。
「今後はG-MDR®を『外部の専門チーム』として位置づけ、IT部門と協働する体制を目指します。日常監視はSOCに任せ、当行のCSIRTは判断と改善に注力する。守りながら学び、対応力を段階的に高めていきたいと考えています。」と語るのは山下氏。「BBSecに期待するのは、単なるベンダーではなく、セキュリティパートナーとして伴走してもらうことです。最新の脅威動向の共有や、当行の事業特性を踏まえた提案、有事の迅速な支援を引き続き期待しています。」
最後に、豊田副部長に金融ガイドラインに対しての心構えを尋ねると、「いきなり自行内で完璧を目指すことは難しいので、自行内のリソースを踏まえながら必要に応じて専門家の力を借りるなど、段階的にレベルアップすることが重要」との答えが返ってきた。「すべてを内製で完結させようとすると、時間もコストもかかります。『誰が、どのように監視・対応しているか』を明確に内外に説明できる体制を早期に整えることが重要だと思います」。
「いつもそばにいて、頼りになる」。そのキャッチフレーズにたがわず、多様化する顧客のニーズに的確かつ迅速に応える強固なシステム基盤を構築し、それを守るセキュリティ体制を維持する。そのための努力を惜しまず、次々に自ら新しい課題を探り、解決方法に取り組む四国銀行。24時間365日のG-MDR®を通じて、BBSecはセキュリティパートナーとして未来へ伴走していきたい。
<会社情報>
| 会社名: | 株式会社 四国銀行 |
| URL: | https://www.shikokubank.co.jp/ |
| 1878(明治11)年創業、高知市に本店を置き、高知県と徳島県を中心に110店舗を展開する高知県内最大の金融機関。地域経済を支える金融機関として、”地域の皆様に最も愛され、親しまれ、信頼される銀行”をモットーとし、高知県内の企業・個人にとって欠かせない金融機関となっている。 | |
*1 金融機関に対しサイバー攻撃による利用者利益の損失や金融システム不安定化を防ぐため、ガバナンスから防御・検知・対応・復旧、第三者リスク管理まで包括的な管理態勢を構築することを求めている。金融機関自身の事業環境やリスク許容度に応じたリスクベースアプローチによるサイバー攻撃への継続的な検知・対応強化が重視されるとともに、基本的な対応事項と望ましい対応事項を段階的に実装することが期待される。
※ 記載の情報は2026年1月現在のものです。
※ 文中の社名、製品名は各社の商標または登録商標です。