このページの本文へ移動

Bizナレッジ

ICTで経営課題の解決に役立つコラムを掲載

セキュリティー対策

金融業におけるDaaS導入の現実解
ガイドライン対応を踏まえた「クラウドリフト」という選択肢

金融業におけるDaaS導入の現実解 ガイドライン対応を踏まえた「クラウドリフト」という選択肢

2018年の「政府情報システムにおけるクラウドサービスの利用に係る基本方針」により、政府情報システムのオンプレミス※1からクラウドへの移行が促されました。現在はデジタル庁主導で自治体システムの一部についてガバメントクラウドへの移行が進められています。

デジタル庁の「デジタル社会推進標準ガイドライン」では、クラウドサービスのメリットとして、効率性・セキュリティ水準・技術革新対応力・柔軟性・可用性の向上や、コスト削減等が挙げられています。

一方で、多くの金融機関では、業務用端末やアプリケーション、各種のデータがオンプレミス環境に強く依存しており、セキュリティ要件やレガシー環境の制約等から大規模な改修なしにはクラウド移行が進めづらいという実情があります。

そこで近年注目されているのが、既存環境を大きく変更せずにクラウド基盤へ移行する「クラウドリフト」という考え方です。本記事では、クラウドリフトの実装手段となる「仮想デスクトップ(DaaS※2)」の有用性について解説します。

  • ※1 利用者の施設にコンピューターや情報機器を設置し、利用者自身が管理する形態です。
  • ※2 Desktop as a Serviceの略称です。

金融機関に求められる高度なセキュリティ環境

課題1:勘定系・情報系のネットワーク分離によるコストの増加と利便性の低下

銀行、生命保険、損害保険、証券および資金決済分野等の事業者は、サイバーセキュリティ基本法上の重要インフラ事業者に指定されており、サービスを安定的かつ適切に提供するため、サイバーセキュリティーの確保に努めることとされています。

金融庁「金融分野におけるサイバーセキュリティーに関するガイドライン」では、不正侵入を防止するため、外部ネットワークと内部ネットワークの接続部分に適切な不正侵入防止策を講ずること、と記されています。

金融機関では、「勘定系」と「情報系」を切り離すネットワーク分離によって、サイバー攻撃や情報漏えいのリスクの最小化に努めてきました。職員が複数の業務用端末を使い分ける等、物理的に機器を分離する方法は安全性が高い一方で、コストと利便性に課題がありました。

課題2:長期間にわたるログ保存

金融庁のガイドラインでは、復旧プロセスに関して重要な指摘がなされています。「被害を受けた原因を特定しないまま復旧を行うことにより、再度同様の攻撃を受け、被害が発生することが想定されるため、業務再開の判断要素には、原因への対応がなされたことの確認を含めること」。つまり、復旧の前提として、攻撃や侵入の経路を特定できる証跡の確保が求められているのです。

セキュリティインシデントの原因を特定するためには、システムに誰がいつアクセスしたかという履歴や操作内容の記録等のログを取得し、適切に管理しておくことが必要です。標的型攻撃等では、最初の攻撃から認知まで1年近くを要するケースもあることから、ログは十分な期間保存しておかなければなりません。ログ管理は、セキュリティ対策であると同時に、ガバナンス体制の根幹を支える要素でもあるのです。

課題3:インシデント検知と初動対応

サイバー攻撃は巧妙化・高度化しています。金融庁のガイドラインでは「アノマリ(異常値)、IoC(侵害の痕跡)等のサイバー攻撃の端緒の検知のための監視・分析・報告に係る手続等を策定し、必要に応じて見直すこと」とされています。

サイバー攻撃による金融業務の中断は、国民生活や経済社会活動に大きな影響を及ぼすだけでなく、金融システム全体の信頼にも重大な影響を与えかねません。侵入を防止することはもちろんですが、侵入後の検知と封じ込めをいかに迅速に行うかについても重視されています。

課題4:サードパーティリスク管理

金融機関においても、外部委託先等のサードパーティへの依存が高まり、サプライチェーンは複雑化しています。さらに、サプライチェーンに由来するサイバーインシデントにより、金融機関が影響を受ける事例も発生しています。

こうした状況を踏まえ、金融機関はサプライチェーンのサイバーセキュリティリスクを適切に管理する必要がありますが、サードパーティリスク管理の難度は増大しています。

課題5:サイバーセキュリティ管理態勢の構築

金融庁のガイドラインでは「経営陣は、サイバーセキュリティーについて、組織体制の整備のほか、以下のようなサイバーセキュリティ管理態勢の整備を行うこと」として、「SOC※3等のサイバー攻撃に対する監視体制(外部のリソースの活用を含む)」等を挙げています。

  • ※3 Security Operation Centerの略称で、ネットワークやサーバー等の各デバイスを監視し、サイバー攻撃の検出や分析等を行う組織を指します。

既存のシステムを活かす「クラウドリフト」

オンプレミス基盤におけるサーバーの更改やOSのサポート終了のタイミングは、クラウド基盤への移行を検討するチャンスです。しかし、既存システムとの連携や、ネットワーク設計の制約等により、全面移行は難航するケースも見られます。

既存のシステムを活かしながら、段階的にクラウド基盤へと移行するアプローチもあります。オンプレミス環境で稼働している既存のシステムを、そのままクラウド環境へと引っ越しするようなイメージです。いわば、家(システム)のリフォーム(改修)をするのではなく、家をそのままクレーンで持ち上げて、クラウド環境という別の土地へと移動させるのです。大きな改修は行わないため、運用負荷の軽減や拡張性というクラウドのメリットを短期間で享受できます。

オンプレミスにある業務用端末のデスクトップ環境をクラウドへリフトする際の強力な手段が「仮想デスクトップ」です。使用しているデスクトップ環境の設定からショートカットまでをまるごとクラウド上の仮想化基盤にコピーし、職員は手元の端末から、クラウド上にある「いつもの画面」を操作するというイメージです。

クラウドリフトを支える仮想デスクトップという選択肢

解決策1:勘定系・情報系のネットワーク分離を1台で実現

勘定系と情報系のネットワークを分離するには、勘定系の端末とインターネット接続用の端末をそれぞれ用意して使い分ける「物理分離」が必要でした。高いセキュリティ水準が担保できる手法ではありますが、コストがかさむ上、利便性も損なわれるという課題がありました。

「AQStage 仮想デスクトップ」では、物理的なネットワーク分離ではなく、論理的にネットワークを分離することが可能です。デスクトップ画面の遷移情報だけを転送する仕組みを活かし、1台の物理端末で複数のVDI環境にアクセスできるため、勘定系と情報系のネットワークについても1台で使い分けることが可能となり、情報漏えいリスクを低減するとともに、作業の利便性も向上します。

解決策2:1年以上のログ保存も可能

「AQStage 仮想デスクトップ」の標準仕様では、ログの保存期間は3ヵ月間ですが、要件に応じたカスタマイズにより1年以上の保存設計も可能です。それにより、インシデントの原因を分析するための証跡を保全することができます。

解決策3:EDR連携による迅速なインシデント検知

標的型攻撃では、攻撃者が新種のマルウェアを広範囲に拡散させようとせず、対象を絞った狭い範囲を攻撃します。そのため、ウイルス対策ソフトがマルウェア検出用の定義ファイルを準備できず、検出できない未知のマルウェアが増えています。

そこで注目されているのがEDR※4です。業務用端末等で動作するOSやアプリケーションの挙動を監視し、悪意のある攻撃を示す不審な挙動や活動の兆候を検知します。そのため、未知のマルウェアに対しても有効です。

「AQStage 仮想デスクトップ」のオプションである「EDR機能」では、「リアルタイム監視」が特長であり、エンドポイントを常時監視し不審な挙動を素早く検知します。さらに、マネージドオプションを利用することによって、被害が拡大する前に端末の隔離や停止等必要な対応が可能となり、攻撃による個人情報の流出やデータの改ざん等の被害を最小限に留めます。

  • ※4 Endpoint Detection and Responseの略称です。

解決策4:外部委託先用にもセキュアな仮想デスクトップ環境を提供

外部委託先に対し、アクセス制限を施した専用の仮想デスクトップ環境を提供することで、機密情報へのアクセスを必要最小限に制御できます。さらに、リモートアクセス機能における暗号化プロトコルと二要素認証、画面透かし機能やスクリーンキャプチャブロッキング等、さまざまな機能やオプションによってセキュリティーを強化することが可能です。

また、仮想デスクトップ基盤側の設定により、接続端末へのデータ保存を禁止できるため、外部委託先経由の情報漏えいを遮断します。

解決策5:MC-SOC※5による24時間365日の有人監視

NTT西日本グループのシステムやセキュリティーの監視運用により培った豊富なノウハウを擁するMC-SOCが、お客さまのシステムの監視・運用・保守を24時間365日体制で実施し、金融機関が求める高い品質の監視運用を実現します。

データセンターのファシリティーから仮想化基盤までサポートし、それぞれの脆弱性対応やバージョンアップ、バックアップはもちろん、故障時の能動的な対応も実施します。また、インシデント発生時の詳細調査や仮想化基盤の復旧支援もアウトソースすることが可能です。

  • ※5 Managed Cloud Service Operation Centerの略称です。

まとめ クラウドの有効活用が金融機関の経営戦略を実現へと導く

これまで見てきたように、金融機関のシステムやネットワークは金融庁のガイドラインをはじめとする厳格な要件のもとで運用されています。

一方で、クラウドの柔軟性や拡張性は、金融機関が自らの経営戦略を実現していく上で重要な基盤となり得ます。

従来、金融機関ではネットワーク分離や情報持ち出しリスクへの配慮から、Web会議の利用に慎重な姿勢も見られました。しかし、仮想デスクトップを活用することで、データを端末側に残さない形でWeb会議環境を整備することも可能となります。こうした環境整備は、リモートワークの推進や柔軟な働き方の実現に寄与し、業務の効率化や人材の確保への効果も期待できます。

オンプレミス環境で稼働している既存のシステムを活かしながら、段階的にクラウド基盤へと移行する「クラウドリフト」の第一歩として、「AQStage 仮想デスクトップ」は現実的な検討対象のひとつといえるでしょう。

クラウド型仮想デスクトップサービス「AQStage 仮想デスクトップ」へのお問い合わせ
詳しくはこちら:https://www.nttbizsol.jp/service/daas/

あわせて読みたいナレッジ

関連製品

サービス内容やご不明な点など、お気軽にご相談ください。