メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

サービス・製品　|　
2026年2月16日

銀行のシステムを守れ！セキュリティ診断の取り組み～スペシャリストインタビュー第5弾

DiaForce セキュリティ診断

メルマガ登録する

メルマガ登録する

2026年、私たちのセキュリティ診断サービスは30周年を迎えました。この節目の年にあたり、これまで支えてくださった皆様への感謝の気持ちを込めて、セキュリティに関する知識や取り組みを広く発信していく特別企画を展開しています。

祝！セキュリティ診断30周年～感謝を込めた特別企画を紹介します

この30年間で、ビジネスを取り巻くIT環境は大きく変化し、情報セキュリティの重要性や診断対象の範囲も大きく広がりました。そこでラックは、セキュリティ診断の過去・現在・未来を見つめ直すインタビュー企画、「専門家が考えるセキュリティ診断の現在地と未来」を実施しています。

第5弾となる本記事では、三菱UFJ銀行をはじめとする三菱UFJフィナンシャル・グループ（以下、MUFG）のITシステムを支える、三菱UFJインフォメーションテクノロジー株式会社（以下、MUIT）の皆様にお話を伺いました。今回は、長年にわたり脆弱性診断などのセキュリティ対策に携わってきた経験を基に、金融業界がどのように脅威と向き合ってきたのかを振り返ります。また、業界の最前線に立つ専門家の視点から、現状と今後の展望についてお話を伺います。

プロフィール

三菱UFJインフォメーションテクノロジー株式会社グループ推進部
マネージャー
小泉雄一氏
1989年に旧三和銀行入行。2年目よりシステム部門に配属。海外システムの分散系基盤・ネットワークの全面更改プロジェクト、国内分散系基盤EOS対応、プライベートクラウド構築などを経て、2016年よりMUFGグループむけセキュリティ診断を担当。MUFG・三菱UFJ銀行のCERT部門と共に脆弱性診断の推進、最近ではペネトレーション運営にも参画。

株式会社ラック
技術統括部セキュアソリューションユニット
副ユニット長
吉田聡
セキュアソリューションユニットの副ユニット長。2003年にラックへ入社し、診断部門に配属。診断エンジニアの経験を経て、Webアプリ診断のサービスオーナーとして、国内外の診断エンジニアの育成や、診断のコンサルティングでガイドラインの作成等を担当。その後、マネジメントと並行してペネトレーションテスト（侵入テスト）のサービス化を推進。

株式会社ラック
技術統括部セキュアソリューションユニットデジタルペンテスト部
グループリーダー
神下真一
2016年にラックに入社し、コンサルティング部門にてコンサルタント業務を担当後、診断部門に配属。診断エンジニアとして各企業のWebアプリに対する診断や、診断の改善業務を行う。現在は診断サービスの案件調整業務や所属部門メンバーの育成を担当。

ラックと取り組んできたセキュリティ対策

──ラックとこれまで実施してきたセキュリティ対策の取り組みや経緯について教えてください。

小泉氏: MUITは三菱UFJ銀行はじめ、MUFGグループにITサービスを展開する役割を担っています。貴社に協力いただいている脆弱性診断は、2012年に三菱UFJ銀行で方針決定し、翌2013年からグループ全体のセキュリティ向上のためにサービス提供を始めました。提供にあたっては、グループ専用の診断サービスを立ち上げ、診断作業は貴社へ依頼し、グループ各社との要件調整と貴社への橋渡しはMUITが担当する体制を整備しました。

吉田: そうでしたね。このグループ専用の診断サービスをどうすれば上手く運用できるか、初期段階から一緒に検討しました。グループ会社ごとに事情やシステムが異なる中で、MUITが間に入ってくださったことで、調整がスムーズに進みました。

神下: グループ内の調整だからこそ、踏み込んだやりとりができるというのも大きかったと思います。MUITからのフィードバックが的確で、診断結果の伝え方や優先順位の付け方など現場に即した改善ができました。診断を提供して終わりではなく、「一緒に育てていく」感覚が強かったです。

小泉氏: 私はサービス4年目から担当になりましたが、正直なところ、アサインされた当初は、飛び交うセキュリティの専門用語が外国語のように聞こえていました。私はこれまでインフラ構築専門だったので、プラットフォーム診断は理解できましたが、Webアプリ診断は全くの未知の領域でした。そのような中、言葉の意味はもちろんですが、背景やセキュリティ分野・各界における視点などを業界トップランナーならではの目線で教えていただいたことが貴重な経験でしたし、気づけば共に並走するようになっていました。

──セキュリティは同じITでも別の専門領域なので、最初は戸惑いがありますよね。その後も長くご担当され続けていますが、貴社の中でも珍しいキャリアなのでしょうか。

小泉氏: 担当業務や時代にもよって状況は変わりますが、昔は5年前後でローテーションが主軸でした。今は専門性を高めるプロフェッショナル集団という視点で、開発力・マネジメント力向上が主軸になっています。

システム開発とセキュリティ

──システム開発の現場におけるセキュリティ意識は、現在どのぐらい浸透しているのでしょうか。

小泉氏: コーディング規約は各システムにおいて策定されていますが、特にインターネットオープンなシステムにおいては、セキュリティパラメータに至るまで確り規定され、また、フレームワークを活用したセキュリティパラメータ組み込みで、個人差の排除も進んでいます。

昨今、サイバー事案は、内部侵入や技術的な高度化の傾向にありますので、内部での教育・啓発も繰り返し実施され、システムセキュリティ意識は高まっています。

神下: 診断をしていても、その変化ははっきり感じます。報告書内容を深く読み込み、背景まで理解しようとされる反応が増えており、開発チームの皆様がセキュリティ対策に前向きに取り組まれている姿勢が伝わってきます。

グループの管理施策

──グループ全体を同じ基準で進めていくとなると、調整がかなり大変そうですね。

小泉氏: 10年くらい前は、インターネット接続システムを中心に「外部脅威に対して水際で守る」ことを軸に脆弱性診断などを推進していました。しかし、最近は攻撃者が内部に侵入することを軸に、システムをブラッシュアップし、継続的に評価・検証を実施することが必要とされる時代になり、当局の指導目線も年々上がっています。お客様に安心・安全な金融サービスをご利用いただけるよう、ペネトレーションや数々のセキュリティ施策を組み合わせた運用を実施しています。

ただし、どの企業でも同じ悩みに直面していると思いますが、グループ視点では企業規模も様々な中、施策を打ちたくてもコスト・IT人材・ナレッジなどの「壁」に直面します。

転機となったのは、2017年頃以降かと思います。世の中でサイバー攻撃が増加し、メディアでも取り上げられ、OWASP Top10に標的型攻撃がいきなり4位にランクインし、セキュリティ各社のセミナー内容もガラッと変わりました。併せて金融当局の視点・ガイドも変わってきました。このような潮流の変化に当然、内部的にも変化が起きました。従来、重厚な診断スキームを用意して確りリスクを撲滅することが主眼でしたが、一方でコスト面が障壁でした。そのため少し軽量なメニューを用意し、グループ各社が参加し易い環境づくりを推進したのもこの頃です。

吉田: その流れの中で、簡易診断についてご相談いただきました。イメージとしては、通常の診断サービスが人間ドックだとしたら、簡易診断は健康診断です。いきなり完璧を求めるのではなく、まずは50点をとることを目標にしました。

小泉氏: そうですね。全員が100点を取ることが理想ですが、そのために現実が一歩も進まないのでは新たな潮流に何も対処できていないことになります。主要システムは従来の診断を行いつつも、それ以外はまず簡易診断で現状把握をする。点数で言えば、ゼロではなく50点にする取り組みから始め、グループ全体の底上げと、次へのステップアップの足場づくりを目指しました。

神下: 簡易診断でも「まずは現状を知る」という意味では非常に有効ですね。

小泉氏: さらに、昨今の中期計画の柱の1つにセキュリティが正式に位置づけられ、マネジメント層も定期的に報告を受けるようになっています。同様にグループ内への横展開や社内教育も頻繁に行われるようになり、セキュリティ意識が組織全体に広がっていきました。

金融業界とセキュリティのこれから

──金融業界におけるセキュリティの今後の課題や、注目しているトレンドについて教えてください。

小泉氏: 毎年、貴社の西本さんをはじめ、国内外の専門家の講演をオンラインで聞いています。ここ3年は標的型攻撃をテーマにした内容が増え、また、日常的にランサムウェア・サプライチェーン攻撃を見聞きするようになり、「対岸の火事ではない」、「社会インフラとしての金融サービスを如何に守るか」という視点が金融業界に根づいたと感じます。攻撃者は長期的に情報を狙い続けるため、常に意識し続けることが重要だと思っています。

吉田: 企業にはさまざまな役割の人がいますが、全員がセキュリティの専門家になる必要はありません。ただし、金融庁のガイドラインなどを見て、内容を理解できるリテラシーは間違いなく求められてきています。トレンドを正しく掴み、業務とどう関係するかを考えることは重要です。

神下: 診断の現場でも、ゼロトラストやサプライチェーンリスクへの関心が高まっています。さらに最近は、生成AIを悪用したフィッシング詐欺も増えており、攻撃の精度が一気に上がっています。金融業界は特に狙われやすいので、技術的な対策だけでなく、人の意識や組織の対応力をどう高めていくかが、どの業界にとっても大きな課題になってくると考えます。

今後の展望

──今後の脆弱性診断に思うところをお聞かせください。

小泉氏: 「侵入」という視点がメディア含めてクローズアップされていますが、従来同様の外部からのアタックが減ったわけではなく、攻撃が多様化したという認識です。外部からのアタックを水際で止める努力は引き続き必要で、脆弱性診断はこれからも継続的に展開していくつもりです。さらに、万一侵入を許しても被害を極小化する観点で、ペネトレーションテストと組み合わせていくことが重要で、グループベースで既に施策展開しています。個別には実施している会社もありますが、一度きりの取り組みでは意味がなく、改善サイクルに組み込めていない点が従来の課題でした。

神下: ペネトレーションテストは診断では見えない、攻撃されたときの現実を疑似体験できる取り組みです。攻撃者の視点を知ることで、机上の防御では見えなかった気づきが必ず生まれます。効果を出すためには、目的設定、実施、改善のサイクルを継続することが不可欠です。

──ラックに期待していることはありますか？

小泉氏: 貴社には絶対的な信頼感があります。日本で最初に診断サービスを展開され、各方面でもリーダー的存在で、目線が高く高品質な情報・知見・対応力をお持ちなので、日々の運営でも柔軟かつ丁寧な対応で、きめ細かいサポートをしていただいています。今後もグループ視点での施策検討・展開が続きますので、情報・知見のご支援を期待しています。

吉田: ありがとうございます。私たちも、MUITのように現場と真摯に向き合うパートナーと一緒に取り組めることを誇りに思っています。

──最後に、グループ推進部部長伊藤氏から、セキュリティ診断の取り組みと今後の展望についてお話しいただきました。

伊藤氏: セキュリティ診断が始まったときは、正直開発現場では戸惑いもありました。当時はその重要性を認識できてなかったと思います。しかし、時代の変化とともにその重要性を強く感じるようになりました。今ではセキュリティはIT部門だけでなく、経営層も理解すべき不可欠なものです。事業継続のためには、マネジメント層もリスク管理の観点から意識し、システム部門も積極的にその対応をしていく必要があります。

サイバー攻撃への対策は常に進化し続けており、100点満点の答えはありませんが、満足することなく日々取り組み続けることが大切だと考えています。今後もラックにセキュリティ診断をはじめとする専門的な支援をお願いしつつ、組織一丸となってセキュリティ強化に努めていきたいと思います。

左から、三菱UFJインフォメーションテクノロジー株式会社部長伊藤氏、セキュリティ診断担当の前川氏、野本氏、石塚氏

また、他のセキュリティ診断担当者からも「貴社と協力しながらセキュリティ診断の経験を積み重ねてきました。様々な脅威が深刻化しており、セキュリティ対策はますます難しくなっていますが、これまでの知見を活かし、今後も診断に取り組んでいきたいと思います。」といった前向きなコメントをいただきました。

さいごに

MUITのセキュリティ対策は、ラックとの協業によるスキーム構築を皮切りに、「セキュリティ専門家との伴走で知見を積み上げていく」という姿勢を軸に進化してきました。2013年のグループ専用の診断サービス導入から、グループ各社との綿密な調整・報告フローの整備、2017年からの健康診断に例えた簡易診断の全社展開、そして中期経営計画でのセキュリティ方針組み込みなど、着実にレベルを引き上げてきました。

重要なことは、現状を正しく可視化し、社内コミュニケーションで協力体制を築きながら、外部の知見を柔軟に取り入れるというサイクルを回し続ける姿勢です。今後はペネトレーションテストの定常化や診断プランの多様化を通じて、より高度な防御体制を実現していく段階に入っています。まずは、自社の資産を可視化するところから始めてみてはいかがでしょうか。専門家と伴走しながら改善のサイクルを回し続けることが、組織のセキュリティ成熟度を確実に高め、未来の事業を支える礎となるはずです。