信用組合のサイバーセキュリティ管理に課題を感じWebアプリケーション診断・ペネトレーションテストを導入。

画像

全国信用協同組合連合会
米谷 達哉様 小林 秀雄様 

全国信用協同組合連合会(全信組連)様は、全国の信用組合を会員とする系統中央金融機関として、信用組合間の資金調整や金融商品の提供を行っています。
金融庁からのサイバーセキュリティ強化通知を受け、全国の信用組合に脆弱性診断を浸透させる必要性が生じました。診断業者選定の際には、高品質かつ低価格な提案を重視し、レオンテクノロジーを選定。診断後の迅速な報告書提出や具体的な改善策の提示により、セキュリティ対策が強化されました。
全国の信用組合向けに柔軟な診断メニューを設計し、説明会を通じてセキュリティ意識の向上を図りました。これにより、信用組合全体のセキュリティレベルが向上し、定期的な診断の必要性を再認識。今後も継続的なセキュリティ対策を推進し、セキュリティレベルの強化を目指しています。

課題

これまでの課題

  • サイバーセキュリティ管理体制強化の通知を金融庁から受け、脆弱性診断の実施が必要になった。
  • 全国145の信用組合にセキュリティ対策を浸透させる必要があった。
  • 脆弱性診断の経験が浅い信用組合が多く、費用面での負担がネックだった。
成果

導入後の成果

  • 高品質かつ低価格な脆弱性診断の提案が決め手。
  • 診断後の報告書が迅速に提供され、具体的な改善策が示された。
  • 全国の信用組合向けに柔軟な診断メニューを設計し、セキュリティ対策の重要性を説明会で浸透させた。
  • 説明会を通じて、各信用組合のセキュリティ意識が向上した。
  • 定期的な診断の必要性を認識し、継続的なセキュリティレベルの強化を目指している。

全国信用協同組合連合会(略称:全信組連)様は、全国の信用組合を会員とする信用組合の系統中央金融機関です。
預貸金取引を通じた信用組合間の資金の調整機関としての役割を果たすとともに、国内の金融・証券市場で機関投資家として信用組合の余裕金を効率的に運用しています。
信用組合の信用維持・向上を図るため、信用組合経営安定支援制度の運営等を行うほか、信用組合の窓口を通じて、組合員の方々に代理貸付や国債・投資信託の窓口販売などの様々な商品・サービスを提供しています。
また、子会社の信組情報サービス(株)では、信用組合の電子計算受託事業を行っており、勘定系・情報系の共同電算センター(SKCセンター)の運営と内国為替等にかかる信用組合業界の中央センター(全信組センター)の運用を担っています。

米谷 達哉 様

米谷 達哉 様

全国信用協同組合連合会専務理事 兼
信組情報サービス(株)代表取締役社長

小林 秀雄 様

小林 秀雄 様

全国信用協同組合連合会システム業務部 審議役
連合会CSIRTおよび信組向けセキュリティ支援を担当

系統中央機関として脆弱性診断を浸透させるという課題に直面

画像

米谷様

この度、レオンテクノロジーさんの脆弱性診断サービスを利用させて頂きました。サイバーセキュリティについては前々から力を入れなければという思いがありましたが、直接的なきっかけとしては金融庁から「信用組合のサイバーセキュリティ管理体制の強化」について、2度にわたり通知がきたのというのがあります。ご案内の通り、オリンピック・パラリンピックを控えている中、「システムの脆弱性診断を令和2年3月末までに実施すること」ということで、全信組連が保有する重要システムについての診断はもちろんですが、脆弱性診断の経験が浅い全国の信用組合にどうやって脆弱性診断を浸透させるかというのが大きな課題としてありました。

我々全信組連は系統中央機関でありまして、信用組合の余裕金を運用するというところから始まったわけですが、各信用組合の経営面のサポートをするというのも重要な役割です。そういう意味で、セキュリティ対策を各信用組合に徹底してもらうことも、ある面で中央機関としての役割だと考えております。全国に145ある信用組合にセキュリティ対策を浸透させるということになると、脆弱性診断の経験が浅い信用組合が多いことや、また費用面での負担がネックになる信用組合も多いだろうということもあり、全信組連から利用しやすい業態スキーム(診断メニュー)をご案内しようということになったのです。もちろん、すでに診断を実施している信用組合や、独自で診断業者を選定したい信用組合もあるかと思いますが、選択肢の1つとしての業態スキームをご案内しようということになりました。

数あるセキュリティベンダーの中からレオンテクノロジーを選んだ理由

画像

米谷様

当会の重要システムの診断や、全国の信用組合のシステムの診断をお任せするのですから診断業者選びは慎重に大手セキュリティベンダーも含め複数社を比較検討しました。

選択のポイントとして重視したのは、高品質で低価格であることでした。特にペネトレーションテストを実施できる業者は国内でも数えるほど少なく、しかも非常に高い相場でありました。レオンテクノロジーさんの場合は、非常にリーズナブルな提案価格でしかも多くの実績があるというのが、選択の決め手の1つです。また、脆弱性診断実施後の報告書の提出は、おおかたのセキュリティベンダーだと診断実施後2~3週間後というのが相場だそうですが、レオンテクノロジーさんの場合は2~3日で報告書を頂ける状態になるということも大きな決め手の1つでした。

画像

小林様

高品質の診断サービスを提供するには、高い技術力が求められます。ホワイトハッカーを抱えるセキュリティサービス会社は国内では早々にあるものではないことは理解しています。そのような状況の中で、レオンテクノロジーさんの代表でもありホワイトハッカーでもある守井社長のサイバーアタック及びフォレンジックの知見と技術力、積み上げてこられた実績に注目しました。

例えば、打合せの最中に当会のホームページの脆弱性を見つけてしまう事や危険な脆弱性を有する複数の信用組合のホームページをその場で見つけてしまうなど、ハッキングの手法を熟知しているからこそできる離れ技でした。通常の診断会社の技術者にはその場でできる技ではありません。このことは、脆弱性診断が正確に迅速に行われることを証明していました。守井社長ととある講演会で知り合えたことは非常にラッキーでした。

レオンテクノロジーに依頼して良かった点

画像

米谷様

我々全信組連のシステムの脆弱性診断もやって頂いたわけですが、診断後の報告書が非常に丁寧な内容で、それを2~3日でご提出いただけるのは、やはり技術力を持っているスタッフさんが充実されている証左かなと思いました。

小林様

報告書の内容については、改善策が具体的に書かれているのがよかったと思います。やはり診断して終わりではなく、対策まで実施してこそ意味がありますので。

他に良かった点としては、当会への診断のご提案、また全国の信用組合向けの診断メニューの設計(内容とコスト)においては、信用組合のシステム面の実情を考慮した上での“柔軟”なご対応を頂けたことも良かったです。レオンテクノロジーさんは特定のセキュリティ製品を販売するポジションは取られていないため、偏った提案は一切なく、いかにコストを抑えながら診断やその後の対策につなげるかというご提案でした。

米谷様

全国の信用組合向けの診断メニューを設計した後は、守井社長にもご登壇頂いて、各信用組合向けに脆弱性診断の必要性や最新の脅威を解説する説明会を2度にわたり実施したわけですが、その内容がわかりやすく、面白くて良かったと思います。各信用組合の参加者も、脆弱性診断の説明会というと固い内容だろうなあと思っていたと思いますが、予想以上に内容が面白かった(笑)。脆弱性診断をやるかやらないかは別として、説明会は面白かったという声もあったぐらいです(笑)。いままで、サイバーセキュリティ対策というのは、ある意味で規定をつくってそれをきちんと運用する体制をつくっておけばいいだろうというところで止まっている信用組合もあったかと思いますが、この説明会を通じてセキュリティへの関心を持ってもらえたことが大きかったと思います。組合員数の少ない業域・職域の信用組合まで脆弱性診断が浸透したというのは、大きな成果だと思っています。やはり各信用組合がアクセスしやすいセキュリティメニューを系統中央機関で用意することの重要性を再認識した次第です。

今回は、まず脆弱性診断を実施して弱いところみつけてそれを改善するということですが、こうした取り組みは1回で終わりにしてはだめで、やはり定期的にやっていかなければなりません。また、今後も当局からもセキュリティ対策への要請は高まってくるかと思いますが、引き続き信組業態全体としてセキュリティレベルの強化をしていきたいと思います。

お客様の業界や固有の課題に対応した事例や支援をご提案いたします。
ご相談はお気軽にどうぞ。

弊社では、サービス提供後のフォローにも力を入れています。お客様が安心してサービスを利用できるように、問題が発生した際の迅速な対応はもちろん、定期的なフォローアップや最新情報の提供を通じてお客様をサポートいたします。