本文へ移動します

導入事例:福岡ひびき信用金庫様

FireEye NXシリーズ

ファイア・アイの導入で、ネットワークの安全性を高められ、インターネットを安心して業務に活用できるようになりました。セキュリティ脅威が高まる中、まさに利便性とセキュリティを両立しています。

福岡ひびき信用金庫様
導入のポイント
  • 金融機関のあるべき姿として、予防措置的なセキュリティ対策を検討
  • スムーズな導入で、既存ネットワークをさらにセキュアに
  • 利便性確保と高度なセキュリティを両立した業務環境を実現
企業情報
お客様名 福岡ひびき信用金庫
業種 金融・保険業
企業規模 501人~1000人
目的・課題 セキュリティ強化
キーワード 標的型サイバー攻撃対策 , メールセキュリティ , 不正侵入対策(IPS/IDS) , マネージドセキュリティサービス(MSS)

抱えていた課題、解決したかったこと

日々進化するセキュリティ脅威に、現状の対策だけでは不十分だと判断

吉田 篤史氏
事務部
システムグループ 調査役
吉田 篤史氏

福岡県北九州市に本店を置く福岡ひびき信用金庫は、九州で最大級の規模を誇る信用金庫だ。1924年に設立され、2001年の北九州八幡信用金庫と若松信用金庫との合併を機に現在の金庫名となった。2003年には新たに新北九州信用金庫、門司信用金庫、直方信用金庫、築上信用金庫とも合併し、北九州市を中心に現在51店舗で営業している。

同信用金庫では、IT システムは殆どを内製化している。システム担当部門では、プログラム開発や、インフラの構築、特殊端末を含めたクライアント PC の管理やメンテナンスなど、あらゆるニーズに応えられる運用体制を整えてきた。

ただし、セキュリティ専任の要員などが在籍していないことから、同信用金庫では「セキュリティだけは専門知識が必要である」と考えていた。そこで、セキュリティ対策はソフトバンク・テクノロジーのコンサルティングや運用サービスを受けながら、これまでにファイアウォールや侵入防御システム(IPS)、統合脅威管理(UTM)などを導入、運用してきた。

一方で、金融機関として、行員には生産性の高い業務環境を提供するため、これまで可能な限りインターネット接続を制限しない方針でネットワークを運用してきた。ところが、標的型攻撃など既存の対策だけでは十分に防御できない脅威が猛威をふるう中、現状の対策だけでは不十分だと判断。利便性の確保と高度なセキュリティを両立するため、対策を検討しはじめた。

  • IT システムの多くを内製化する中、社内だけでは対応できないセキュリティ対策は、専門業者に委託
  • 業務環境における利便性向上に向け、さらなるセキュリティの強化を検討


事例 PDF ダウンロードはこちら

導入の要件

異なるメーカーの検知技術を取り入れ検知の精度向上を図り、さらにセキュアな環境を実現

情報漏えいのリスクを予防措置的な対策により回避するため、導入を検討したのが、仮想環境を使ってネットワーク経由の攻撃を防御するファイア・アイの脅威対策プラットフォーム「FireEye NX シリーズ」。ゼロデイ攻撃や未知のマルウェアによるセキュリティ脅威の検知・防御を目指した。

選定要件としては「メーカーごとに検知技術が異なるため、検知できる脅威にも違いがある」という考えから、すでに導入済みのセキュリティ対策製品とは別のメーカーのものであること。また、導入によって既存ネットワークをよりセキュアにすることが可能なことが要件とされた。

  • 情報漏えいの被害が出てからでは遅いため、予防措置的な対策を重視
  • 既存ネットワークのセキュリティを高め、安全に導入できる製品を選定


事例 PDF ダウンロードはこちら

ソフトバンク・テクノロジーを選んだ理由

セキュリティは運用がカギ
信頼できるセキュリティコンサルタントに運用を委託

ファイア・アイの導入にあたり、同信用金庫は、最先端のセキュリティソリューションを導入しただけでは対策としては不十分であり、ログ解析を含めた運用がカギとなると考えた。

一方で、セキュリティ製品の運用には多くの専門知識も求められることから、社内に新たに選任の担当者を用意するのは難しいと判断。

そこで、すでにセキュリティコンサルティングの導入実績があったソフトバンク・テクノロジーに、運用を委託することにした。同信用金庫のセキュリティやネットワークの状況、要員のスキルを把握しており、改めて説明や相談をする手間が省けることや、セキュリティエキスパートによるアドバイスや情報提供など、最適に運用を継続していくための対応ができることが大きく評価された。

  • 最先端のセキュリティソリューションの効果を十分に発揮するため、運用をアウトソース
  • すでに実績があり、最適な運用の継続に向けた対応ができるソフトバンク・テクノロジーを評価


事例 PDF ダウンロードはこちら

導入効果と今後の展望

被害が出る前に対策を施すことこそ金融機関のあるべき姿

ファイア・アイの導入は、1時間程度で非常にスムーズに完了した。

導入によって、同信用金庫は行内の情報ネットワークの安全性を向上。同時に、ユーザーのリテラシーを向上させる研修・試験を実施し、合格者のみに接続の資格を与えることで、より多くの行員がインターネットを業務に活用できるようになった。サイバー脅威が高まる中、まさに利便性とセキュリティの両立を実現している。

また、管理面においても、既に安定した運用がされている IPS 同様、新たに追加されたファイア・アイのアラート対応に関しても適切な対処ができる運用体制を作ることができた。

ファイア・アイ製品には、高精度にマルウェアを解析する独自の仮想実行環境である「MVX エンジン」が搭載されており、従来の検知技術では対応できない未知のマルウェアを使ったサイバー攻撃も検知する。また、世界中で稼働するファイア・アイ製品が検知した攻撃を脅威情報としてクラウドにより共有する仕組み「Dynamic Threat Intelligence(DTI)クラウド」により、世界のどこかで起こったゼロデイ攻撃にもすぐに対応できる。

昨今の高度なサイバー攻撃は、攻撃者とセキュリティテクノロジーとのいたちごっこといわれる。同信用金庫は、「ファイア・アイには常に攻撃者の先にいてもらいたい」と期待を寄せている。

さらに、2014年11月にはサイバーセキュリティ基本法が衆議院本会議で可決され、2015年2月には金融庁から金融機関向けに出される監督指針の一部が改正され、サイバーセキュリティへの対策の必要性が明記された。

これまで最新テクノロジーを積極的に取り入れ、予防措置的なセキュリティ対策を講じてきた同信用金庫は、今回の導入によって、監督官庁から新たな指針が出されてもいち早く対応できた。今後も、こうした指針が出てから対策を取るのではなく、攻撃を受けた場合の損害が計り知れないため、自ら先見の明を持って対策を実施していく方針だ。

  • セキュリティ強化+ユーザーのリテラシー対策で、安全かつ生産性を向上できる環境を整備
  • 検知の精度向上により、セキュリティ対策における安心感を実感
  • 新たな指針が出てから対策を取るのではなく、自ら先見の明を持って対策を実施していく方針を継続

この導入事例のPDF

事例PDFダウンロード

導入サービス

導入事例に関するお問い合わせ

本事例に関するお問い合わせ、ご不明点など
お気軽にご相談ください。

関連する導入事例

他の事例を探す

導入事例に関するお問い合わせ

本事例に関するお問い合わせ、ご不明点などお気軽にご相談ください。

ピックアップ

セミナー情報
クラウドエンジニアブログ
clouXion
メールマガジン登録