Tenableが変えた十六銀行の脆弱性対応
- 内製への転換で、診断頻度の向上とコスト削減を実現
株式会社十六銀行
- 導入製品/サービス…
- Tenable
|
|
|
十六銀行は、これまで外部の専門事業者に委託していた脆弱性診断をTenableによって内製化しました。Tenableを導入したことにより、週次を基本としたタイムリーな脆弱性診断を可能にするとともに、都度発生していた診断コストや社内手続きの負担を軽減することができました。金融庁ガイドラインに準拠しながら、コストを抑えたセキュリティ管理態勢の高度化を推進しています。 |
|
|
|
「外部委託から内製対応への方向転換には相応の技量や知識が必要と思っていましたが、その懸念は良い意味で裏切られました。今ではコストと工数を最小限に抑えつつ、高頻度の脆弱性診断を社内で実施できています」
株式会社十六銀行 DX部 システムデザイングループ 課長代理 井貝 尚弘 氏
課題
- セキュリティリスク管理態勢強化の中、診断業者に脆弱性診断サービス(診断と対策の提言)を依頼しており、システムごとに都度コストが発生
- デジタル化・DX化の進展に伴い、脆弱性診断の対象となるシステムが増加しておりコストが増大
- 定期的な診断が求められる中、診断業者に対する見積もりや発注を都度行う必要があり、コストに加えて事務負荷も課題に
対策
- 他社からの紹介を受け自動診断ツール「Tenable」の調査を開始。内製対応への方向転換となることから、検出脆弱性のサポート(解説内容)充実度を重点調査
- コスト、品質、操作性、サポートを高く評価し、高頻度の診断が可能なTenableを採用
- IT構成管理のために導入しているServiceNowと連携し、脆弱性チケット管理機能を構築。自社の対応ガイドラインに基づく優先度設定を整備
効果
- Tenableの活用により、脆弱性診断を内製化できる体制を確立
- 週次と月次で合わせて100を超えるアセットに対して診断を実施。新たな脆弱性が公表されても、週次を基本とした診断により、迅速に脆弱性を把握することが可能に
- 診断対象をインターネット公開システムからオンプレミス環境に拡大。十六銀行だけではなく、十六フィナンシャルグループのグループ各社にも展開
- 脆弱性診断の外注が不要となりコストを大幅削減。発注事務工数の削減により戦略的業務にリソースを集中
システム概要イメージ
|
|
デジタル化・DX化の進展に伴い脆弱性診断のコストが増大
1877年に第十六国立銀行として創業し、約150年の歴史をもつ十六フィナンシャルグループ。現在では地域総合金融サービスグループとして、「お客さま・地域の成長と豊かさの実現」に貢献することを使命としています。
そこで欠かせないのが、近年多くの企業にて重大な経営リスクとなっているサイバー脅威に対するセキュリティ態勢の強化です。十六銀行では2015年にCSIRTを設立し、昨今ではNISTサイバーセキュリティフレームワークや、金融庁のサイバーセキュリティガイドラインに準拠するような管理態勢を確立するなど、経営層の積極的な関与のもとで、ガバナンスとレジリエンスの向上を図っています。
その一環として、年2回実施しているインシデント対応演習には、担当役員やグループ会社社員など約50名が参加し、グループ全体で実行力を高めています。
また、勘定系システム共同化行である三菱UFJフィナンシャル・グループおよびChance地銀共同化行と2017年にアライアンス提携し、人材交流・トレーニー派遣、脅威情報の共有など、サイバーセキュリティに関する共助も行っています。
しかし、課題がなかったわけではありません。デジタル化・DX化の進展に伴い、脆弱性診断の対象となるシステムが増加していることから、脆弱性診断にかかるコストが増大していました。
安藤氏
外部の専門事業者に脆弱性診断サービス(診断と対策の提言)を依頼する中で、システムごとに発生するコストがかさんでいました。加えて、都度の見積もり取得や社内稟議手続きが必要なため、事務負荷も大きな運用課題となっていたのです。
結果として脆弱性診断の実施に関しては、頻度面での限界も顕在化していました。
ミニマムライセンスでの導入から始めて診断対象システムを段階的に拡大
上記の課題の解決策を探る中、十六銀行が出合ったのが「Tenable」です。高頻度のプラットフォーム診断を低コストで内製化できる脆弱性管理の自動化ツールとして、現行の外部委託サービスの拡張提案と比較検討した結果、総合的な判断から導入に至りました。
井貝氏
親密大手行との窓口となっている三菱UFJインフォメーションテクノロジー株式会社(MUIT)様にご相談したところ、ご共有いただいたのがTenableでした。世界的に定評のある脆弱性スキャナー「Nessus」の開発元企業の製品であり、技術的な信頼性の高さが選定の決め手となりました。
加えて十六銀行では、診断を外部委託から内製化するにあたり、Tenableの高い検出精度や分かりやすい解説内容を評価しました。さらに、高頻度で診断を実行できることや、将来的に内部セグメントへも診断範囲を広げられる柔軟性も選定理由の一つとなりました。
そして、これらの機能とクオリティを確認するため、ミニマムライセンスでTenableを導入。効果を実証しながら利用範囲を広げていくことを基本方針としました。
直感的な操作が可能であり、内製化への有用性を確信
具体的には各システムに対して、2~4週間の試行期間を設け、慎重な姿勢で対象システムの拡大に臨みました。
また、実際に導入したTenableの活用は想定していたよりもはるかに容易だったと井貝氏は振り返ります。
井貝氏 TenableはGUIベースの直感的な操作が可能で、すぐに理解できました。また、診断結果のPDFレポートも日本語で詳細に記載されており、速報をメールで確認することも可能です。脆弱性診断の内製化は難易度が高いのではないか、と私たちが当初抱いていた懸念点は、良い意味で裏切られました。
Tenableのスムーズな導入が実現した背景には、アシストのサポートによる貢献もありました。
井貝氏 Tenableの導入に際してアシストの全面的なサポートを受けており、そのクオリティや即応性、丁寧さ、米国Tenable本社との取次など、あらゆる面で満足しています。また、診断の実施に先立って、該当業務システムのベンダーとの調整期間を設けて説明資料を作成する場面においてもアシストの支援をいただき、非常に助かりました。アシスト経由でTenableを導入することができ、満足しています。
こうして、Tenableの利用拡大を進めてきた十六銀行は、2023年に新しく構築した中継サーバーを経由して、オンプレミスシステムも脆弱性診断の対象に加えています。
コスト削減とセキュリティ強化を両立。十六フィナンシャルグループ全体へ横展開を推進中
安藤氏 以前は各システムに対して、1回診断を行うだけで数十万円のコストがかかっていました。しかし、Tenableを導入した現在は、対象システムへ何回診断を行ったとしても、定額のコストで済みます。
結果として、脆弱性診断のコスト面でのハードルがなくなったばかりか、タイムリーな診断も実現しています。世間で新たな脆弱性が公表されても、1週間後には診断結果が判明するため、迅速なリスク把握や対応検討が可能となり、セキュリティ面での安心感を高めています。現在、合わせて100件を超えるアセットに対して、週次または月次で診断を実施しており、金融庁のサイバーセキュリティガイドラインに準拠するための手段を得たものと認識しています。
また、脆弱性診断の内製化に伴い、システムごとの特性に応じて柔軟な診断スケジュールを組むことが可能となり、業務への影響を最小限に抑えています。
安藤氏 例えば、開発環境を診断してから翌週に本番環境の診断をしたり、診断に使える時間が少ないシステムでは1週間ごとにローテーションしながら診断を行ったりと、臨機応変なスケジュールを設定できる点も魅力の一つですね。
加えて、これまで外部の委託事業者に都度依頼していた診断見積もりや、社内手続きといった事務負荷から解放され、本来注力するべき脆弱性管理業務に集中できるようになったことも大きな成果として挙げられます。
こうした効果を受けて、十六銀行だけではなく、十六フィナンシャルグループのグループ各社へのTenableの展開も進めています。
最後に今後の活用方法について、井貝氏は次のように語ります。
井貝氏 脆弱性の検知から解消までの対応を一元化し、迅速かつ効率的な対処を可能にするため、TenableとServiceNowのIT Operations Management(ITOM)機能を連携させた脆弱性チケット管理機能を構築するなど、脆弱性対応、IT資産管理をはじめとするサイバーセキュリティ管理態勢のさらなる高度化を推進しています。
取材協力
株式会社十六銀行 DX部 システムデザイングループ
課長 安藤 和雄 氏
課長代理 井貝 尚弘 氏
-
※本稿は取材時の内容に基づくものです。製品やお客様情報など最新の情報と異なる場合がありますのでご了承ください。
-
※記載されている会社名、製品名は、各社の商標または登録商標です。
お客様情報
| 会社名 | 株式会社十六銀行 |
|---|---|
| 本社 | 岐阜県岐阜市神田町8丁目26番地 |
| 設立 | 1877年10月 |
| URL | https://www.juroku.co.jp/ |
| 従業員数 | 1,817名(2025年3月末現在) |
| 取材日 | 2025年5月16日 |
事例に関するお問い合わせ
ご興味のある事例がございましたら、お気軽にお問い合わせください。より詳しい情報をお届けします。
