導入の背景
ファイル転送の課題解決にWebベースのセキュアな仕組みの導入を決意
あおぞら銀行では2018年10月、新たに「サイバーセキュリティ対策室」を設置しました。この背景には、サイバーセキュリティ強化への社会的な要請があったと、ITコントロール部 サイバーセキュリティ対策室室長 山口貴歳氏は語ります。
「これを機に、単なるセキュリティ強化だけではなく、業務統制の観点から標準化されたシステムを構築する必要がありました。クリプト便の導入も、『ファイル転送の仕組み』を強化・刷新する取り組みと位置付けられています」
同行ではこれまでファイル転送に関して2つの大きな課題がありました。1つは暗号化の問題です。以前から行外宛メールの添付ファイルを自動的に暗号化ZIPにするシステムが導入されていましたが、海外など相手によってはZIP形式では受け取れません。そこでWebサイトを介してすべてのファイルをTLS暗号化通信でセキュアに転送する仕組みが必須だと考えたとITコントロール部 サイバーセキュリティ対策室 部長代理 増田元治氏は振り返ります。
「もう1つの課題は大容量ファイルを安全に送る仕組みです。これまではシステム障害等のログ調査依頼といった場合にファイルを媒体にコピーして受け渡していましたが、効率が悪く、紛失のリスクもある。これを安全に行うためのサービス導入が急務でした」
導入の経緯
他のサービスにない3つのアドバンテージでクリプト便の採用を決定
あおぞら銀行が新たなファイル転送のサービス検討に着手したのは、「サイバーセキュリティ対策室」設置1年前となる2017年秋のこと。選定ではクリプト便を含め、シェアが高く知名度の高いサービスを複数選んで比較しました。具体的には、以下の3つを重要なポイントとして検討を進めたと増田氏は語ります。
- 内部不正による機密データの持ち出しを防げるか?
多くのファイル転送サービスではファイルを転送するとシステムからダウンロード用のURLが発行されるが、このURL を送信者自身が知ることができるので「取引先等に送信した機密データを自宅などから自分でダウンロードする」不正が可能になってしまう。「ダウンロードする相手にしかURLが送信されないサービスはクリプト便だけでした。これが採用の決め手になりました」(増田氏) - 送ったファイルを長期間アーカイブして、監査に対応できるか?
送信したファイルを長期間にわたって保存しておかないと情報漏えいなど万が一の際にさかのぼって調査できない。「送信ログだけではファイル名しかわからず、十分な追跡ができません。その点クリプト便は送ったファイルの実物を送信ログに紐づけて保管しておけるので詳細な監査にも対応可能です」(増田氏) - データのセキュリティ環境を確認できるか?
顧客の個人データなどを送信するからにはデータセンターの物理的セキュリティや運用体制を含め銀行が定めているセキュリティ要件を満たしていることを銀行側が確認できなくてはならない。「多くのサービスはデータセンターの見学不可ですがクリプト便は私たちの要望を受け入れて細かな仕様まで確認することができました」(増田氏)
これら3つの重要ポイントを満たしていると判断して最終的にクリプト便の採用を2018年10月に決定。経営層への説明や重点部署でのトライアル利用を経て、2018年11月末にはあおぞら銀行グループ全体での利用が始まりました。
導入の効果
予想を上回るユーザー数の伸び。すでに社内22部門とグループ会社3社に展開中
現在のユーザー数は190ユーザー。当初は少なめに見積もって100ユーザーからスタートしましたが、わずか9か月でこの数字に達しました。大容量ファイルの送信が予想以上に多く、潜在的にファイル転送の悩みを抱えていた人たちのニーズにマッチした結果とサイバーセキュリティ対策室では見ています。またグループ全体で利用部署が増えており、リテール部門や管理系部門も含め現在行内の22部門とグループ会社3社が利用中です。
増田氏は導入効果について、「作業量の削減などの効果は確実に出ていますが、各部門がそれぞれの判断でファイル転送サービスを利用するのではなく当行全体で安全性が確認されたファイル転送サービスを統一して利用する環境を整備できたという面を評価しています」と説明します。
この改善効果をさらに推進する上でもさらなるサービス活用が求められてきますが、そうした面でもNRIセキュアのサポートに期待したいと山口氏は語ります。
「NRIセキュアは、こちらが『こういうことはできないか?』と漠然とした質問を投げても、『それは難しいが、その代わりにこうすれば希望に近いことが可能になる』など、私たちの意図を汲んだ上で回答してくれます。サポート担当者の背後にエンジニアがいて、十分に考えた上で柔軟に対応してくれる点は大いに評価しています」
今後の展望
行内のさまざまなニーズに応えるサービスの実現に向けさらなる努力を
これまで述べた通り行内にファイル転送の仕組みはできましたが現在も行外とのファイル共有の仕組みが複数稼働しています。今後はシステム統制の点からもこれらを統一していくのが重要なテーマだと増田氏は語ります。
「その一環としてクリプト便の新機能である『ファイル共有機能』の検討も継続中です。こうした機能も含めてさまざまなニーズが行内には存在しており、それを統一されたサービスとして実現するための情報整理・収集を進めていきたいと考えています」
これを受けて今後の業務の効率化や情報共有をセキュアに進めていく上で、ファイル共有の仕組みは重要な課題であり、その一つの解がクラウドをどう活用するかだと展望を語る山口氏。あおぞら銀行の情報セキュリティへの取り組みは、今後もさらに加速していきます。
※本文中の組織名、職名、概要図は公開当時のものです。(2019年12月)