導入の背景
グループのセキュリティ戦略に沿った多層防御対策の強化が目標
2020年4月、設立60周年を機に社名を一新。新たな気持ちで再スタートを切った大和アセットマネジメント株式会社(以下、大和アセットマネジメント)。業務部長 高橋博氏は、「資産投資運用業界の競争環境は、日々厳しくなっており、インフラ面においても継続的な強化に取組んでいます。また、より幅広い層のお客様にアピールするため、オウンドメディアの立ち上げや投資体験アプリの展開など、新たな試みを次々にスタートさせています」と現在の動きを語ります。
大和証券グループではここ数年、グループ全体でサイバーセキュリティの強化に取り組んできました。今回の大和アセットマネジメントのMenlo Security導入も、そうした取り組みの延長線上に位置付けられると、業務部 担当部長 兼 IT戦略課長 山田智克氏は明かします。
「Web分離はマルウェアや情報漏えい防止などのリスクを防止する上で重要です。当社でもすでにOA系と業務系のシステム分離は実践してきましたが、大和証券グループとしてのサイバーセキュリティ戦略に合致させるためにも、より確実でなおかつ利便性の高い仕組みの導入が必要だと考えるようになりました」。
具体的にはドライブバイダウンロードやマルウェア感染の防止、そして不正なアップロードによる情報漏えいの防止を実現すべき要件と位置付けました。社内には投資信託の運用情報などの膨大でクリティカルなデータが存在しており、これらの不正な流出を防ぐことは最大にして必須の要件でした。
導入の経緯
リスク対策に必要なすべての機能を備えたMenlo Securityを採用
同社では、2018年10月頃からさまざまなWeb分離ソリューションの比較検討を開始。候補としてWeb分離型2製品とアプリケーション分離型1製品の、合計3製品に絞り込みました。最終的にMenlo Securityの採用を決めた理由を、山田氏は、すべての要件を満たしているのがMenlo Securityだけだったことを挙げます。
「他の金融機関での利用実績が豊富であり、なおかつ情報漏えい防止に必要な機能=勝手にアップロードをさせない、マルウェアをダウンロードさせない等一連の機能を単体ですべて持っているのは、Menlo Securityだけでした」(山田氏)。
また、運用の負荷軽減も評価の対象になりました。Menlo Securityの管理コンソールは非常にシンプルでわかりやすく、社内のIT担当者だけでも十分に使いこなせると考えたのです。同社では次世代ファイアウォールなどのセキュリティ製品を導入してきましたが、運用業務を外部委託先に依頼しているため、設定変更一つにも時間やコストがかかっていました。山田氏は、「その点Menlo Securityは社内ですべて対応可能。これは非常に大きいメリットです。何より変化の激しい金融ビジネスの要請に合わせた、タイムリーなセキュリティ設定変更が可能になるという期待がありました」。
2019年1~ 3月にかけてPoCを実施。続く4月から始まった社内PC移行(Windows 7サポート切れ対応)に合わせて順次展開が行われ、9月には全社展開が完了。約650名、およそ30部署で利用されています。
導入の効果
自由なウェブ閲覧とリスク防止を両立。加えて運用の負荷とコストが劇的に軽減
Menlo Securityの導入によって、当初からの目標であった多層防御対策の強化という目的は予定通り実現できましたが、それ以上に大きなメリットは、セキュリティとWeb 活用の両立が実現したことだと、業務部 IT戦略課 次長 山本智則氏は指摘します。
「これまでの次世代ファイアウォールだと、Webサイトへのアクセスを遮断か許可かのどちらかしか選択できませんでした。Menlo Securityはリードオンリー(閲覧するだけ)という指定ができるので、ユーザーは投資業務に必要なWeb情報に自由にアクセスできるし、運用側は不正なアップロードやドライブバイダウンロードなどのリスクを遮断できる。この結果、Web情報活用とセキュリティの両立が可能になりました」。
Menlo Securityのもう一つの大きなメリットは、ユーザー展開の容易さです。たとえば導入後の設定も、ActiveDirectory からWindowsの「インターネットオプション」で通信先を強制指定するだけで、従来からの切り替えが完了します。一方では、特定の部署の特定のPCだけをMenlo Securityに移行して、ユーザーへの定着に合わせて順次他のPCに適用するといった細かなコントロールが容易に行えるのも大きな魅力です。
構成面ではAzure Active Directory(Azure AD)と連係させ、AzureADのユーザー情報をMenlo Securityの認証に使っています。
「権限付与やパスワード発行、ID作成、部署異動の処理など、IDに関しては何もしなくて済むので、Menlo Securityを導入してから、IDに関わる登録やサポート業務はほぼゼロになりました。従来、次世代ファイアウォールで外注先に依頼して設定していたポリシー変更もタイムリーにでき、専任の運用担当者を置かなくても問題ないレベルだと思っています」。
今後の展望
セキュリティログの分析や運用面でのさらなる改善に一層の注力を
今後、大和アセットマネジメントでは、Menlo Securityを含めた各種のセキュリティログの分析を進め、活用方法の改善や脅威の傾向評価や対策などにも活用していく予定です。また Menlo Securityの防御対象に含まれないzipファイルなどもカバーできるよう、エンドポイントセキュリティ製品との連携も検討していきたいと考えています。「Menlo Securityの導入で大和証券グループの求めるセキュリティレベルをほぼ満たすところまで来ました。今後は運用面でのさらなる改善を追求していきたいと考えています」と抱負を語る高橋氏。大和アセットマネジメントの情報セキュリティ強化に向けた取り組みは、さらに加速していきます。
※本文中の組織名、職名、概要図は公開当時のものです。(2020年3月)
