LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

導入事例 | 

日本住宅ローン株式会社様 クラウドWAF監視・運用サービス事例

万一情報漏洩が起これば、会社の存亡に関わる。サイバーセキュリティは避けては通れない課題であり、その意識を社長以下全社員が共有している日本住宅ローンでは、ラックの「JSOC®」に続き「LAC Kai」を採用した。

日本を代表する大手住宅メーカーと大手ファイナンス会社が共同で設立した日本住宅ローンは、設立時よりITを活用して高い利便性と効率性を実現するビジネスモデルにより事業を展開し成長を続けている。

住宅ローン審査の際には、顧客より多くの個人情報を預かるため、その情報をいかに守るかという事は常に重要な経営課題だった。

第一弾として、社内システム部門のセキュリティ運用負荷を増やすことなく、社内システムの高度なセキュリティ監視・運用を実現できる体制を整えるために、ラックの「JSOC®(ジェイソック)」を採用。

さらに、顧客向けWebサービスを不正アクセスやDDoS攻撃から保護するため、クラウド型WAFサービスの「LAC Kai(ラック カイ)」を追加導入し、サーバーセキュリティ対策の強化に努めている。

創業からIT活用のビジネスモデルであり、セキュリティは「不可避の課題」

「マイホーム」という夢を現実のものにするときに、住宅ローンは無くてはならないものである。日本住宅ローンは、積水ハウス、大和ハウス工業、住友林業、積水化学工業という4大ハウスメーカーと日立キャピタルの出資を受けて2003年に設立。以来、住宅ローンに特化した新しいタイプの金融機関(モーゲージバンク)として「フラット35」をはじめとするさまざまな住宅ローン商品を提供してきた。

執行役CIO 加藤 教幸 様
執行役CIO 加藤 教幸 様

業務役員 榎本 令様
業務役員 榎本 令 様

順調に契約数を伸ばし、「フラット35」取扱い金融機関としてメガバンクを超えるトップクラスの実績を誇る同社だが、実は社員数はそれほど多くない。日本住宅ローンの執行役CIOを務める加藤教幸氏は「少人数で効率的に業務を進めるため、創業当初からITシステムの活用を前提にしてきた。ITシステムなしではわれわれの業務は成り立たない」と振り返る。ITは業務の効率化だけでなく、顧客の利便性向上という面からも不可欠で、2016年には日本で初めて、電子署名を活用して住宅ローン契約手続きをオンラインで行う電子契約サービスを開始した。

金融機関として、貸金業法や金融庁ガイドラインなどさまざまな法規制等の遵守が求められる日本住宅ローンにとって、サイバーセキュリティ対策の重要性はますます高まっている。

住宅ローンを申込む際には、氏名や住所といった基本的な個人情報に加え、家族構成、資産や収入といった非常に繊細な情報を預かり審査を行う。同社システム担当業務役員の榎本令氏は「万一こうした情報が漏れるようなことがあれば、われわれの会社の存亡に関わる。ITを用いてビジネスを進めている以上、サイバーセキュリティは避けては通れない重要な課題であり、その意識は社長以下全社員が共有している」という。

外部の力を借りて高度なサイバーセキュリティを、実績で選んだJSOC

「万が一にも顧客情報が漏れることがあってはならない。そのためにわれわれ自身ができる限り努力するだけでなく、外部の力も活用して最先端のセキュリティ対策を導入したい」(加藤氏)――このような背景から日本住宅ローンでは、境界防御やエンドポイントセキュリティ製品の導入などさまざまな対策を採用し、社内システムのセキュリティ強化に努めてきた。

並行して、集合研修などさまざまな形で社員のセキュリティリテラシー向上に努めるとともに、標的型メール攻撃訓練も実施。最新の手口を従業員に知ってもらい、開封率の低下につなげるとともに、疑わしいメールを受け取ったら情報システム部門に報告する体制や手順を整え、速やかに対応できるようにしている。

ただ前述の通り同社の社員数は決して多いわけではない。情報システム部門も少数精鋭であり、アプリケーション開発やインフラ運用と並行してセキュリティ監視まで担うとなると、その負荷は少なくなかった。特に、24時間体制でアラートを監視し、深刻度に応じてエスカレーションするSecurity Operation Center(SOC)の役割を自社内で担うのはリソースの面で非現実的だと判断し、外部サービスの活用という手段を探ることにした。

「経営トップがリスクを理解し、メガバンク並みのセキュリティ対策を実施すべしという大方針を示している。次々と高度なサイバー攻撃が出現している中、われわれの知識だけでは十分に対応できないと考え、最先端の知識と経験を持つ外部の力を借りるべきと判断した」(加藤氏)

複数のマネージドセキュリティサービスや監視サービスを比較した結果、選んだのが、ラックの「JSOC」だった。実際の運用に当たっている同社システム運用部長の湯本淳氏は「これまでの実績に加え、対応しているセキュリティ製品やSOCの運用体制の説明を確認し、『一番いいものを導入したい』と考えた」と、2017年3月からJSOCの利用を開始した。

システム運用部長 湯本 淳 様
システム運用部長 湯本 淳 様

社内システムに続き、「LAC Kai」で外部向けWebサービスの保護も実現

こうして社内システムのセキュリティレベルを強化した日本住宅ローンが次に目を向けたのが、インターネットを介して公開している顧客向けWebサービスだ。利用者が住宅ローンの残高などを確認できる便利なWebサービスだが、万が一にも不正アクセスを受け、顧客情報の漏洩につながるような事態があってはならない。

さらに詳しく知るにはこちら

クラウドWAF監視・運用サービス

「もちろんWebアプリケーションの脆弱性診断は受けているが、攻撃手法はどんどん変化している。今の時点で安全だからといって、この先もずっとそうだとは限らない。新しい攻撃が次々出てくる中で不正アクセスを防ぐには、Web Application Firewall(WAF)のような仕組みを取り入れ、万一攻撃を受けても漏洩しない仕組みを整える必要があると考えた」(湯本氏)

新たな脆弱性が発覚すれば、アプリケーションの改修など根本的な対応が必要になることもある。それにはどうしても動作検証も含め相応の時間がかかるが、その間、無防備なままにしておくわけにはいかない。開発段階での対策に加え、ネットワーク面で防御を担保する機能を組み合わせて、未知の攻撃からもシステムを守りたいと考えていた日本住宅ローンにとって、JSOCに統合され、IPSと同様に運用も任せた形で導入できるクラウド型WAFサービス「LAC Kai」は魅力的な選択肢だった。

さらに詳しく知るにはこちら

Akamai (アカマイ) Web セキュリティ

LAC Kaiのメリットはもう1つあった。米国Akamai(アカマイ)社のグローバルなバックボーンを背景にした強固なDDoS対策も利用できることだ。通常、DDoS攻撃を受けるとネットワークに異常な負荷がかかり、場合によっては数時間にわたってウェブサービスが停止に追いやられてしまう。「大規模な金融機関だけでなく中堅規模の企業にも『要求した金額を支払わないとDDoS攻撃を仕掛けるぞ』と脅してくる攻撃が発生しており、金融庁からも警戒を呼びかける通達があった。LAC KaiではWAF機能に加えDDoS防御の両方が提供されることも選定の理由になった」(湯本氏)

システム運用部 小山 夏男 様
システム運用部 小山 夏男 様

もちろん、決して低いコストだったわけではないが、「自力でAkamaiのサービスを利用したいと考えてもとうてい手の届かない金額だったものが、LAC Kaiならばわれわれの手の届く価格で導入できる。必要な機能を切り出してサービス化してもらったことで、強力なインフラを背景にした安心できるサービスを導入できるようになった」(同システム運用部 小山夏男氏)

完全ペーパーレス化を目指す中、セキュリティはさらに不可欠に

こうして日本住宅ローンでは2018年2月からLAC Kaiの利用も開始したが、クラウドベースでスムーズに導入できたこともうれしい驚きだったという。「既存のプログラム等に何か修正が必要かもしれないと、開発と運用が一体になって準備を進めたが、結果として、既存のWebアプリケーションに何も手を加えることなく導入できた」(小山氏)

さらに湯本氏は「LAC Kaiのファーストユーザーということもあり、非常に細かくサポートしてもらいながら導入できた。初のサービスだけにいくつか確認すべき事柄はあったが、その都度きちんとラック側から回答があり、安心して導入を進められた」と付け加えた。

導入から半年以上を経ているが、日本住宅ローンでは特にトラブルやインシデントが起きることもなく運用できている。が、それは、外部からの攻撃が何も来ていないという意味ではない。「月次で提供されるレポートや攻撃遮断のログを見ると、かなりの数の攻撃が来ていることに驚いている。『これだけ多くの攻撃が来ているのか』とぞっとすると同時に、それらからきちんと防御してもらっている安心感がある」(湯本氏)という。運用担当者の視点では、ポリシーのチューニングを進めることで、誤検知が減少していることも負荷軽減につながっているという。

「何かあったときにはJSOCに相談できるのはありがたい。今後、ラックから提供される脅威情報とAkamai側から提供される情報が一元化され、1つのポータルで閲覧できるようになるとさらに助かるため、アップデートを期待している」と湯本氏は述べている。

日本住宅ローンでは今後も住宅ローンのIT対応を更に進め、完全なペーパーレス化やITを活用した新たなサービス提供を加速させていくという。「市場の競争が厳しさを増す中、これまで以上にITを活用して効率化や利便性の向上に取り組んでいかなければならないと考えているが、その中でセキュリティ事故が起こることは絶対に避けねばならない。その意味でセキュリティ対策はますます重要性を増しており、今後も新たな対応が求められる際にはラックに相談しながらやっていきたい」と加藤氏は述べ、ラックの専門的な技術と知見に期待を寄せている。

導入事例のダウンロードはこちらから

PDF版ダウンロード(1.5MB)

お客様プロフィール

日本住宅ローン株式会社様

日本住宅ローン株式会社

私たちは、時代の潮流に左右されにくく、将来にわたって安心できる住宅ローンを提供することで、お客様の「夢の架け橋」でありたいと考えています。
当社がお手伝いさせていただくことで、多くのお客様に住宅という「宝」を手に入れてもらえることは、当社にとって至上の喜びです。そのため、当社ではお客様のご意見・ご要望を広く取り入れ、ご安心いただけるローン商品ときめ細かいサービスをご提供することに全力を傾けております。今後も、より信頼性と利便性の高いローン商品やサービスの開発に積極的にチャレンジし、お客様が住宅取得という「夢」を実現していただけるよう、できる限り貢献していきたいと考えております。

https://www.mc-j.co.jp/

導入サービスのご案内

詳細は、サービスページをご覧ください。

クラウドWAF監視・運用サービス

この記事は役に立ちましたか?

はい いいえ