ITの“自前運用”を守ってきた福岡ひびき信用金庫、直面した脆弱性リスクとセキュリティ強化の道程を語る

ITは昔から内製運用、しかし「自前」ならではのリスクに悩まされていた

　クラウドサービスやリモートワークの定着、そしてAIを悪用した新たなサイバー脅威の出現……。こうしたテクノロジートレンドの変化の中で、従来のセキュリティ対策では対応しきれない課題が顕在化している。年1回だけの脆弱性テスト、それも定期的な外部監査への対応のためだけにやっているようでは、大規模化・高速化するリスクを捉えきれない。

　福岡県から山口県、大分県にかけて展開する福岡ひびき信用金庫も、そうした課題と向き合っている。地域密着型の金融機関として、長年にわたり顧客との信頼関係を築いてきた同庫は、Active Directory（アクティブディレクトリ）の継続的監視とセキュリティガバナンスの強化を目的として、2025年からTenableの利用を開始した。Tenableは、Active Directory/Entra ID環境において、設定ミス・脆弱性・攻撃経路を可視化し、リアルタイムまたは継続的に監視・評価して、優先度の高い脆弱性に対し先手を打つ形で対処できるよう支援するセキュリティプラットフォームだ。

　同庫のIT分野への取り組みに関して、業務執行役員 システム部 部長 兼 DX推進室長を務める吉田篤史氏は次のように語る。

　「メガバンクや地方銀行に比べれば小さい組織ですが、昔からITなど新しい分野への取り組みは積極的に行ってきました。2000年頃には早期にオープン系システムを導入し、現在はゼロトラスト環境への移行も推進中です。また、IT運用を徹底して内製化している点も特徴かと思います」（吉田氏）

　多くの金融機関が外部に運用を依存してきた中でも、同庫は独自の道を歩んできた。この自前運用には明確なメリットがある。コストの効率性はもちろんのこと、内部の人間がシステムの詳細を理解しており、必要な場面で迅速な対応が可能だ。しかし同時に、客観的な視点でのセキュリティ評価が難しいという課題も抱えていたようだ。

　「監査も自前で行うため、ガバナンス面では弱い部分がありました。特にActive Directoryの運用では、20年にわたる蓄積により複雑性が増し、設定が本当に正しいのか、設定漏れがないのかという不安があったのです」（吉田氏）

　システム部 調査役として同庫のIT調達などを担う宮地真之氏は、「未使用のアカウントがたくさんあって、それがずっと放置されている状況だった。Active Directoryの管理をしっかりやるのは、年1回のペネトレーションテストの時だけだった」と以前を振り返る。設定変更に関しても、担当者しかわからない状況だったようだ。

　特に課題となっていたのが、特権IDの管理である。運用上の必要性から一時的に権限を解除し、作業完了後には元に戻すという一般的な手順があるが、権限の戻し忘れなど人的ミスによるリスクがあったとのことだ。