インタビュイー（写真左から）：
・二宮 賢治（みんなの銀行 サイバーセキュリティグループリーダー）
・高橋 明（みんなの銀行 サイバーセキュリティグループ）

この記事は「パロアルトネットワークス」公式ホームページに掲載されたインタビュー（事例紹介）を、許諾を得て転載しています。

コンテナを含むクラウド全体のセキュリティ状態を可視化し、CI/CDツールとの連携によるDevSecOpsを実践

みんなの銀行は、業界に先駆けてバンキングシステム（勘定系システム）をフルクラウドで構築したデジタルバンク。システムプラットフォームにGoogleのパブリッククラウドサービス「Google Cloud」を採用し、バンキングシステムを構成するアプリケーションはマイクロサービスアーキテクチャに基づき、Google Kubernetes Engine（GKE）コンテナで構成されている。クラウドネイティブ環境に最適なセキュリティの実現を目指したみんなの銀行は、コンテナおよびKubernetesクラスタ実行環境を含むクラウド全体のセキュリティを可視化する「Prisma Cloud」を導入。CI/CDツールとの連携によるDevOpsプラットフォームに統合し、DevSecOpsを実践している。

導入背景
● 業界に先駆けバンキングシステム（勘定系システム）をフルクラウドで構築。
● クラウドネイティブ環境に最適なセキュリティを導入する必要があった。
● DevOpsプラットフォームに組み込み、DevSecOpsを実践できる製品を探した。

​ソリューション
● クラウドネイティブ技術に対応し、DevSecOpsの中に組み込める「Prisma Cloud」を導入。
● クラウドセキュリティプラットフォームとしてグローバルの豊富な実績を決め手に選定。

日本初の次世代デジタルバンクが誕生

みんなの銀行は2019年8月、ふくおかフィナンシャルグループがデジタルネイティブ世代をメインターゲットとするまったく新しい銀行として設立した日本初の次世代デジタルバンクだ（設立当初はみんなの銀行設立準備株式会社）。2020年12月に銀行業営業免許を取得して現社名へ商号変更、2021年5月に銀行業務を開始した。「みんなに価値あるつながりを。」というミッションを掲げ、世の中のヒト、モノ、カネ、情報をつなぐ存在として「銀行」というビジネスドメインの先にある「新しい金融機能」の提供を通じた新たな価値の創造を目指している。

銀行業務や存在意義を再定義し、口座開設からATM入出金、振込などのすべてのサービスがスマートフォン上で完結できるようにゼロベースでバンキングシステムを設計した同行は、業務を支えるバンキングシステムにはマイクロサービスアーキテクチャやコンテナといった先進的な設計指向や技術を取り入れ、プラットフォームにミッションクリティカルな可用性・性能を備えたGoogle Cloudを採用した。

二宮「サービスや商品の拡充・変化に伴ってシステムを変更する際にも、柔軟かつ迅速に対応できるよう、バンキングシステム全体をフルクラウドで構築するとともに、矢継ぎ早のサービスリリースが可能となるよう、DevOpsの仕組みを構築しました。」

写真：みんなの銀行 二宮／提供：パロアルトネットワークス

グローバルで実績豊富なPrisma Cloudを選定

会社設立からバンキングシステムの構築・稼働、サービス提供の開始までわずか18カ月という短期間で開業を果たしたみんなの銀行だが、フルクラウドバンキングシステムの安全性を高めるために欠かせないのがセキュリティだ。このセキュリティを実装するために、同行はまずミッションクリティカルなバンキングシステムに相応しいセキュリティソリューションを探すところから始めたという。

同行のバンキングシステムでは、CI/CDツールとの連携によるDevOpsプラットフォームの中にセキュリティ機能を統合し、初期開発の段階からセキュリ
ティを考慮したDevSecOpsの実践を目指している。そこでマイクロサービスアーキテクチャやコンテナといった技術に対応するとともに、DevSecOpsの中に組み込めるセキュリティソリューションを複数ピックアップして比較検討。その結果、同行が選定したのがパロアルトネットワークスのクラウドネイティブセキュリティプラットフォーム「Prisma Cloud」だった。

二宮「Prisma Cloudは、グローバルのクラウドセキュリティプラットフォームとして豊富な実績があったため検討することにしました。」

技術的な動作検証を実施するために、みんなの銀行ではPrisma Cloudを取り扱うマクニカソリューションズに相談。同社の支援を受けながら2019年6
月～9月の約4カ月をかけてPoC（概念実証）を実施した。

高橋「PoCの結果、バンキングシステムで必要とされるセキュリティ機能を実現できることが確認できました。この間、マクニカソリューションズから導入・設定・運用に関する支援が受けられたことも決め手となり、2019年12月にPrisma Cloudの導入を決定しました。」

写真：みんなの銀行 高橋／提供：パロアルトネットワークス

インシデントを抑止し運用管理負荷を軽減

提供：マクニカソリューションズ／パロアルトネットワークス

Prisma Cloudの導入後、みんなの銀行は同行の各種バンキングシステムのアプリケーション開発のDevOpsプラットフォームにPrisma Cloudを組み込み、DevSecOpsを実践した開発を進めている。現在は、Prisma Cloudが提供する多彩なセキュリティ機能のうち、コンテナイメージの脆弱性管理とコンプライアンス管理、コンテナおよびKubernetesクラスタ実行環境で稼働するアプリケーションの異常な挙動を監視するランタイム防御、アクセス制御といった機能を使用している。

Prisma Cloudの導入により、同行では物理的に隔離された複数リージョンにまたがった高可用なクラウド全体のセキュリティを包括的に運用・監視できる仕組みを実現。クラウドバンキングシステムにおけるセキュリティインシデントの発生を抑止する効果が得られているという。

二宮「銀行にとってセキュリティはトップリスクであり、みんなの銀行では、必要なセキュリティ対策はすべて行うという方針で臨んでいます。本番環境の保護はもちろんのこと、開発環境にもPrisma Cloudを導入して開発プロセスにセキュリティ機能を組み込むことを実践していることもあり、これまでに重大なセキュリティインシデントは発生していません。」

バンキングシステムのセキュリティ全般を担当するサイバーセキュリティグ
ループにとっては、セキュリティ運用負荷を大幅に軽減するという効果が得られているという。

高橋「もしPrisma Cloudを導入していなければ、多数あるコンテナの最新の脆弱性への該否チェックや、万が一セキュリティインシデントが発生した際の詳細原因の究明などを手作業で行わなければなりません。Prisma Cloudを最初から導入したおかげで、そうしたセキュリティ運用の負荷が軽減されるという恩恵を間違いなく受けていると考えています。」

今後は運用の自動化に向けた取り組みを推進

みんなの銀行では今後、セキュリティ運用管理をさらに効率化するために、Prisma Cloudが備える機能をフル活用するとともに、チケット発行や脆弱性対応など運用の自動化に向けた取り組みを進めていく予定だという。そしてPrisma Cloudを組み込んだDevSecOpsによる開発を今後も継続していく方針だ。

パロアルトネットワークスのPrisma Cloudは、これからもみんなの銀行の顧客が安心して利用できる安全なクラウドバンキングシステムを支え続けていくことだろう。