金融機関のセキュリティ強化を実現する攻撃者目線のペネトレーションテスト
- 株式会社横浜銀行
ICT推進部セキュリティ統括室 坂井様
2020年に創立100周年を迎えた「横浜銀行」。毎年、定期的にご実施をされているペネトレーションテストを当社にご依頼いただきました。今回はペネトレーションテストの必要性や、当社をご選定いただいた理由について、ICT推進部セキュリティ統括室の坂井様にお話を伺いました。
顧客情報を預かる地域金融機関として
積極的にセキュリティ対策に取り組む横浜銀行
お客さまの個人情報や財務データをお預かりしているため、セキュリティには最新の注意を払っています。金融庁からも「金融分野におけるサイバーセキュリティ強化に向けた取組方針」が公表されるなど、金融機関にとってセキュリティは重要な経営課題であり、お客さまをはじめとするステークホルダーの皆さまに安心していただけるようしっかりとしたセキュリティ体制を構築していきたいと考えています。また、2023年には他行と共同でサイバーセキュリティ共助を推進するための組織「CMS-CSIRT」を設立するなど、地域金融機関のセキュリティ態勢強化にも取り組んでいます。
金融機関にとっての
ペネトレーションテストの重要性
当行では毎年必ずペネトレーションテストを実施しています。重要視すべきサイバーリスクが毎年変化していることから、当行に想定される脅威を検討したうえで、視点や手法、対象システムを変えて行うようにしています。
システムの新規公開前や公開後の脆弱性診断も行っておりますが、システム単体に対して脆弱性情報を洗い出して対策するだけでは、システムや運用・業務内容・物理構成など多数の構成要素が組み合わさって生まれるセキュリティリスクを可視化することが出来ません。
攻撃者目線に立ったうえで、目的を達成するための手段として最も留意すべきリスクをシステム全体から考えるためには、ペネトレーションテストの実施が必要不可欠であると考えています。
豊富な診断実績と技術的な信頼から
GMOサイバーセキュリティ byイエラエを選定
ペネトレーションテストでは、攻撃を行う診断員の技術力や、事前に想定した攻撃シナリオの有効性によって結果に大きな差が出ると考えています。実施の際には必ず複数社にお声がけをして、提案内容やコスト、診断担当者の実績(取得資格やCTF実績など)を比較して選定をするようにしています。
今回、GMOサイバーセキュリティ byイエラエからは、当社の想定脅威を適切にとらえていただいた攻撃シナリオを策定いただいたうえで、診断におけるリスク(障害やユーザー権限の変更など)にも配慮いただいたご提案をいただきました。
また診断員の方は*OSCEや*OSEEなど世界最高峰難度のセキュリティ資格を保有されており、*CTFの実績も豊富で技術面からも信頼できました。他の金融機関からも信頼できるセキュリティベンダーとしてイエラエの名前を聞くことも多く、安心して依頼できました。
*OSCE(Offensive Security Certified Expert)
情報セキュリティ分野において高度なペネトレーションテストスキルを有することを示す世界最高難度のセキュリティ資格
*OSEE(Offensive Security Exploitation Expert )
情報セキュリティ分野において高度な攻撃コード開発スキルを有することを示す世界最高難度のセキュリティ資格
*CTF(Capture The Flag)
情報セキュリティに関連する専門知識や技術を駆使して隠されているFlag(答え)を見つけ出し、時間内に獲得した合計点数を競うコンテスト形式の競技
当初想定をしていなかった指摘をいただける点が
ペネトレーションテストならではの成果
テスト結果から大きな脆弱性は見つからなかった一方で、対策が難しい運用面に関するアドバイスなど、当初想定をしていないようなご指摘をいただくことが出来、非常に満足のいく診断ができました。
定期的なセキュリティ診断を通じて、セキュリティリスクに対して、システムを常にアップデートしています。想定をしていないようなご指摘をいただけたのは技術力の高いイエラエのペネトレーションテストならではの結果であると感じています。
また行内の本番環境かつ重要サーバに対するテストであり、万が一の障害を不安に思っていましたが、事前準備をしっかりしていただいたことでトラブルなく診断を終えることができ大変感謝しております。
目的にあわせて適切な診断や
ベンダーを選ぶことが重要
サイバー攻撃のトレンドは常に変化しています。最新の攻撃者の視点を持ったうえで、自社の想定脅威を見直し、多様な観点でペネトレーションテストを行うことが必要です。
毎年依頼先の会社を変えることで新たな視点を得られると考えていますが、会社を変えることを目的とするのではなく、ご提案内容や診断員の技術力を改めて選定し、適切なベンダーに依頼することが重要であると考えています。
次回もぜひ尖った技術者の方にご担当いただき、最新の攻撃手法を踏まえたご提案をいただけることを期待しています。
会社名 | 株式会社横浜銀行 |
事業内容 | 地域の金融システムの担い手としての役割を認識し、活力あふれる人財の開発、育成を積極的におこない、お客さま一人ひとりに最もふさわしい金融サービスの提供を通じ、地域に寄り添い皆さまから信頼される銀行をめざしています。 |
URL | https://www.boy.co.jp/boy/company/rinen.html |