「脆弱性診断の直後」の死角をどう解消? 住信SBIネット銀行のクラウド運用術:“今”安全かどうかをリアルタイム監視
住信SBIネット銀行は、マルチクラウド環境のセキュリティリスクを一元管理する「Cloudbase」を導入した。定期診断による「点」の監視から脱却し、設定ミスや脆弱性を継続的に可視化する体制を構築している。
「クラウドファースト」の方針が定着している企業では、用途に応じてクラウドサービスを使い分けるマルチクラウドの運用が本格化している。こうしたシステム構成のセキュリティ対策として、外部ベンダーによる定期的な脆弱(ぜいじゃく)性診断やペネトレーションテストを実施し、「重大なリスクなし」というお墨付きが出れば安心だと考えるのは早計だ。
アジリティー(機敏性)が高いクラウドシステムは、日々新しいコンピューティングリソースが追加され、設定が変更される。監査を実施した数秒後に、現場のエンジニアが意図せず脆弱な設定を反映すれば、自社の機密情報が危険にさらされかねない。定期診断はあくまで「対策を講じた時点ではセキュアだったかどうか」を調べるものに過ぎず、「今この瞬間も安全である」ことを保証するものではない。
インターネット専業銀行として、セキュリティを経営上の最重要課題と位置付ける住信SBIネット銀行も、「点での確認」にとどまっていることに強い危機感を抱いていた。SaaS(Software as a Service)などのクラウドサービスの設定ミスを原因とした情報漏えい事故が相次いで報じられている。
万が一の事態が起きれば、経営層から「なぜ防げなかったのか」「今、当社のシステムは安全だと言い切れるのか」と厳しく問われるのはIT部門だ。この課題に対し、住信SBIネット銀行がたどり着いた「リアルタイムな可視化」とはどのようなものか。
「今が安全」をどう証明するか? 住信SBIネット銀行の決断
併せて読みたいお薦め記事
金融機関のクラウド運用
住信SBIネット銀行は、マルチクラウド構成におけるセキュリティ状況のリアルタイムな可視化を目的に、マルチクラウド構成の設定ミスや脆弱性などのセキュリティリスクを一元的に可視化、管理できる日本発のセキュリティシステム(CNAPP:Cloud Native Application Protection Platform)「Cloudbase」を採用した。2026年4月8日、Cloudbase社が発表した。設定ミスや脆弱性の継続的なモニタリングを可能にすることで、迅速なリスク対処と部門間連携の強化を実現した。
インターネット専業銀行である住信SBIネット銀行は、セキュリティを経営上の最重要課題に位置付け、業務系システムやOA(オフィスオートメーション)システムなどでマルチクラウドを活用している。従来は、構築時の確認や定期的な脆弱性診断を実施していたが、診断直後の設定変化によるリスクをカバーし切れない「点」での確認にとどまっていた。相次ぐクラウドサービスの設定ミスによる事故を背景に、「今この瞬間も安全かどうか」を常に把握できる仕組みが必要だと判断した。
Cloudbaseの採用に当たっては、将来的な拡張性やサービスの進化への期待に加え、検出結果や修正方法が日本語で明確に提示される点を評価した。海外製品と比較して、専門知識が十分ではない関係部署への展開が容易であり、組織全体のスピード感に寄り添った並走パートナーとしての価値を重視した。
導入後は、システムリスク管理部のCSIRTグループがハブとなり、検出されたリスクを開発やインフラ部門へ共有する体制を構築した。日本語による具体的な修正指示によってコミュニケーションの手間が大幅に削減され、各部門が自律的にリスク対処を進められるようになった。AWSのネイティブ機能を利用して多層的に確認することで、セキュリティ対策への確信と安心感の獲得にもつながっている。
可視化された情報は、経営層への月次報告にも活用されている。単なる数値の報告にとどまらず、継続的な監視と統制ができている実態を共有することで、経営とのコミュニケーションも強化された。今後は、SBOM(ソフトウェア部品表)機能などの活用も視野に入れ、セキュリティを事業成長の土台としてさらに進化させる。
(※)この記事は本多和幸氏と谷川耕一氏によるIT事例メディア「CaseHub.News」に掲載された「住信SBIネット銀行、Cloudbaseでクラウド環境を可視化 リアルタイム監視体制構築」(2026年4月10日)を、TechTargetジャパン編集部で一部編集し、転載したものです。
Copyright © ITmedia, Inc. All Rights Reserved.