桐生信用金庫様
左から、デジタル推進部 兼 総務企画部 部長代理:平石 卓 様、 デジタル推進部 部長代理:江口 淳一郎 様
桐生信用金庫は大正14年の創業以来、地域の皆さまにとって“もっとも身近な金融機関”として歩んできました。「ALL FOR SMILE~すべては笑顔のために~」というスローガンのもと、預金・融資・預かり資産販売等の各種金融サービスの提供を通じて、皆さまの豊かな暮らしと事業の発展をサポートします。
金融機関では、お客様の住所やお名前だけでなく金融資産情報などの機微な情報を扱うため、当庫ではCISO※1やCSIRT※2を設置し、情報セキュリティ対策に注力しています。CISOやデジタル推進部の職員は積極的に外部セミナーに参加して情報収集に努め、技術レベルの向上を図っているほか、当庫全体の情報リテラシーの底上げを目的に、職員に対して情報セキュリティに関するテストや演習を定期的に実施しています。システム面のセキュリティ強化については、約20年前から情報漏洩対策ツールを活用し、操作ログの収集やUSBメモリをはじめとする外部記憶媒体の制御を行ってきました。
しかし、スマートフォンが普及したことで、PCに接続して充電する職員が出てきました。スマートフォンはPCに接続すると外部記憶媒体として認識され、データの持ち出しも可能になります。残念ながら、当時使用していたツールではスマートフォンの制御ができなかったため、入れ替えを検討。スマートフォンの制御の可否に加え、UIのわかりやすさも重視して複数の製品を比較検討した結果、「SKYSEA Client View」の導入を決定しました。
当庫では、全国銀行個人信用情報センター(KSC)や日本信用情報機構(JICC)の個人信用情報を照会する際に使用する業界団体のネットワークのほか、当庫の各部店をつなぐイントラネット、外部インターネットにつながる3系統のネットワークを使用しています。用途に応じて異なるネットワークを使用することでセキュリティを強化してきましたが、2018年に金融庁から発表された「金融分野におけるサイバーセキュリティ強化に向けた取組方針」では、個人信用情報照会用のネットワークとインターネットの物理的な分離が推奨されました。方針に従ったネットワーク分離と業務効率化の両立を検討した結果、仮想化とシンクライアントの導入を決定。職員に支給するPCは1台でイントラネットとインターネットの2系統を利用できるよう、仮想環境を構築しました。個人信用情報照会用のネットワークに接続するPCのみ、ファットクライアントで運用しています。
「SKYSEA Client View」は当初、全職員が利用する組織内ネットワークであるイントラネット接続系の仮想PCにのみ導入していましたが、ネットワーク分離を実施したタイミングで、セキュリティ対策のさらなる強化を目的に3系統すべてに導入範囲を拡大しました。また、イントラネット接続系ではお客様の個人情報を扱う業務を行う機会が多いことから、特に強固なセキュリティ対策が必要です。そこで、イントラネット接続系の仮想PCにはオプションの「画面操作録画」機能を追加。万が一インシデントが発生した際に、操作ログだけでなく映像でも証跡を追える仕組みを整えています。
幸いにも録画内容は今のところ、PCの不調などのトラブル発生時に確認することがほとんどです。「業務で使用するファイルが見つからない」などの問い合わせを受けた際、職員からヒアリングした内容だけでは正確な状況を把握しきれないこともあります。ログを確認すれば、ファイルのコピーや削除など、職員がどのような操作を行ったのかはわかりますが、実際の操作を映像で確認できれば、マウスの軌跡などの把握も容易です。そのため、素早くトラブルを解決できるだけでなく、ログだけではわかりにくい原因の究明にもつながっています。
また、職員に支給しているPCには「SKYSEA Client View」を導入していること、画面操作録画中であることを示すシールを貼付しています。これは、日常的に個人情報を扱うことによる、“慣れ”が原因で発生するミスの防止が目的です。シールが目に入れば、ルールの遵守に対する職員の意識が高まり、抑止力強化の一助になっていると感じています。
万が一マルウェアへの感染が発覚した際は、組織内への感染拡大を防ぐため、当該PCを速やかにネットワークから遮断しなければなりません。これは当庫のインシデント対応マニュアルにも明記しており、実際の対応方法を職員にレクチャーする演習も定期的に実施しています。しかし、不測の事態が発生した際に、全員がとっさにマニュアルどおりの対応を取れるとは限りません。特にイントラネット接続系の仮想PCは、先述のとおりお客様の個人情報を扱っていることから、万が一マルウェアへの感染が発生した場合にも、PCを「速やか」かつ「確実」にネットワークから遮断できる環境を整えておく必要があります。「ITセキュリティ対策強化」オプションの「検疫ソフトウェアイベントログ監視」機能をイントラネット接続系の仮想PCに導入したのは、「SKYSEA Client View」と連携したウイルス対策ソフトウェアが感染を検知すると、PCがネットワークから自動遮断されるからです。この機能により、いざというときに職員自身が対応しなくても機械的に遮断される仕組みになっているため、安心して業務ができているのではないかと思います。
当庫では現在、本部と全営業店のネットワークの無線化を進行中です。有線から無線に変わることで、ネットワークからPCを遮断するには画面上の操作が必要になります。特に当庫の場合、イントラネットとインターネットの利用端末を仮想化し、シンクライアント専用端末から各環境に接続しているため、画面上での遮断手順はさらに複雑です。そのため、ネットワークからの遮断作業を職員任せにするのではなく、ツールを活用して、緊急時は機械的に遮断できる状態にしておくということが、特に重要だと考えています。
近年は、クラウドサービスを提供する事業者が「金融機関等コンピュータシステムの安全対策基準・解説書」への準拠状況を公開するようになったこともあり、金融機関におけるクラウドの活用は少しずつ進んでいます。しかし、秘匿性の高い情報を扱うことを考慮して、当庫では当面オンラインストレージの使用禁止を継続する予定です。そのため、お客様から決算書類などのデータを受け取る際には、引き続きUSBメモリを使用します。
また、お客様から受け取ったUSBメモリ内の原本を誤って編集してしまうことのないよう、データは所定の場所にコピーしてから編集するルールを設けています。しかし、ルールはわかっていても誤ってUSBメモリ内のデータを直接開いてしまうこともあるため、「注意表示(アラート)」機能を活用することにしました。該当の操作を行ったPCにアラートが表示されるので、注意喚起やルールの周知徹底に役立っていると感じます。
なお、各部店に支給しているUSBメモリは、パスワードロック機能を搭載し、入力を一定回数以上誤ると初期化される仕様です。USBメモリへのデータの書き込みは「SKYSEA Client View」で禁止していますが、どうしても必要な場合は所属部店長に申請し、許可を受ける必要があります。以前のツールでは、USBメモリの制御を行う際に煩雑な操作が必要でしたが、「SKYSEA Client View」は非常にシンプルな手順で制御が実行できるので、ストレスなく操作できるようになりました。
金融機関では、使用するシステムが勘定系や情報系など多岐にわたるため、店舗には多数の端末を設置しています。以前使用していたツールでは、ログの収集とUSBデバイスの管理は可能でしたが、資産管理機能がなく、表計算ソフトウェアを使用して資産台帳を作成し、管理していました。そのため、IT資産情報が変わるたびに手入力で台帳を修正する必要があり、管理にかかる負担が大きい上に最新の情報を把握することが難しく、反映漏れが発生する恐れもありました。現在は、庫内のIT資産を「SKYSEA Client View」で一元管理しています。「グループツリー」を活用すれば、部店ごとにIT資産情報を登録して管理できるため、どの支店にどの端末が何台あるか、正確な資産情報を簡単かつスピーディに把握できるようになりました。
また、近年はほとんどのIT機器をネットワークに接続して使用しているため、庫内で使用できるIPアドレスが枯渇しつつあります。そこで、IPアドレスの空き状況の確認に「IPアドレス管理」機能を活用。IPアドレスを「マップ表示」にすれば、空き状況が視覚的に把握可能です。新たな機器をネットワークに接続することになっても、使用可能なIPアドレスがすぐにわかり、スムーズに割り当てることができています。
システムトラブルの発生時には、職員に対して速やかに状況を知らせる必要があります。グループウェアの掲示板などで告知する方法もありますが、全員がすぐに見てくれるとは限りません。そこで、当庫は「メッセージ配信」機能を使用して通知しています。メッセージがPC画面にポップアップ形式で表示されるため職員の目に留まりやすく、さらに、「閉じる」ボタンを押さなければ表示が消えません。そのため見落としが少なく、緊急性や重要度の高い情報を庫内に周知する際に役立っています。
今のところ私ども管理者権限を持つ職員でなければ配信できませんが、活用頻度がかなり高い機能のため、いくつかの部署から「自分たちでも実行できるようにしてほしい」という要望が上がっています。現状はデジタル推進部員が依頼を受けて代理配信していますが、管理者権限を持たない職員も「メッセージ配信」機能が使えるようになれば効率が上がると思いますので、今後のバージョンアップに期待しています。
これから推進していきたいのが、各種ログデータの活用です。例えば、長時間労働やサービス残業対策に活用することを検討しています。
現在、職員の労働時間は勤怠管理システムの打刻状況で管理し、人事部が確認していますが、PCの使用状況を見える化できれば実態に即した労務管理につながります。将来的には勤怠管理システムと「SKYSEA Client View」を連携させ、「レポート」機能で状況を見える化することも検討中です。
さらに、近年はペーパーレス化を進めたことで、紙の伝票や書類の代わりにタブレット端末を使用する機会が増えました。現在はお客様先への訪問など外出時にはノートPCとタブレット端末の2台を持ち歩いていますが、持ち出す端末が多いほど紛失の危険も高まります。そこで、タブレット端末だけで業務可能な環境を整えることに。今後は、外出時に持ち出す端末をタブレット端末1台のみにする予定です。ただし、ノートPCよりも小型で軽量のタブレット端末は、自宅への持ち帰りが容易なので、サービス残業が行われないよう、チェック体制の整備も欠かせません。今後、業務時間外のタブレット端末の起動を「SKYSEA Client View」で制御するなどの対策を検討していきたいと思います。
2023年2月取材
注目コンテンツ
テレビCM
SKYSEA Client Viewコラム
