ピンボール戦車少女

LAC WATCH

セキュリティとITの最新(xin)情(qing)報

RSS

株式会社ラック
導入事例 | 

株式会社 沖縄銀行様 クラウドセキュリティ統制支援サービスby Prisma Cloud(プリズマクラウド)事例

シェアボタンを表示

地域(yu)に貢献(xian)する沖(chong)縄銀行のシステム開発(fa)力とセキュリティ対策

沖縄銀行は、沖縄の地域経済をけん引していく金融機関の一つだ。2021年10月、沖縄銀行の単独株式移転により『おきなわフィナンシャルグループ』が設立された。グループ経営理念のトップには「地域密着・地域貢献」を掲げ、地域社会の価値向上を図り、地域貢献を果たしていくことを使命としている。今後、グループでは金融分野だけでなく、非金融分野の事業領域での貢献も期待されている。銀行業界でのクラウド利活用が進む中、沖縄銀行のシステム部の高宮氏、我那覇がなは氏、山本氏、下地しもじ氏にマルチクラウドのセキュリティ対策についてお話を伺った。
(高(gao)宮氏、山本氏は、おきなわフィナンシャルグループICT統(tong)括部と兼務)

クラウド導入が遅れた銀行業界

これまでの銀行(xing)システムは、インターネットから切り離した閉鎖的なネットワーク環境で構築・運(yun)用を行(xing)ってきた。扱う情(qing)報の性(xing)質から、外(wai)部との連携(xie)をすべきではないという発想からである。しかし昨今、利用者のニーズに応える高(gao)度な金融(rong)サービスを提供するためには各種外(wai)部サービスとの連携(xie)が必要になり、銀行(xing)システムを取り囲むネットワーク環境の構成は見直(zhi)されている。

2018年6月に施行された改正銀行法によって、銀行を中心とした各金融機関にはオープンAPIの努力義務が課(ke)されることになった。利(li)用(yong)(yong)(yong)者ニーズへの迅速(su)な対応や継(ji)続的なサービスの進化(hua)、コストなどの観(guan)点からパブリッククラウドの活(huo)用(yong)(yong)(yong)が当たり前になっている。沖縄(sheng)銀行はそのような銀行業界(jie)の中にあっても、いち早くクラウドの活(huo)用(yong)(yong)(yong)をしてきた。

※ 銀(yin)行と外部の事業(ye)者との間(jian)の安全なデータ連携(xie)を可能にする取組みです。金(jin)融(rong)機関(guan)(guan)がシステムへの接続仕様を外部の事業(ye)者に公(gong)開し、あらかじめ契約を結んだ外部事業(ye)者のアクセスを認めることで、金(jin)融(rong)機関(guan)(guan)以外の事業(ye)者が金(jin)融(rong)機関(guan)(guan)と連携(xie)して、お互いに知恵を絞り、利(li)便性の高(gao)い、高(gao)度な金(jin)融(rong)サービスを展開しやすくなります。(一般社団法(fa)人 全国銀(yin)行協会「オープンAPIって何(he)?」より)

沖縄銀行におけるクラウドサービス活用の歩み

沖(chong)縄(sheng)銀行(xing)は、1970年代(dai)から行(xing)内にシステム部門と技(ji)術者(zhe)を抱え、自前(qian)でシステム開(kai)(kai)(kai)(kai)発を行(xing)ってきた伝統がある。クラウドの利(li)(li)用についても同様で、クラウド導入(ru)時は、開(kai)(kai)(kai)(kai)発ベンダーの協力もあったが、沖(chong)縄(sheng)銀行(xing)、おきなわフィナンシャルグループのシステム開(kai)(kai)(kai)(kai)発部門はすぐに開(kai)(kai)(kai)(kai)発ノウハウを身(shen)につけ、すでに自分たちでクラウド環境を利(li)(li)用した開(kai)(kai)(kai)(kai)発を行(xing)っている。社内の開(kai)(kai)(kai)(kai)発リソース、スキル、既存の利(li)(li)用サービスとの相性から、早々にAWSとMicrosoft Azureのマルチクラウドを選択して、システム開(kai)(kai)(kai)(kai)発を行(xing)っている。すべてのサービスでクラウドを利(li)(li)用するわけではないが、対(dui)外(wai)向(xiang)けのサービスについては、まずクラウドの利(li)(li)用を検討(tao)するという。

経営層からは、オープンAPIの活用やスマートフォンアプリ「おきぎんSmart」といったアプリ開発(fa)のチャレンジをどんどんやって欲しいという要望がありつつも、同時にセキュリティ面の安全性(xing)を確保するようにという指示があった。クラウドの活用が進めば進むほどその環境の注目度・重(zhong)大さが増し、安全性(xing)の確保が必(bi)須となることも感じていたという。

※ スマートフォンの画面上でお客(ke)様の預金、融資状況(kuang)を簡単(dan)に確認できるアプリ

外部の目で見るクラウドセキュリティ対策

クラウドのセキュリティについては、内(nei)部(bu)の開発(fa)者(zhe)だけの監視(shi)では視(shi)野が狭くなると考え、初めから外部(bu)の目が必(bi)要という意識(shi)(shi)があった。実際(ji)にクラウド環境(jing)でのサービス運用を開始した後、大(da)きな設定変更を行った際(ji)には、外部(bu)組織と有識(shi)(shi)者(zhe)にサービスの評価を依(yi)頼した。また拡大(da)をしていくサービスに対して、24時(shi)間365日、自分たちのリソースだけで監視(shi)やメンテナンスを続(xu)ければ、すぐに監視(shi)運用が苦しくなることはわかっていた。

クラウドセキュリティの監視に関する検討を進める中、パロアルトネットワークスのクラウド保護ソリューションであるPrisma Cloudと、同ソリューションをもととするラックの『クラウドセキュリティ統制支援サービス』が検討に加わった。同サービスを採用する決め手となったのは三点ある。まず、Prisma Cloudがすでに利用している複数のクラウドベンダーを分け隔てなく扱っていること。次に、ラックがFISCの定めた金(jin)融(rong)機(ji)関情報(bao)システム向けの安(an)全対(dui)策(ce)基(ji)準「FISC安(an)全対(dui)策(ce)基(ji)準」をベースとしたオリジナルポリシーを開(kai)発し組(zu)み込んでいること。さらに、ラックがこのソリューションを活用するための導(dao)入(ru)コンサルティング・運用サービスを提供していることだと高宮氏は語った。

沖縄銀行システム部 兼 おきなわフィナンシャルグループICT統括部 部長代理 高宮氏
沖縄銀行システム部 兼 おきなわフィナンシャルグループICT統括部 部長代理 高宮氏

導(dao)入決定(ding)前(qian)にはラックのエンジニアとともにPrisma CloudのPoC(Proof of Concept:概念(nian)実証)を実施(shi)した。PoCがスムーズに進む中、クラウド上(shang)の設定(ding)に軽微なセキュリティ上(shang)の懸念(nian)事項が見つかったことも、導(dao)入を決めた一つのきっかけでもある。システム開発に自信がある沖縄銀行だからこそ、自分たちの力だけで監視を行うのは危険だという判断(duan)も早かった。

※ 公益財団法人金(jin)融情報システムセンター(The Center for Financial Industry Information Systems)

沖縄銀行のシステム開発とセキュリティ対策

沖縄銀(yin)行では、システム部の施(shi)策として毎期(qi)新たな技術(shu)検証や、プロトタイプ開(kai)発を行っている。プロトタイプで実装したものは、支店でも利用(yong)してもらう。すぐに具体的な改(gai)善要(yao)望、新しいサービスの要(yao)求(qiu)が現(xian)(xian)場から上がってくる。現(xian)(xian)場の要(yao)望が上がってくる仕組みもシステム開(kai)発の伝統同様にあると言う。社会からの要(yao)請と、お客様の要(yao)望、現(xian)(xian)場からの要(yao)求(qiu)、開(kai)発を進めたいサービスはたくさん控えている。

Prisma Cloudを用(yong)いたクラウドセキュリティ監視の担(dan)当(dang)は、ICTチームから基盤チームへ移管しつつある。Prisma Cloudの運用(yong)が確立されたことを受(shou)けて、当(dang)初クラウド導入の先駆けであったICTチームは新たな開(kai)発に集中し、基盤チームが横断的にインフラ・ネットワーク・セキュリティ対策を担(dan)当(dang)していく形にシフトすることが目的だ。

左から、システム部ICTチームの調査役 我那覇氏と、基盤チームの調査役 山本氏
左から、システム部ICTチームの調査役 我那覇氏と、基盤チームの調査役 山本氏

運用(yong)が確立(li)されているとはいえ、クラウドセキュリティ対策(ce)の運用(yong)を日々まわしていくためには、このエリアに関連する知識(shi)が必要(yao)となる。クラウド導(dao)入後(hou)に基盤チームへ参画(hua)した下地氏は、システム部内のOJTを通じ、具体例(li)や実際のケースと照(zhao)らしながら理解を進(jin)めているという。

現場(chang)からの要望だけでなく、長いシステム開発(fa)の伝統からシステム部(bu)内の情(qing)報共有、コミュニケーションの良好さがOJTのきめ細やかさにも表れている。もちろん教育はOJTだけに留めない。並行して、クラウドやセキュリティのベースとなる知識・スキルの設定、クラウドやセキュリティに関する資(zi)格とのマッピングなど、社内やグループ各(ge)社の教育体(ti)制構築についても進めているところだ。

システム部基盤チームの行員 下地氏
システム部基盤チームの行員 下地氏

このように、開(kai)発とセキュリティ対(dui)策と両者(zhe)における部門施策、チーム編成や教育などを交(jiao)えながら沖縄銀(yin)行のシステム開(kai)発はさらなるステージへと進んでいる。

沖縄銀行とおきなわフィナンシャルグループのこれから

理想形としての「あるべき」姿の模索(suo)や、それを実現(xian)するためのサービスのさらなる活(huo)用(yong)へのアプローチ方法の調査など工夫(fu)を重ねている段階だ。山本氏は、おきなわフィナンシャルグループのセキュリティについて、今後(hou)の将来について語ってくれた。「従来のガチガチの境界防御から、クラウドの利活(huo)用(yong)に合わせた形に移行していきたい。グループ各社が導入しやすい方法を取りながら、ゼロトラストセキュリティ一択といった極端(duan)な選択ではなく、自(zi)分たちにあったセキュリティデザインを目指していきたい。」

おきなわフィナンシャルグループの沖縄銀行は、地(di)(di)域のDXを支援(yuan)する役割を担い、地(di)(di)域社会の価値向(xiang)上(shang)に全力を尽くすと謳っている。グループのシナジーを最大限(xian)に発揮するために、金融サービス以外(wai)にも非金融のサービスにも関わっていくことになる。システム開発力と伝統に甘んじることなく挑戦する姿勢は、一(yi)(yi)企業、一(yi)(yi)グループとしての期(qi)待(dai)だけでなく、今後の沖縄のDX事例としても楽しみだ。

左から、下地氏、山本氏、我那覇氏
左から、下地氏、山本氏、我那覇氏

お客様プロフィール

株式会社 沖縄銀行 様

株式会社 沖縄銀行 外観

導入(ru)サービスのご案内

詳細は、サービスページをご覧(lan)ください。

クラウドセキュリティ統制支援サービスby Prisma Cloud(プリズマクラウド)

この記事は役に立(li)ちましたか?

はい いいえ