きらやか銀行、「サイバー攻撃者視点」のリスク管理体制を確立　潜在的な脆弱性やダークウェブ上の侵害情報も可視化

　きらやか銀行（本店：山形県山形市）は、KELAのグループ会社であるSLING（スリング）が提供するASM（アタックサーフェスマネジメント）ソリューション「SLING」を導入し、高度化する金融機関へのサイバー攻撃に対し、実効性の高い継続的リスク管理体制を確立した。

　この導入は、KELAのパートナー企業であるビヨンドブルーが提供する、SLINGを中核として提供するセキュリティリスク可視化サービス「Secure Check（セキュアチェック）」を採用したものだという。これにより、きらやか銀行は、インターネット上に露出するIT資産や潜在的脆弱性、ダークウェブ上の侵害情報までを包括的に可視化。攻撃者視点に基づく実効性の高いリスク管理体制を構築したと述べている。

金融機関を取り巻く脅威の高度化と、未把握リスクへの課題認識

　きらやか銀行では、従来より境界型防御やEPP／EDR導入、定期的な脆弱性診断などのセキュリティ対策を実施してきた。しかし、診断対象は「把握している公開システム」に限定されており、未把握資産を含めた外部視点での網羅的なリスク評価には課題があったという。金融機関を標的とするランサムウェア攻撃や情報窃取事案が相次ぐ中、「自社が認識していない資産こそがリスクになり得る」という問題意識が高まったとのことだ。

　加えて、経済産業省によるASM導入推奨も後押しとなり、外部から見た攻撃対象領域の可視化に本格的に取り組むことになったとしている。

　SLINGを中核とするSecure Checkを採用したポイントとして以下を述べている。

• エージェント不要で、ドメイン情報の入力のみで利用開始できる導入の容易さ
• ダークウェブ監視を組み合わせた包括的なリスク可視化
• 金融機関向け支援実績を有するビヨンドブルーによる国内サポート体制

　SLINGは、KELAが蓄積してきたサイバー犯罪アンダーグラウンドの脅威インテリジェンスを基盤に、表層的な脆弱性情報だけでなく、攻撃者フォーラムや侵害データの流通状況など、従来把握が難しかった領域までを調査対象とし、攻撃者の視点から「実際に悪用され得るリスク」を特定できるという。

未把握リスクの検出と、優先順位に基づく迅速な是正対応を実現

　Secure Check導入後は、ミドルウェアの脆弱性や不要なポートの開放など、これまで可視化されていなかったリスクを検出。検出されたリスクは、SLINGのスコアリングにより、影響度に応じた優先順位付けが可能となり、計画的な是正対応につながっているとのことだ。

　また、ダークウェブ監視機能により、実際に同行に関連する複数のメールアドレスがダークウェブ上で確認され、該当アカウントの停止や外部サービスの無効化など迅速な対応を講じ、二次被害の未然防止につながったとしている。

　これらの検出結果や対応状況は、CSIRTの活動の一環として、システム部門やリスク管理部門、経営層にも定期的に共有されており、客観的な外部評価に基づく説明が可能になったことで、セキュリティを事業継続リスクとして捉えるガバナンス強化にも寄与しているという。

外部視点による定点観測を継続し、次のセキュリティレベルへ

　きらやか銀行では今後、外部から見た自社のリスク状況を定点観測するとともに、多層防御の観点からMDRや脅威ベースのペネトレーションテスト（TLPT）など、次の段階となるセキュリティ施策も検討していく方針だという。

【関連記事】
・KELA、対話型エージェント「デジタルサイバーアナリスト」発表　セキュリティ人材不足を補う存在に
・七十七銀行、セキュリティ刷新でゼロトラスト基盤を確立　クラウドストライク導入で
・auじぶん銀行、AI活用で不正送金対策を強化──ラックの「AIゼロフラウド」導入