九州フィナンシャルグループ様 インシデントレスポンス訓練事例

中・南九州に強固な基盤を持つ九州フィナンシャルグループ。「お客様、地域、社員とともに、より良い未来を創造する『地域価値共創グループ』への進化」を長期ビジョンに掲げ、お客様そして地域の持続的な発展を支える同社は、サイバーセキュリティの脅威に対してどのような取り組みを進めているのか。本取り組みのキーマンである有馬 小織氏、星野 健太郎氏、樋口 潤氏に話を聞いた。

九州フィナンシャルグループとは

九州フィナンシャルグループ（以下KFG）は、熊本県と鹿児島県それぞれのトップバンクである、肥後銀行と鹿児島銀行の経営統合により、地域に根ざした総合金融グループとして2015年に誕生した。母体となった肥後銀行と鹿児島銀行は共に、地域に貢献し、お客様と厚い信頼関係を育んできた。しかし、今後迎えるであろう少子高齢化をはじめとする地方が抱える諸問題や、環境変化への対応力強化が一層求められることから、統合により盤石な経営基盤を確立し、九州全体の地方創生の実現に向けた地域密着型ビジネスモデルに切り替えていった。

KFGは、「『地域価値共創グループ』への進化」を長期ビジョンに掲げ、お客様、地域、社員が一体となって地元である九州を発展させていく取り組みを進めている。金融機関という枠を取り払い、お客様のあらゆる課題に対し共に取り組む姿勢を見せている。

昨今では、デジタル投資やDX（デジタルトランスフォーメーション）に関する問い合わせが増加しており、そういった課題に対してもKFGとして、グループ会社の九州デジタルソリューションズ株式会社による課題解決を進めているところだ。また、株式会社九州みらいCreationを設立し、ECサイト「よかもーる」を2023年6月に開業し、地域の魅力ある商材の訴求や海外への販路拡大に取り組んでいる。

デジタル活用が地域振興に効果をもたらす

地域振興の推進に欠かせないのが、デジタルの有効活用だ。KFGのIT活用の一例として、キャッシュレス決済サービス「Payどん」がある。キャッシュレス決済が急速に浸透するなか、スマートフォンを活用し鹿児島銀行の口座からダイレクトに決済できることが売りだ。商店街で企画される様々なプレミアム商品券も「Payどん」で利用できるなど、地域で広がり始めている。こうしたサービス展開は、地域の消費拡大と商店街の活性化を目指して開発されたものだ。

しかもこの「Payどん」は、完全に鹿児島銀行の内製で開発されている。企業の多くは、こうしたサービス開発をアプリケーション開発会社に委託することが多い。

IT活用の拡大を支えるのが、セキュリティ対策

KFGは、IT活用の拡大に向けて、重要な課題の一つとして情報セキュリティ対策を掲げている。2022年度に日本銀行と金融庁が共同して地域金融機関向けに初めて実施した、「地域金融機関におけるサイバーセキュリティセルフアセスメント」にそって、両銀行のセキュリティ対策評価を行い、セキュリティ強化が必要な内容に優先度をつけ対応している。

一例として、資産管理やランサムウェアについては優先度を高く対応しており、資産管理においてはインベントリー管理システムを自社開発した。ランサムウェアに対しては、被害発生に備えてシステムバックアップデータのオフライン保管を完備し、万が一の対策に余念がない。また、SIEMを活用したセキュリティ運用も進めており、サイバー攻撃の検知とインシデントレスポンスを運用している。

また、セキュリティ対策をリードするサイバーセキュリティ人材の育成にも注力している。有馬氏はその背景について次のように語った。「南九州地区だけでなく、国内の企業において、サイバーセキュリティのスペシャリストは必要とされています。そのため、外部からの採用はとても難しい分野です。この現状を踏まえ、KFGとしても組織内におけるセキュリティスペシャリストの育成はこれからの重要課題として認識しています。」と、システム開発と同様にサイバーセキュリティ人材育成に向けた更なる取り組み強化を検討しているという。

そして組織面に対しては、グループ、肥後銀行および鹿児島銀行それぞれがCSIRT（シーサート：インシデント対応チーム）を組織している。各CSIRTは、最新の脅威のトレンドを把握することと、グループのサイバーセキュリティ施策についての指針を合わせるために、定期的にミーティングを重ねるなど横連携している。

これら情報セキュリティへの積極的な姿勢を見せる背景として、南九州地域に世界的企業の製造工場が誘致される予定となっていることも挙げられる。知名度の高い企業の話題が世界に広がった際に、世界中からサイバー攻撃の標的にされるリスクも考えられ、警戒度を強めている。銀行は地域経済のハブともいえる存在であり、情報は必然的に集中することからサイバーリスクの度合いも高まることが憂慮されている。

自分事として感じ、対応練度を高めるインシデントレスポンス訓練机上1日コース

銀行業務が停止することは何があっても防がなければならない。そのため、仮にインシデントが発生したとしても最小の被害でリカバリーできる状況を維持することが重要だ。両銀行共に、サイバー攻撃対応マニュアルは整備済みだが、書かれている内容が理解できていても、実践できるとは限らない。また、マニュアルに記載されていない不測の事態が発生した際に対応できないのは最大のリスクだ。

そういった危機的状況を肌身で感じ、対応への練度を高めてもらうために、「インシデントレスポンス訓練机上1日コース」を実施している。コースは、座学と演習の二つに分かれており、演習では次々にインシデントが発生し、状況変化の渦中にいる行員の対応次第で、その後の展開が変化をしていく構成になっている。実際にラックが緊急対応をした案件をモデリングしていることから、非常に実践的で臨場感溢れる内容だ。

また、演習には各組織のインシデント対応の中心となる人材が20名ほど参加した。所属は、IT関連部署、リスク・コンプライアンス関連部署のみならず、経営企画部門や事業統括部門、広報部門など幅広い部門から参加した。座学は参加者の制限を設けておらず、40名が参加した。

インシデントレスポンス訓練机上1日コースに参加した樋口氏は、感想を次のように語った。「非常に有用な演習で、インシデント発生時に情報セキュリティ担当にしっかり情報を伝える重要性が理解できた。正確に情報を伝えるべきでしたが、混沌とした状況に圧されて声を発せなかったのは、訓練として体験できて良かった。あってほしくはないですが、実際にインシデントが発生した際には、事実の整理と経営判断ができる情報をしっかり説明しなければならないと認識を新たにしました。」

同様に星野氏は、「期待以上の内容でした。机上演習はリアルに近い臨場感があって、演習のシナリオは非常に複雑でよく考えこまれていました。例えば、二つの連続した事案の発生に対して、連動した事象と判断し調査してしまったことで、原因判明に時間を要してしまったというものは実際に発生し得ることと、思い込みが先行すると誤った対応につながる危険性があることを理解できた。」と振り返った。

KFGは、インシデントレスポンス訓練机上1日コースを、過去4年にわたり継続して受講している。単発での演習でも効果はあると考えられるが、複数年にわたり演習を行うことで、行内にインシデント対応経験がある社員が増えること、重要な役割を持つ社員が常にセキュリティへの意識を高く保つためにも、継続した演習の実施は効果的だと考えている。

演習に経営層を巻き込む意義

「地域金融機関におけるサイバーセキュリティセルフアセスメント」においても、経営層のセキュリティ対策への関与について、必要性が強く指摘されていることもあり、昨年度からは経営層も訓練に参加している。ランサムウェアによるインシデント発生時のように、経営トップによる記者会見や何らかの決断が求められるなど、経営層の経験値アップが必要となっている。こうした取り組みもあり、経営層から「サイバーセキュリティリスクは担当部門だけではなく、全員が当事者として取り組むべき」という声があがり、経営層主導でのセキュリティ対策が進んでいる。

おわりに

ラックの訓練を選択した理由を有馬氏は、「ラックはサイバー救急センターもあり、インシデント対応支援の経験が豊富なので、訓練の内容も実際に即していると考えたことが一番の理由です。また、座学と演習の内容が、KFGとして求めていたものに近かったこともあります。」と説明した。今後は、ランサムウェア被害の発生を想定した訓練の必要性を感じており、ラックに提供を期待しているという。

地域の振興を目指しデジタルの活用を推進するKFGは、同時に安全性にも最大限の配慮を欠かさない。これからも生み出されるサービスが、中・南九州だけでなく、日本全体、そして世界に活用される未来に期待したい。

導入事例のダウンロードはこちらから

PDF版ダウンロード（828.0KB）

お客様プロフィール

九州フィナンシャルグループ様

https://www.kyushu-fg.co.jp/