金融機関に求められる サイバーセキュリティ管理態勢を満たすべく IT資産管理と脆弱性管理を高度化 - 株式会社 十六銀行 PDFをダウンロードする
最新のIT資産情報 IT資産を自動収集しタイムリーに把握 1時間 脆弱性情報の影響確認に要する時間を数週間から1時間に短縮 サイバーセキュリティ管理態勢の高度化 NISTや金融庁が公表した指針・ガイドラインへの準拠
ガイドライン公表に先んじて、十六銀行はServiceNowによって準拠するための手段を得たものと認識しております。 安藤 和雄 氏 株式会社 十六銀行 DX部 システムデザイングループ 課長

地域総合金融サービスグループである十六フィナンシャルグループの中核企業である十六銀行は、高度化・巧妙化するサイバー攻撃への対応力強化を目指し、IT資産管理の高度化に取り組んでいます。十六銀行はServiceNowを導入し、従来数週間を要していた脆弱性影響調査を1時間以内に短縮。リアルタイムなIT資産の可視化により、金融機関に求められるサイバーセキュリティ管理態勢の高度化を推進しています。

金融機関に求められるサイバーセキュリティ管理態勢

十六銀行は、1877年10月創業の第十六国立銀行を起源とする地域金融機関です。2021年10月に持株会社である十六フィナンシャルグループを設立し、十六銀行のほか、証券会社など全12社でグループを構成し、「お客さま・地域の成長と豊かさの実現」を使命・ミッションとして掲げています。

十六銀行は、「ポケットにいつも銀行を。」をコンセプトとする新たなバンキングアプリ「じゅうろくアプリ」を2025年4月より提供開始しています。お客さまが銀行口座に自由にアクセスし、さまざまなサービスを利用できる利便性・快適性を高めています。そんな十六フィナンシャルグループおよび十六銀行が、最重要の経営課題の1つとして取り組んでいるのが、サイバーセキュリティ管理態勢の高度化です。

金融機関は重要インフラ事業者として、サイバーセキュリティ管理態勢の整備が求められています。十六フィナンシャルグループはサステナビリティKPIとして「危機発生時における初動対応訓練の年2回以上の実施」を設定し、十六フィナンシャルグループ・十六銀行共同でサイバー攻撃のインシデント対応演習を定期的に実施しています。

十六銀行 DX部 システムデザイングループ 課長の安藤和雄氏は、「サイバー攻撃はシステム的な事象ではありますが、システム停止した場合は業務に大きな影響を及ぼします。重要インフラ事業者である金融機関として、お客さまの資産をお守りするため、営業店対応、顧客保護、広報対応、関係機関との連携など、全社的な危機管理の体制が必要との認識のもと、CSIRTだけでなく、緊急時対策本部と連携して対応する体制を整えています」と語ります。

さらに、十六銀行では、NIST(米・国立標準技術研究所)のCybersecurity Frameworkなどのフレームワークを活用したサイバーセキュリティ管理態勢の向上のほか、2024年10月に金融庁から公表された「金融分野におけるサイバーセキュリティに関するガイドライン」に準拠するための活動も進めています。

十六銀行 DX部 システムデザイングループ 課長代理の井貝尚弘氏は、「NISTのCybersecurity Frameworkでは『Identify・特定』の1点目として『資産管理』が求められています。十六銀行では、サイバーセキュリティの基本事項である『資産管理』の高度化のため、ServiceNowを導入しました」と説明しています。
十六銀行では、サイバーセキュリティの基本事項である『資産管理』の高度化のため、ServiceNowを導入しました。 井貝 尚弘 氏 株式会社 十六銀行 DX部 システムデザイングループ 課長代理

サイバーセキュリティ管理態勢の高度化への対応がIT資産管理見直しの契機に

十六銀行では従来、社内ポータル上に利用する情報システムを管理するページを設けて、情報システムの管理を行っていました。しかし、各担当者が内容を登録・更新する仕組みであることから、「登録内容が十分でない」、「登録内容が更新されていない」、「必要な情報が一元管理・把握できない」といった課題があったのです。特に、脆弱性情報の公開時、該当する情報システムの洗い出しに時間・労力を要していました。

「該当の情報システムは自分たちのデータセンターにあるにも関わらず、サイバーセキュリティ部門から各情報システムの担当者へ脆弱性の影響調査を依頼し、各情報システムの担当者は業務システムベンダーへ調査依頼を展開するという流れとなっていたため、影響調査が完了するのに数週間の時間を要していました。高度化、巧妙化、頻発化するサイバー攻撃に対して、このような時間感覚では、いずれ破綻することは目に見えていました」(井貝氏)

また、金融庁からの「サイバーセキュリティセルフアセスメント」において、「IT資産管理ツール等によって変更を自動で反映している」かが問われるようになったことも背景に、十六銀行では2022年末頃からIT資産管理ツールの情報収集を開始しました。

自動脆弱性診断ツールとの連携性も高く評価

井貝氏が中心となって製品選定を進め、「設置場所の網羅性」、「機器・情報の網羅性」、「導入の容易性」、「自動脆弱性診断ツールとの連携性」、「価格面・サポート面」という観点から検討を行いました。

こうした検討の結果、ServiceNowが最適であると判断した理由について、井貝氏は次のように説明しています。

「ServiceNowはパブリッククラウドも対応しており、将来においても網羅性が高いと判断しています。また、Windowsサーバだけでなく、Linuxやネットワーク機器にも対応しており、各サーバ・機器から収集できる情報が要件を満たしていました。また、ミッションクリティカルな金融情報システムが多い中、インストール不要で、現行稼働システムへの導入の容易性も評価しています」

さらに、既存のセキュリティツールとの連携性も重視。最終的には、パートナー企業との協業関係も選定ポイントになったと言います。

「2022年より、自動脆弱性診断ツールを導入しており、IT資産管理ツール検討と同時期の2023年からは、オンプレ環境の脆弱性診断を開始する予定でした。ツールで検出される脆弱性アラートをServiceNowに取り込むことでチケット管理・ステータス管理ができることも大きな利点です。最終的には、十六フィナンシャルグループと協業関係にあるソフトバンクとSBテクノロジーからノウハウを含めた手厚いサポートが得られる点を評価し、選定しました」(井貝氏)

ServiceNowでIT資産の可視化と脆弱性管理を高度化

十六銀行は、下記の8つのプロセスをServiceNowで実行することで、IT資産管理および脆弱性管理の高度化を押し進めています。

①    オンプレミス・クラウド環境にまたがる情報資産の自動収集(ディスカバリー)

②    収集情報に基づいたサービスマッピングの自動生成

③    サービスマッピングへのサービスごとの重要度自動反映

④    自動脆弱性診断ツールとの連携による脆弱性検知アラートのチケット自動発行

⑤    サービスの重要度と脆弱性情報に基づいたリスクスコアの自動算出

⑥    リスクスコアに応じた対応期限の自動設定

⑦    サービス単位の脆弱性検知メール自動通知

⑧    対応状況の可視化とリマインダーの自動送信

 

導入プロジェクトを支援したSBテクノロジー デジタルプラットフォームソリューション技術部 ServiceNow第1グループの山野愛氏は、「今回のServiceNow導入にあたって、特に重視したのはOOTB(Out of the Box)の実践です。標準機能をそのまま利用し、実装を進めることで、開発作業や運用コストを最小限に抑えました」と話します。

もっとも、カスタマイズを一切行わなかったわけではありません。

「自動脆弱性診断ツールやSecOpsが持っている標準リスクスコアではなく、十六銀行様が独自に設定している脆弱性対応基準に基づいて脆弱性のリスクスコアを算出しています。また承認についても、標準設定の2段階ではなくスピード重視により1段階とする一方、自己承認は許可しないよう制限をかけることにしました。お客様の業務特性をしっかり反映することで、最適な承認フローを実現しています」(山野氏)

ServiceNowの導入により、十六銀行のIT資産管理と脆弱性管理に効果が出始めており、井貝氏は次のように語っています。

「ServiceNowディスカバリーにより、タイムリーに構成情報が取得できるようになりました。どの情報システムに、どのアプリケーションの、どのバージョンがインストールされているのか、サイバーセキュリティ部門が自分だけで確認できるようになりました」(井貝氏)

特に脆弱性情報の影響確認スピードが飛躍的に向上したことが大きな成果だと言います。

「公表された脆弱性情報の影響確認においては、ServiceNowでバージョン番号まで確認できるため、余分な労力を減らすことに寄与しています。また、数週間要していた影響調査は、ServiceNowディスカバリー対象であれば、1時間もかからないこともあります」(井貝氏)

また、2024年10月に金融庁から公表された「金融分野におけるサイバーセキュリティに関するガイドライン」に対して、ServiceNowは有効なツールと安藤氏は評価しています。

「ガイドラインでは情報システム台帳をはじめ、ハードウェアおよびソフトウェアを適切に管理するための手続・台帳などを整備し、『最新の状態を網羅的に把握できるようにすること』が求められています。十六銀行はServiceNowによってガイドラインへの準拠を進めるための手段を得たものと認識しております」(安藤氏)

新本部ビル開業も見据えサイバーセキュリティ高度化施策を加速

十六フィナンシャルグループおよび十六銀行は、ServiceNowの導入をきっかけに、さらなるセキュリティ施策の高度化を計画しています。安藤氏は今後の展望について次のように話します。

「まずは、対象機材の網羅性を高めていくことが先決だと認識しています。また、自動脆弱性診断ツールで検出される脆弱性アラートを十六銀行制定の脆弱性ガイドラインに沿ったリスクレベルを判定した上でServiceNowに取り込んでおり、今後はこの機能を有効活用したチケット管理運用を考えています」

さらに、十六フィナンシャルグループおよび十六銀行では情報セキュリティを含むセキュリティ関連規程の見直し、人材育成、EDR導入範囲の拡大など、2027年度の新本部ビル「16FGオフィス&パーク」開業を見据えて、さまざまなセキュリティ高度化施策を加速させていきます。
この事例を共有 導入製品 IT Operations Management Security Operations お客様の詳細 お客様名 株式会社 十六銀行 所在地 日本 岐阜県 業種 金融サービス 従業員数 1,818名 パートナー SBテクノロジー株式会社
Security Operations 脅威と脆弱性の管理と対応の簡素化と自動化を行い、組織に対するリスクを軽減します デモを見る エキスパートに相談する プロセスの簡素化でもアプリ開発の迅速化でも、私たちがお手伝いします。 お問い合わせ
おすすめの事例 すべての事例を見る DXを支えるセキュリティ基盤の構築、脆弱性対応の工数削減と大幅なリードタイム短縮を実現 - 積水化成品工業 事例を読む グループ会社約100社のセキュリティイベントの一元管理と効率化を目指すJR東日本情報システム 事例を読む