ウェルスナビ株式会社

"『どんな対策を実施していますか』と問われたとき、『Deep Securityの仮想パッチで脆弱性を保護し、かつ脅威の検知状況を可視化できています』と説得力を持って説明できます"

ウェルスナビ株式会社
エンジニア
北村 慎吾 氏

ロボアドバイザーにより全自動の個人資産運用サービスを提供するウェルスナビは、2019年10月末時点で預かり資産1,800億円、口座数は24万口座を超え、急速に成長しているFintech企業のトップランナーだ。

ウェルスナビは「『ものづくり』する金融機関」というビジョンのもと、常に新たな技術を取り入れ、より高度なサービス作りに力を注いできた。デザイナーなども含め全社員の約半数がエンジニアやデザイナーなどクリエイターという構成で、パブリッククラウド基盤上にシステムを構築し、週に1回のペースでサービスをアップデートしている。同社で社内情報システムの管理とセキュリティ対策を担っているエンジニア、北村 慎吾氏は「システムの陳腐化を防ぎ、より安定性の高いもの、より早く処理できるものを提供するため、積極的に新しい技術を取り入れています」と言う。

ウェルスナビは長期にわたって顧客の資産を預かる金融機関として、金融庁の定めるサイバーセキュリティガイドラインやFISCの安全対策基準に沿ったセキュリティ対策を実施してきた。だが、セキュリティ至上主義に走って開発効率が損なわれては意味がない。「エンジニアやデザイナーの動きは、私たちのビジネスの成長にも影響します。ですから安全を確保しつつ業務負荷が少なくなるよう心がけながら対策に取り組んでいます」（北村氏）

ウェルスナビのシステムは、パブリッククラウドサービス上で稼動するインスタンスで運用されている。以前からクラウド事業者が提供するアクセス制御機能に加えてウイルス対策ソフトを導入してはいたが、「個別に導入されているものの、何を検知したのかを個別にコンソールからログインして確認する構成で、統合的に確認しづらいことが課題でした。サービス規模が拡大すると運用負荷も高くなるため、統合的に確認しやすい体制を構築したいと考えていました」（北村氏）

もう1つの悩みは脆弱性対策にかかる調査工数などの負荷だった。「利用しているアプリケーションに新たに脆弱性が発覚すれば、アップデートする必要があります。一方で、調査やアップデート後の動作検証などにかかる負荷が高いことが課題でした」（北村氏）

金融庁のガイドラインやFISCの安全対策基準でも、不正アクセス対策の一環として、定期的な脆弱性対応が求められる。セキュリティ担当のチームは社内情報システムの管理業務も担っており、速やかに脆弱性対応を進めるには負荷が高い状況だった。

こうした背景からフロントサーバを保護する新たな選択肢を検討し始めた時期に、ウェルスナビに入社してきたインフラエンジニアから「パブリッククラウドのセキュリティなら、これがデファクト」と強く推薦されたのが、サーバや仮想インスタンスに必要な機能を包括的に提供する「Trend Micro Deep Security™️」(以下、Deep Security)だった。

ちょうどそのころ北村氏は金融ISACに参加し、セキュリティに関する様々な情報収集も行っていた。その中でトレンドマイクロが2018年5月に金融機関を対象にした「ボードゲーム演習」を実施することを知った。これは、作り込まれたシナリオを通して擬似的にインシデント対応を経験する体験型ワークショップだ。

かねてからインシデント対応体制の強化を考えていた北村氏も参加し、他の金融機関の参加者と意見を交わしながら対応に当たることで、多くの気付きを得たという。このワークショップを機にトレンドマイクロとコンタクトを重ね、本格的に導入を検討していった。

Deep Securityではウェルスナビが課題としていた複数インスタンスの一元管理が可能なことに加え、仮想パッチ機能により、動作検証してアップデートするまでの間の脆弱性対策が自動的に行えることに魅力を感じた。また、オンプレミスやパブリッククラウドだけでなく、今後導入を検討しているコンテナへの対応が予定されていることもポイントの1つになった。

導入前検証では他の選択肢との比較も行ったが、「他の製品ではカバーしきれていなかったアプリケーションの脆弱性がDeep Securityではきちんと仮想パッチの対象となっており、要件を満たせることが分かりました」(北村氏)

Deep Security導入によって得られた効果の1つが「可視化」だ。「今まで個別に確認していたものが、ダッシュボードを見れば全インスタンスの状態をぱっと把握でき、どこで何を検知したかがすぐに分かるようになりました。業務負荷も下がりました」(北村氏)

仮想パッチによって脆弱性対応を効率よく実施できるようになり、対策レベルも強化できた。不正アクセスをDeep Securityが見つけてアラートを発し、あらためて多層防御の効果を実感した出来事もあった。

Fintech企業は注目を集め、それゆえに各種ガイドラインの遵守や水準以上のセキュリティ対策が求められる。その意味で、リアルタイムのアラートだけでなく「『今週の検知状況はこうなっています』という情報が非常に見やすい形で出てくるので助けられています」と北村氏は述べる。

『御社はどんな対策を実施していますか』と問われたとき、『Deep Securityの仮想パッチで脆弱性を保護し、かつ脅威の検知状況を可視化できています』と説明でき、非常に説得力のある材料になっています」（北村氏）

これからもより良いものづくりに取り組んでいくウェルスナビでは、常に新たな技術を取り入れている。今後はコンテナを導入しマイクロサービス化を進める予定だ。どのような形で導入するのが最適かを検討しながら、新たな環境でもDeep Securityを導入していきたいという。

金融に限らずあらゆる業界において、防御だけでなく、早期に脅威を検知し、対応し、復旧していくインシデント対応体制の整備が求められている。ウェルスナビも積極的に取り組みを進めているが、その有効性を確認するため、コンプライアンス担当や役員などの関係者も巻き込んだ訓練を実施していく計画だ。その際には「ボードゲーム本体はもちろん、トレンドマイクロの知見によるサポートを期待しています」という。

• 製品・サービスの導入効果は、ご利用企業・組織の方の声に基づくものであり、お客さまご利用状況により効果は異なります。
• 記載内容は2019年10月現在のものです。内容は予告なく変更される場合があります。