インターネットバンキングのサイバー攻撃対策事情、ジャパンネット銀行の取り組み：事例で学ぶ！業務改善のヒント（1/2 ページ）

日本初のインターネット専業銀行、ジャパンネット銀行ではさまざまなセキュリティ対策を実施。日々新たな「不正送金マルウェア」が見つかる中、同社ではどのような対策を行っているのか？その取り組みを追った。

[キーマンズネット]

　日本初のインターネット専業銀行としてサービスを展開してきたジャパンネット銀行では、「ネットの取引は何だか不安」というイメージを（ふっしょく）すべく、設立当初からセキュリティ対策に力を入れ、安心・安全なサービスの実現に取り組んできた。乱数表をいち早く廃止してワンタイムパスワード用トークンを配布し、ログイン時の認証を強化したこともその表れだ。

小澤一仁氏

　ジャパンネット銀行IT統括部サイバーセキュリティ対策室で室長代理を務め、社内のバーチャル組織として機能している「JNB-CSIRT」のメンバーでもある小澤一仁氏は「銀行として最も大切なのは、お客さまの預金を守ることです。そのために不正送金は絶対に取り締まっていきます。また、仮に情報漏えいが起これば、銀行としての信頼を失うことになりかねません。お客さまの預金と個人情報、その2つを守るために、普段からできる限りのことをやっています」と述べる。

　同社はこうした対策を一歩進め、不正送金やフィッシング詐欺といったサイバー犯罪に先回りして対処できる体制作りを目指している。その取り組みにおいて大きな力となっているのが、SIEM（Security Information and Event Management）の活用だ。

　SIEMはネットワーク機器やホストシステムが出力するセキュリティイベントログや、システムユーザーの利用ログなどを集め、蓄積し、さまざまな視点から分析、その結果を基にリアルタイムセキュリティ検知・分析を行うツールだが、セキュリティの専門知識が高くなければ導入・運用は難しいとされている。小澤氏に導入の狙いと活用のポイントを尋ねた。

社内システムに潜伏する標的型攻撃検出を目的にSplunkを導入

　小澤氏は現在、兼務も含め10人体制で運用しているJNB-CSIRTの一員として、ジャパンネット銀行のインターネットバンキングサービスのログや社内システムのログをモニタリングしつつ、金融業界内でサイバー犯罪に関する情報を交換するための組織「金融ISAC」やJPCERTコーディネーションセンター（JPCERT/CC）との情報連携に当たっている。こうした業務の中で「何かおかしいな」と気になることがあれば、すぐにSIEMで情報を検索し、確認しているそうだ。

　同社がSIEMを導入したのは2015年3月。「当時、世間ではさまざまなログを収集して相関分析し、脅威を見つけ出す『SIEM』への注目が高まっており、ジャパンネット銀行でも必要ではないかと考えました」（小澤氏）。

　それまでジャパンネット銀行では、プロキシサーバやファイアウォールのログを個別に確認することはできても、複数の機器にまたがって串刺しでログを分析する環境が整っていなかった。金融ISACやJPCERT/CCなどの外部の組織から、botや遠隔操作マルウェアの通信先IPアドレスといった情報提供を受けても、リアルタイムにログを分析できる仕組みが整っておらず、調査に数日単位で時間がかかる状況だった。

　こうした状況を改善し、外部組織からの情報提供を受けたらそれをキーにしてサーチし、社内の端末が感染していないか、セキュリティインシデントが発生していないかどうかを即座に確認できる体制作りに向け、SIEMに注目。その中で浮上した選択肢が、コストパフォーマンスに優れた「Splunk Enterprise」（Splunk）だったという。

　「SIEMを導入してすぐに自分たちで使いこなせるかというと、自信はありませんでした。多額の投資を行って導入するのはいいけれど、『使えなかった』で終わってしまっては困ります。スモールスタートで始められるソリューションを探していたわれわれにとって、取り込むログの量に応じて課金されるSplunk Enterpriseは唯一の選択肢でした」（小澤氏）