第一回:西武信用金庫様

導入事例 – 西武信用金庫様
導入事例

診断は幅広く詳細に、対応はフットワーク軽く
負担感なく導入し結果を出すことができています

基本情報

①会社名:西武信用金庫様

②インタビュー対応者: 西武信用金庫 システム企画部 副部長 大寺祐司様 西武信用金庫 システム企画部 調査役 大橋正巳様

③導入サービス:株式会社 レイ・イージス・ジャパン

AIリモート脆弱性診断サービス、ペネトレーションテストサービス、プラットフォーム診断サービス、ネットワーク診断サービス、モバイルアプリ診断サービス

サイバーセキュリティ診断にまつわる多様なサービスを
利用してセキュリティ強化に取り組んでいます
本日は有難うございます。まず、レイ・イージス・ジャパンのサービスを導入されている範囲について教えてください。
大寺

Webサイト全般と、各種サーバー、アプリの脆弱性診断、ペネトレーションテストなど、サイバーセキュリティで提供しておられるサービスは利用させてもらっています。

どのような点を重視して、これまでもサイバー攻撃対策について取り組まれてきたのでしょうか。
大寺

サイバーセキュリティはもちろん金融機関にとって大変重要なものですが、私たちが重要視しているのは、「対応すべき事をやっていなかった」と言われないように、という点です。仮に金融機関がサイバー攻撃を受けたというニュースが出た時対応すべきことをやっていた場合とやっていなかった場合では、お客様が感じる不信感は異なるので、マイナスイメージにつながってしまわないように取り組んでいます。

サイバー攻撃は、今の時代では業種/業態/企業・団体規模の大小問わずターゲットとされる傾向がありますよね。
大寺

そうですね。

最近ですと、金融機関のフィッシングサイトが多く立ち上がっていたという事例もあり、また、信用金庫もだんだんとターゲットになりつつあるのかなという危機感は常にあります。

大橋

国の指針としても、サイバーセキュリティの確保が企業の責務として位置付けられ、金融機関の対策強化対象についても、メガバンクから、だんだんと地銀、信用金庫、信用組合と広がってきましたね。

大寺

このような中で、当金庫としても、サイバー攻撃への対策としては、攻撃を受けた場合の体制を構築できていることはもちろんですが、素早く検知することなどにも重きを置いて現在対策を進めています。

私たちの課題に関して専門的な立場で
的確な提案をいただけました
従来行っていた診断の中でのお困りごとはございましたか?
大寺

脆弱性診断の対象の選定ですね。たとえば使用しているサーバーもたくさんあるので、その中で優先順位をつけて対応していかなければなりません。ペネトレーションテストに関しては、サイバー攻撃のシナリオを作成して、それに沿って実施するのですが、毎年同じシナリオですと実効性もないので、シナリオについて考えるのは、苦労してきたところですね。

レイ・イージス・ジャパンのサービスを検討したきっかけはどんなことでしょうか?
大橋

私どもは、他のシステムベンダーともやり取りがあるわけですが、その中での評判といいますか、良い口コミも耳に入ってきていました。信用金庫での実績も多くなっているというところで、検討をはじめました。

大寺

脆弱性診断は以前から他ベンダーで行っていたのですが、ベンダーによっては同じ部分の診断をお願いしても、他ベンダーでは検知しなかったものが見つかるかもしれないということで、視点を変えて診断したいということがあった時に、レイ・イージス・ジャパンさんの日本での知名度が上がってきて、ちょうどいいタイミングでしたね。

導入にあたり、他サービスと比較検討した項目や重視したポイントはどんなところですか?
大橋

メニューとしては極端な違いはないと思いますが、当金庫で使っている他のサービスを提供している企業が、脆弱性診断をレイ・イージス・ジャパンさんで行われているという点で、親和性があるという見方がありました。

大寺

私たちが一番苦労する、ペネトレーションテストのシナリオにきちんとご意見をいただけた感触が大きいですね。専門的な観点からしっかりご提案いただきました。

的確なご提案のおかげで、お願いすることを決めてからの内部調整の動きも大変スムーズでした。金庫の職員に負荷がかかったということはなかったと思います。

セキュリティ対策の背中を押してくれる
丁寧で詳細なレポートに驚きました
サービスを導入してみてのご感想はいかがでしょうか。
大寺

予想外に診断結果が辛辣といいますか、細かな点までいろいろと出していただきました。逆に言うと、それだけちゃんと公正な目でチェックしてもらっているんだなという安心感がありましたね。

大橋

思っていながらもなかなか手がつけられていないところを診断で指摘されると、やはりやらなければというきっかけにもなるので、後押ししてもらったと思います。

大寺

一つひとつ課題を解決して、PDCAをはかっていく文化がさらに定着するといいなと思っています。それによってセキュリティレベルは確実に向上します。目に見えて何%どうなったか、という数値として出しづらい分野ではありますが、新しい攻撃方法や経路が発生している中で、専門の業者からの情報やアドバイスが得られるのは安心材料になります。

対応面ではフットワークの軽さがありがたかったですね。おかげで、当金庫と、インフラベンダーと協力して3社で行う診断の際にも非常にスムーズでした。特に改善を求めるところは見当たりません。

脆弱性診断、ペネトレーションテストを受けたことでの運用面での変化はございましたか?
大寺

危機意識が上がったことで、多少の業務負担はありますが、そこは金融機関のサイバーセキュリティ対策の至上命題ですので、負荷をかけてでも対応していくのが私たちの使命というスタンスでやっています。ただ、ずっと負荷が高い状態というのは避けなければなりませんので、新しいサービスやシステムを入れて負荷を軽減していくということを、一定期間の見直しでのプロセスに組み込んでいます。

AIによる診断に関して、従来型と比べて精度やスピードなどはいかがでしたか?
大寺

結果として、きちんと検知ができているというところで、問題はないと思っています。レポートのボリュームがけっこう厚いので、読み込むのが大変だと思いましたが、サマリーも出してくださるので、金庫内での報告や会議に諮るのは楽でした。サマリーを見て気になるところがあれば読み込んだりという使い方をしています。

コスト的にも他社に比較すると割と抑えられた印象です。同じ予算感でより幅広く網羅して診断できたという意味でよかったと思います。

診断後の課題解決に対しても
充実のサポート体制
他に欲しい機能や、レイ・イージス・ジャパンに期待することがあれば教えてください。
大寺

脆弱性管理の面でしょうか。脆弱性診断をして、結果が出ましたと。そして一つひとつ対応していくわけですが、何が影響しているのかを精査する作業や、脆弱性への対応自体が、システムの他の部分に影響を与えないかということを、非常に慎重に検証していますので、時間がかかります。つまりは不確実性の検証ですが、その部分が解消するといいなと思っています。

ASM(Attack Surface Management)の検討はなさっていますか。
大寺

はい、今後はASMも使用していきたいと考えています。レイ・イージス・ジャパンさんでも「Ray Attack Surface Checker(Ray-ASC)」という製品名でサービス提供されているので、試したいと考えています。

今後のサイバーセキュリティの方向性としてはいかがでしょう。
大寺

言うまでもないことですが、今後ますます強化していかなければなりません。その時々でどのような新手のサイバー攻撃が出てくるのかわかりませんので、中長期計画では大きな方向性を定めつつ、最新情報を集めて短期目標を立てて、全体を見直すということを続けていく必要があります。

大橋

今後、お客様が金融機関を選ぶ基準に、サイバー対策というのはますます重要ポイントになってくるのではないかと思います。安心していただくためにも、今後も堅実に行っていきたいですね。

インタビューにご協力いただいた:

(左)西武信用金庫 システム企画部 副部長 大寺祐司様
(右)西武信用金庫 システム企画部 調査役 大橋正巳様

<今回のご協力企業>

西武信用金庫様

1969年設立。東京、埼玉、神奈川を中心に、本支店、ATMコーナーあわせて110店舗を展開する。”人がすべて”を基本理念に、地域に寄り添ったサービス提供を目指している。外部格付けにおいては、健全な財務内容や高い収益力が評価され、2024年度も前年に引き続き上位に位置する「A+」を取得。

  • 個人情報保護方針
  • 情報セキュリティ方針
  • リクルート
  • 会社情報

© 株式会社 レイ・イージス ・ジャパン

  • メニュー
  • 個人情報保護方針
  • 情報セキュリティ方針
  • リクルート
  • 会社情報