ITの“自前運用”を守ってきた福岡ひびき信用金庫、直面した脆弱性リスクとセキュリティ強化の道程を語る

2日間・300項目の手動監査チェックが「5分」に

　「新しいことを積極的に試す」文化も後押しし、同庫は2024年10月にTenableを知ってからわずか2ヵ月後の12月に導入を決定。2025年1月から運用を開始した。

　「福岡ひびき信用金庫の本店は北九州市にありますが、東京のような大都市に比べると、ベンダーからの提案や営業を受ける機会がそれほど多くありません。ですから、『まずはすべてのお話をお聞きしましょう』というポリシーで（笑）。自分でもリサーチはしますが、こうして新しい技術やソリューションと出会う機会を大切にしています」（吉田氏）

　導入の効果は即座に現れた。最も印象的だったのは、長年蓄積された不要アカウントを瞬時に可視化して、削除できたことだと宮地氏。こうした変化をはじめ、これまで見えなかったIT資産の問題が一気に明らかとなった。

　監査業務も効率化できた。従来、Active Directoryの設定監査は200〜300項目から成るアンケート形式で実施され、回答には約2日を要していた。しかしTenable導入後は、この作業が週1回、5分程度のダッシュボード確認で済むようになったという。この変化は単なる効率化にとどまらず、セキュリティ監視の質的転換を意味している。

　「全体のセキュリティレベルをダッシュボードで可視化できるため、我々が今まで実施してきたセキュリティ設定などが問題なかったことも確認できました。設定変更のログも残り、リアルタイムで監視できるため、透明性も向上しています」（宮地氏）

　効果を実感する一方で、これから解消を望む課題もある。それは、専門人材以外のメンバーへの情報共有だ。システム管理者なら、設定内容や脆弱性情報を見れば意味を理解できるが、たとえばこれを経営層に説明するのは難しい。Tenableのダッシュボードをただ見せるだけではわからないため、報告には工夫が求められる。