株式会社沖縄銀行様クラウドセキュリティ統制支援サービスby Prisma Cloud（プリズマクラウド）事例

メルマガ登録する

メルマガ登録する

地域に貢献する沖縄銀行のシステム開発力とセキュリティ対策

沖縄銀行は、沖縄の地域経済をけん引していく金融機関の一つだ。2021年10月、沖縄銀行の単独株式移転により『おきなわフィナンシャルグループ』が設立された。グループ経営理念のトップには「地域密着・地域貢献」を掲げ、地域社会の価値向上を図り、地域貢献を果たしていくことを使命としている。今後、グループでは金融分野だけでなく、非金融分野の事業領域での貢献も期待されている。銀行業界でのクラウド利活用が進む中、沖縄銀行のシステム部の高宮氏、我那覇（がなは）氏、山本氏、下地（しもじ）氏にマルチクラウドのセキュリティ対策についてお話を伺った。
（高宮氏、山本氏は、おきなわフィナンシャルグループICT統括部と兼務）

クラウド導入が遅れた銀行業界

これまでの銀行システムは、インターネットから切り離した閉鎖的なネットワーク環境で構築・運用を行ってきた。扱う情報の性質から、外部との連携をすべきではないという発想からである。しかし昨今、利用者のニーズに応える高度な金融サービスを提供するためには各種外部サービスとの連携が必要になり、銀行システムを取り囲むネットワーク環境の構成は見直されている。

2018年6月に施行された改正銀行法によって、銀行を中心とした各金融機関にはオープンAPI^※の努力義務が課されることになった。利用者ニーズへの迅速な対応や継続的なサービスの進化、コストなどの観点からパブリッククラウドの活用が当たり前になっている。沖縄銀行はそのような銀行業界の中にあっても、いち早くクラウドの活用をしてきた。

※ 銀行と外部の事業者との間の安全なデータ連携を可能にする取組みです。金融機関がシステムへの接続仕様を外部の事業者に公開し、あらかじめ契約を結んだ外部事業者のアクセスを認めることで、金融機関以外の事業者が金融機関と連携して、お互いに知恵を絞り、利便性の高い、高度な金融サービスを展開しやすくなります。（一般社団法人全国銀行協会「オープンAPIって何？」より）

沖縄銀行におけるクラウドサービス活用の歩み

沖縄銀行は、1970年代から行内にシステム部門と技術者を抱え、自前でシステム開発を行ってきた伝統がある。クラウドの利用についても同様で、クラウド導入時は、開発ベンダーの協力もあったが、沖縄銀行、おきなわフィナンシャルグループのシステム開発部門はすぐに開発ノウハウを身につけ、すでに自分たちでクラウド環境を利用した開発を行っている。社内の開発リソース、スキル、既存の利用サービスとの相性から、早々にAWSとMicrosoft Azureのマルチクラウドを選択して、システム開発を行っている。すべてのサービスでクラウドを利用するわけではないが、対外向けのサービスについては、まずクラウドの利用を検討するという。

経営層からは、オープンAPIの活用やスマートフォンアプリ「おきぎんSmart」^※といったアプリ開発のチャレンジをどんどんやって欲しいという要望がありつつも、同時にセキュリティ面の安全性を確保するようにという指示があった。クラウドの活用が進めば進むほどその環境の注目度・重大さが増し、安全性の確保が必須となることも感じていたという。

※ スマートフォンの画面上でお客様の預金、融資状況を簡単に確認できるアプリ

外部の目で見るクラウドセキュリティ対策

クラウドのセキュリティについては、内部の開発者だけの監視では視野が狭くなると考え、初めから外部の目が必要という意識があった。実際にクラウド環境でのサービス運用を開始した後、大きな設定変更を行った際には、外部組織と有識者にサービスの評価を依頼した。また拡大をしていくサービスに対して、24時間365日、自分たちのリソースだけで監視やメンテナンスを続ければ、すぐに監視運用が苦しくなることはわかっていた。

クラウドセキュリティの監視に関する検討を進める中、パロアルトネットワークスのクラウド保護ソリューションであるPrisma Cloudと、同ソリューションをもととするラックの『クラウドセキュリティ統制支援サービス』が検討に加わった。同サービスを採用する決め手となったのは三点ある。まず、Prisma Cloudがすでに利用している複数のクラウドベンダーを分け隔てなく扱っていること。次に、ラックがFISC^※の定めた金融機関情報システム向けの安全対策基準「FISC安全対策基準」をベースとしたオリジナルポリシーを開発し組み込んでいること。さらに、ラックがこのソリューションを活用するための導入コンサルティング・運用サービスを提供していることだと高宮氏は語った。

沖縄銀行システム部兼おきなわフィナンシャルグループICT統括部　部長代理　高宮氏

導入決定前にはラックのエンジニアとともにPrisma CloudのPoC（Proof of Concept：概念実証）を実施した。PoCがスムーズに進む中、クラウド上の設定に軽微なセキュリティ上の懸念事項が見つかったことも、導入を決めた一つのきっかけでもある。システム開発に自信がある沖縄銀行だからこそ、自分たちの力だけで監視を行うのは危険だという判断も早かった。

※ 公益財団法人金融情報システムセンター（The Center for Financial Industry Information Systems）

沖縄銀行のシステム開発とセキュリティ対策

沖縄銀行では、システム部の施策として毎期新たな技術検証や、プロトタイプ開発を行っている。プロトタイプで実装したものは、支店でも利用してもらう。すぐに具体的な改善要望、新しいサービスの要求が現場から上がってくる。現場の要望が上がってくる仕組みもシステム開発の伝統同様にあると言う。社会からの要請と、お客様の要望、現場からの要求、開発を進めたいサービスはたくさん控えている。

Prisma Cloudを用いたクラウドセキュリティ監視の担当は、ICTチームから基盤チームへ移管しつつある。Prisma Cloudの運用が確立されたことを受けて、当初クラウド導入の先駆けであったICTチームは新たな開発に集中し、基盤チームが横断的にインフラ・ネットワーク・セキュリティ対策を担当していく形にシフトすることが目的だ。

運用が確立されているとはいえ、クラウドセキュリティ対策の運用を日々まわしていくためには、このエリアに関連する知識が必要となる。クラウド導入後に基盤チームへ参画した下地氏は、システム部内のOJTを通じ、具体例や実際のケースと照らしながら理解を進めているという。

現場からの要望だけでなく、長いシステム開発の伝統からシステム部内の情報共有、コミュニケーションの良好さがOJTのきめ細やかさにも表れている。もちろん教育はOJTだけに留めない。並行して、クラウドやセキュリティのベースとなる知識・スキルの設定、クラウドやセキュリティに関する資格とのマッピングなど、社内やグループ各社の教育体制構築についても進めているところだ。

このように、開発とセキュリティ対策と両者における部門施策、チーム編成や教育などを交えながら沖縄銀行のシステム開発はさらなるステージへと進んでいる。

沖縄銀行とおきなわフィナンシャルグループのこれから

理想形としての「あるべき」姿の模索や、それを実現するためのサービスのさらなる活用へのアプローチ方法の調査など工夫を重ねている段階だ。山本氏は、おきなわフィナンシャルグループのセキュリティについて、今後の将来について語ってくれた。「従来のガチガチの境界防御から、クラウドの利活用に合わせた形に移行していきたい。グループ各社が導入しやすい方法を取りながら、ゼロトラストセキュリティ一択といった極端な選択ではなく、自分たちにあったセキュリティデザインを目指していきたい。」

おきなわフィナンシャルグループの沖縄銀行は、地域のDXを支援する役割を担い、地域社会の価値向上に全力を尽くすと謳っている。グループのシナジーを最大限に発揮するために、金融サービス以外にも非金融のサービスにも関わっていくことになる。システム開発力と伝統に甘んじることなく挑戦する姿勢は、一企業、一グループとしての期待だけでなく、今後の沖縄のDX事例としても楽しみだ。