金融機関のセキュリティを「維持し続ける」、現場と経営をつなぐクラウド可視化

住信SBIネット銀行株式会社

2007年9月、インターネット専業銀行として開業以来、最先端のテクノロジーを活用したデジタルバンクとして、日々お客さまの利便性追求に取り組み、UI/UXをはじめ、さまざまな外部評価機関において、高い顧客満足度を得ています。

現在、預金口座数900万口座超、預金残高11兆円超と、多くのお客さまに利用されています（2026年2月時点）。

2025年10月1日には株式会社NTTドコモの連結子会社となり、NTTドコモと三井住友信託銀行のグループ企業として、より身近で付加価値の高い金融サービスの提供を通じ、豊かさが循環する社会の実現を目指しています。

＜お話を伺った方＞
システムリスク管理部長　細野様
システムリスク管理部 CSIRTグループマネージャー 兼 品質管理室長　山岸様
システム運営部長　佐藤様

ミッションについて

すべての顧客接点を支えるセキュリティ基盤

細野様：住信SBIネット銀行は、支店を持たないネット専業銀行です。インターネットがすべてのお客さまとの接点となるため、セキュリティは経営上の最重要課題の一つと位置づけています。

当社では全社的に「クラウドファースト」の方針を掲げ、オンプレミス環境からクラウドへの移行を進めてきました。その結果、現在は業務系システム、OA環境、ネットワーク系など、用途に応じてマルチクラウドで運用しています。

私が所属するシステムリスク管理部は、サイバーセキュリティを含む銀行のシステムリスク全般を統括する部門です。私はシステムリスク全体の責任者を務めており、山岸はサイバーセキュリティに特化したチームを率いています。当社ではこのサイバーセキュリティチームをCSIRTグループと位置づけており、一般的なCSIRTの役割にとどまらず、予防から監視、対応に至るまで、幅広いセキュリティ業務を担っています。

導入前の課題

可視化できていなかった設定ミスリスクと、現場負荷の高まり

山岸様：もともと脆弱性については他社製品で対応していましたが、クラウドの設定ミスに関しては、システム構築時に設定した内容を、構築後の運用フェーズで一部確認するにとどまっている状況でした。

AWSのネイティブ機能も活用していましたが、主に運用部門での活用に限られており、当部として十分に活用できているとは言えない状況でした。

佐藤様：私たちインフラ部門としては、セキュリティを意識してシステムの構築・運用を行っています。ただ、世の中で新たなセキュリティインシデントが発生するたびに、「自分たちは大丈夫か」と都度確認する対応となり、どうしても後手に回ってしまうこともありました。また、調査対応のタイミングが集中し、現場の負荷が一時的に高まってしまうことも課題でした。

「過去が安全」ではなく「今が安全」である仕組み

細野様：近年、AWSやSaaSの設定ミスを原因とした情報漏えい事故が相次いで報じられています。私たちが利用しているクラウド環境においても、設定ミスによる情報流出を防ぐ責任は、私たち自身にあります。

当然、システム構築時にさまざまなチェックを行い、情報流出が発生しないよう設定されていることを確認しています。しかし、当初は問題なかった設定であっても、環境の変化や仕様変更によって脆弱になる可能性もあります。

つまり、金融機関として厳重な対策は講じているものの、それはあくまで“対策講じた時点ではセキュア”という評価に過ぎません。
また、脆弱性診断やペネトレーションテストなどについても継続的に実施していますが、診断結果が良好であったとしても、その数秒後の安全性までを保証するものではありません。

2024年に国内複数社でランサムウェア被害が大きく報じられた際に、私たちは現状の対策に加え、「さらに何ができるのか」を改めて強く考えました。その結果、「過去は安全だった」ということだけではなく、「今この瞬間も安全であるか」を常にモニタリングする仕組みが必要だと判断しました。クラウド環境のセキュリティ状況をリアルタイムに可視化し、私たち自身がセキュリティ対策状況を確認・把握できる基盤を整えるべきだと考え、経営層への提案を経て、本格的な可視化の取り組みが始まりました。

Cloudbase導入の決め手

機能偏重ではなく、ともに成長できるパートナー

細野様：検討にあたっては、当時利用していた既存製品の活用範囲を拡大していくか、新たにCloudbaseの導入を進めるかを比較しました。CSPMやCNAPPだけではなく、運用監視で利用していたサービスのセキュリティ機能も含め、幅広く情報収集を行いました。

率直に言えば、ご提案いただいた段階では他社製品の方が魅力的に感じる部分もありました。ただ、私たちは現在の機能だけでなく、将来的な拡張性やサービスの進化も含めて総合的に評価しました。その中で、Cloudbaseは「3年後にはさらに進化しているだろう」という期待感がありました。

スピード感持って、お客さまに安心・安全にかつ継続的にさまざまなサービスを提供していくためには、機能数が多い外資系サービスを導入するよりも、当社のスピード感に寄り添い、ともに並走できるパートナーを選ぶほうが、自分たちにとって価値が高いと判断しました。

山岸様：日本語で対応いただける点も大きな決め手でした。検出結果や修正方法が日本語で明示されるため、開発・運用部門にそのまま共有できます。海外製品の場合、まず自分たちが十分に習熟し、それを関係者に展開する必要がありますが、Cloudbaseはリスク対応が必要な背景も含めて日本語で明確に示されるため、部門間の連携がスムーズにできると感じました。

佐藤様：Cloudbaseのエンジニアの方々とお話しする機会がありましたが、技術力の高さに大きな安心感を持ちました。セキュリティ領域についても深い知見を持つ方が多く、「この方たちなら最先端のセキュリティ動向も踏まえて見ていただけるだろう」と感じたことを覚えています。

また、トライアル運用の中で出てきたさまざまな要望にも迅速に対応いただき、「この会社とならスピード感を持って一緒に進めていけるのではないか」と感じました。変化の速い私たちの組織にとって、柔軟性とスピード感は非常に重要なポイントでした。

活用方法

CSIRTをハブとし、現場も自律的に動ける体制づくり

細野様：まずシステムリスク管理部のCSIRTグループが、Cloudbaseで検出されたリスクの内容を確認します。即時対応が必要なクリティカルな問題が見つかった場合には、速やかに関係部門へ連携し、対応を依頼する流れです。

山岸様：私たちCSIRTグループは、ハンドリング役です。検出された内容について、まず自分たちで影響の有無を評価し、実際にリスクがあるのかを整理したうえで、開発チームや基盤チームに確認・対応を依頼します。

例えば、検出された脆弱性の中には、システムのコンポーネントとして含まれてはいるものの、実際には有効化されていないケースもあります。その場合は一旦「影響なし」と判断しますが、最終的には開発側で「本当に動作していないか」「影響はないか」を確認してもらいます。実際に影響がないと判断できる場合は「対応不要」として整理しています。

佐藤様：インフラ部門側でもCloudbaseの画面を確認でき、即時対応が必要なリスク検出などのアラート通知も受け取っています。そのため、CSIRTからの指摘を待つだけでなく、通知を起点に自分たちで調査を開始するケースもあります。

取材内容をもとにCloudbaseが作成

可視化したセキュリティ状況を経営と共有する

細野様：経営層に対して、セキュリティ対策の状況を月次で報告しています。前月のセキュリティ動向や直近の国内のインシデント事案なども含めて共有しています。そのうえで、「現時点で大きな問題は発生していないこと」「重大な攻撃を受けた形跡はないこと」「可視化と監視が継続的にできていること」を明確に伝えています。

インシデントの振り返りや月次報告の中で、Cloudbaseのデータも重要な材料の一つとして活用しています。単に数値を並べるのではなく、私たちが継続的に状況を把握し、統制できていることを整理したうえで報告することを重視しています。可視化した情報を、経営にとって意味のある形に翻訳すること。それが現在の運用における大きな役割です。

導入効果

可視化がもたらした「安心」と「確信」

細野様：脆弱性や設定ミスの有無が可視化されたことで、自分たちの取り組みの妥当性を確認できるようになったのが非常に大きいと感じています。

「今が安全である」という状態が可視化できることで、適切に設定できている状態であれば「安心して夜眠れる」——そんな環境を実現できています（笑）。

山岸様：以前利用していた製品と比べると、同じ内容が検出された場合でも、Cloudbaseでは内容や修正方法がすべて日本語で表示されます。そのため、開発部門に対して「このページを見て対応してください」とそのまま依頼できるようになりました。以前は英語の結果を私たちが解釈して伝えていたため、「どういう意味ですか」と確認されることもありましたが、そうしたコミュニケーションの往復は大幅に減ったと感じています。

佐藤様：私たちは、重要な箇所は二重でチェックするという思想を持っています。インターネットの入口を二重のファイアウォールで守るように、セキュリティ評価も多層で確認したいと考えています。AWSネイティブ機能で問題なし、Cloudbaseでも問題なしと、両方で確認できることで、「まず大丈夫だろう」という確信を持つことができます。そうした使い方ができている点も大きな効果だと感じています。

今後の展望

進化し続けるプロダクトとともに、セキュリティを成長の力へ

細野様：設定ミスや脆弱性評価はもちろんのこと、リソースマップ機能やSBOM機能など、私たちの要望に対して細かな点まで柔軟に対応いただいていることは、大きなメリットだと感じています。機能改善を重ねる中で、私たちの「こうしたい」という声が着実に形になっていると実感しています。また、毎月のように新機能がリリースされており、サービスが進化し続けていることも心強い点です。

セキュリティ部門は、ともすれば「できない理由」を示す存在だと思われがちです。確かに私たちの役割は、いわば「ブレーキ」役ですが、それは事業の成長を止めるものではありません。ビジネスのスピードを保ちながら、安全にカーブを曲がるための制動装置であるべきだと考えています。

「セキュリティは会社の成長を支えるためにある」

その思想を共有できるパートナーとともに、これからも進化を続けていきたいですね。