当行ではすべてのサービスをクラウドで提供していますが、安全なサービスを継続的に提供できるよう、「顧客向けサービス」「プロダクト提供環境」「社内環境」の3つのカテゴリにおいて、さまざまなセキュリティ対策の企画・導入・運用を、可能な限り内製で行っています。また、多様なツールを活用しながら、セキュリティオペレーションを極力自動化し、効率的に進めることができるよう日々取り組んでいます。
NRIセキュアにお声がけしたのは、当行のバンキングシステムを外部提供するための準備を行っているタイミングでした。システム開発においてはDevSecOpsを実践しており、SAST、DASTや、APIやスマホアプリに対する脆弱性診断のほか、コンテナ環境のセキュリティスキャン等の対策をひととおり実施してきました。

しかし、正式にシステムを外部に販売するのであれば、アプリケーションのソースコードだけではなくIaCまで含め、通常のSASTや脆弱性診断では発見できないような脆弱性や悪意のあるソースコードであるバックドアまで網羅的に潰しておきたいと考え、外部のソースコード診断を受けることにしました。複数のセキュリティベンダーに声を掛け検討しましたが、当時、IaCの診断やバックドアの検出を提供しているセキュリティベンダーはNRIセキュアの他にありませんでした。

当時は、「システムを外販すること」は決まっていたものの、「どこまでの機能範囲を販売対象とするか」については社内でも未確定の状況でした。また、診断対象は、基幹業務アプリケーション本体に加えて、周辺のテストツールなどもあり、非常に多岐にわたりました。

診断の結果、バックドアや緊急度の高い問題は見つかりませんでしたが、一部のテストツールに内部情報のハードコーディングが見られました。テストツールとしては問題ありませんが、もし、そのツールを外販するのであれば修正が必要になります。留意しなければならない観点が見つかったことで、専門家によるソースコード診断の有効性を実感しました。

報告書を通して、クラウド環境のセキュリティ設定やポリシーに関する指摘・提言を受けられたことも、非常に良かったと思います。ベーシックな部分で私たちができていない点や不足していることを、改めて意識する機会にもなりました。

直近では、「脆弱性管理の自動化」に取り組んでいます。以前は、新たな脆弱性が公表されると、その都度「うちは大丈夫だろうか？」と人手で確認していましたが、脆弱性情報の収集と自社環境への影響を自動的に判定可能な仕組みを実現しようとしているところです。また、エンジニアのうち10％超の人数に相当する有志メンバーを対象にセキュリティチャンピオン（エンジニア組織内のセキュリティリーダーとなる人材）育成プログラムも実施しています。開発の第一線でセキュリティリーダーとして活躍していただくことで、セキュリティ・バイ・デザインを実践していく取り組みです。
最近は、関連のニュースを見ない日はないほどサイバーセキュリティに対する脅威が高まっています。自社サイトはもちろんお客様の安全もしっかりと守ることができるよう、セキュリティに対する取り組みと合わせて、専門人材育成にも注力していきます。