ゼロトラストで切り拓く金融DXの未来—七十七銀行の挑戦

低金利政策や少子高齢化、異業種参入など、日本の金融業界を取り巻く環境が刻々と変化する中で、収益性や競争力、信頼性を向上させるためのカギがDXの推進です。とはいえ、地方の金融機関では、人的リソースやノウハウ不足などの課題からDXへの取り組みが思うように進んでいないケースも少なくありません。

しかし、1878年に宮城県で創業した七十七銀行は、地方銀行でありながらも、積極的にDXに取り組みデジタル改革を進めている金融機関の一つです。同行ではDX推進に不可欠なOAシステムの再構築にあたり、ゼロトラストモデルを採用。行是に記した「地域の繁栄を願い、地域社会に奉仕する」という経営理念を令和の時代でも実現するために、最先端かつセキュアなITインフラ環境の構築に成功しています。

本レポートでは2024年11月8日の「docomo business 地銀フォーラム2024」で行なわれた同行のパートナーであるNTT Comとのクロストークから、狙いや具体的な取り組み、展望を紹介します。

---

銀行ビジネスのデジタル改革に向けたゼロトラストモデルへの転換

竹内：今回は「行内OAシステムの再構築によるDX推進と経営基盤を守るサイバーリスクマネジメント」というテーマで、いろいろとお話を伺いたいと思っています。まず、貴行が掲げる「Vision2030」におけるデジタル改革の位置づけ、方針などについてご説明いただけますか。

岩淵氏：「Vision2030」は2021年4月にスタートした2030年度までの経営計画です。少子高齢化、人口減少などによるマーケットの縮小に加え、ライフスタイルの変化やDXの進展などによる社会の多様化など、金融業界を取り巻く環境が大きく変化する中で七十七銀行がどのようにありたいのかをまとめたものです。

この「ありたい姿」に向けてのキーファクターの一つにDXを位置づけており、銀行ビジネスのデジタル改革を進める上で「非対面チャネル改革」「営業店改革」「事務レス改革」「データ活用改革」「行員のデジタル改革」「IT基盤整備」の6つの柱を軸にDXを進めているところです。

本日のお話のテーマとなるのは「行員のデジタル改革」と「IT基盤整備」に関わる行内OAシステム再構築の取り組みになります。

竹内：この行内OAシステム再構築のプロジェクトストーリーをお聞かせいただきたいです。この施策は、ゼロトラストモデルへの転換といっても過言ではないと思いますが、その全体像および「行員のデジタル改革」「IT基盤整備」の課題解消に向けた取り組みとは、具体的にどのようなものだったのでしょうか。

岩淵氏：プロジェクトの対象は、約3,000台のクライアント端末と制御用のクライアント基盤、データセンター内の文書ファイルサーバー、内部ファイアウォールといったシステム基盤、そしてインターネットのセキュリティ対策基盤です。セキュリティ対策基盤の再構築にあたり、安全性と利便性の両立をコンセプトとして進めています。

日々高まる、サイバー攻撃の脅威にタイムリーかつ的確に対応して「安全性」を担保するには、旧来のセキュリティ対策では限界を迎えていました。しかも、今後DXを進めることでユーザーの「利便性」をさらに高めていくためにはクラウドベースの外部サービスとの接続は避けて通れません。このような課題をクリアするために、今回、ゼロトラストモデルの採用に踏み切りました。

竹内：安全性と利便性の両立は要となるポイントですね。一般的に安全性を重視してセキュリティを固めすぎるとシステムの使い勝手が悪くなります。すると、ユーザーが抜け道をつくるようになり、管理者が把握できない「見えない弱点」ができてしまう。これは最悪のパターンです。

逆に、利便性を重視しすぎてもガバナンスが効かず、事故が起きたときの説明責任が取れなくなってしまいます。いずれにしてもバランスが難しいポイントになるのですが、当局対応（国内外の行政当局による調査や捜査、コンプライアンス重視の機運などへの対応）や社会的責任の点で、とくに意識されたことはありますか？

岩淵氏：昨今のインシデント事例を見ますと、サプライチェーンリスクが顕在化され、金融庁のガイドラインにもサードパーティを含む業務プロセス全体を対象としたサイバーセキュリティ管理体制の整備が強調されています。こうしたことを踏まえ、地域経済のインフラを支える我々の立場上、安全性を第一とした「守り」、DXを推し進める「攻め」のバランスをとることを意識しています。

ゼロトラストモデルの生命線は強固なセキュリティの担保にある

竹内：続いて、七十七銀行のゼロトラストソリューションの全体像や特長をお伺いしたいと思います。さまざまな業務シーンにおける従来の課題、それに対する改善策とはどういったものがあったのか、安全性と利便性のバランスをどのように考えられたのかを教えてください。

相馬氏：旧システムの端末はすべてシンクライアント、約3,000台の端末がありました。システム基盤は行内とインターネット環境を物理的に分離し、ファイアウォール越しにインターネットにアクセスする境界分離型でした。結果、インターネットアクセスに2段階のログインが必要、内と外でのデータ授受に時間がかかる、Webサイトの閲覧の制限も厳しく、業務上必要なサイトにアクセスできないといった課題が生じていました。

これらの課題を解決し、ユーザビリティを改善するものが、今回導入したゼロトラストソリューションです。行内とインターネットの基盤を統合し、シンクライアント用のVDI基盤は安全性を考慮してオンプレミスで再構築しました。インターネット環境は将来的なグループ会社の展開を見据え、vUTM（インターネット接続機能）、クラウドプロキシなどを組み合わせたセキュリティ対策基盤を構築しています。端末は本部のヘビーユーザー向けにセキュアFAT端末を導入、シンクライアントも含めて全台にEDRを搭載しました。

万一のウイルス感染などの事態に備えてNTT ComのSOC「WideAngle」を採用、迅速な対処、分析、調査体制も整えています。完璧なゼロトラストをいきなり目指すのではなく、境界防御と併用して段階的に進めていくことが当行に合った方法だと考えています。

竹内：それでもシステムの信頼性、データの安全性といった強固なセキュリティに重きを置く金融機関の取り組みとしては、かなりチャレンジングですよね。

相馬氏：「石橋を叩いても渡らない」七十七銀行が、このような決断したことには私自身も驚いています。

竹内：さすが東北の雄、七十七銀行さんと私は感じていますが、そのようなチャレンジングな取り組みの中でとくに配慮されたことはありますか。

相馬：やはりセキュリティが生命線でした。ユーザーの利便性が向上することは大変魅力ですが、やはり最優先すべきは安全性です。セキュリティには充分すぎる配慮をしています。こうした点を考慮するとパートナー選びが重要になり、セキュリティの知見が高く、社内改革の経験があり、手厚いサポートの体制があるNTT Comをパートナーにしたからこそ達成できたと思っています。

竹内：導入いただいたSOCやセキュアFAT端末はNTTグループで導入実績があるものです。NTTグループは世界の攻撃者から狙われることが多く、巧妙化する脅威に日々直面しています。そのため、実際に受けた攻撃の対抗策、改善策をサービス化しているケースもあります。

ゼロトラストと境界防御の「いいとこどり」構成が高く評価される

竹内：ゼロトラストソリューションを実現するにあたりご苦労されたこと、反省ポイントはありますか。プロジェクトの検討開始から振り返ってお聞かせください。

岩淵氏：今回の行内OAシステムの再構築ではセキュリティ基盤を大きく見直すにあたり、これまでのセキュリティレベルを超えるという非常に難易度の高い目標がありました。加えて、少人数での対応を余儀なくされたため、相馬をはじめとするメンバーには苦労をかけたのですが、ここまでプロジェクトを強く牽引してくれています。より高い専門性を応用しなければならない領域については、NTT Comの手厚いサポートに助けてもらっています。プロジェクトの円滑な推進、セキュリティの担保はもちろんのこと、人材育成面でもご支援をいただき、当行にとって大きな力になったと感じています。

竹内：新たなゼロトラストモデルへ転換する際の、企画立案や要件定義の中で貴行の従来のセキュリティポリシー、当局からのガイドラインへの対応などで課題はありませんでしたか。

相馬氏：先ほどもお話しましたが一足飛びのゼロトラストではなく、境界型防御とハイブリッドで「いいとこどり」をしたこと、課題解決に向けてセキュリティの高度化を目指したことが功を奏しまして、ガイドラインには充足して対応できています。充足性の確認はセキュリティベンダーによる第三者評価を行いました。

竹内：第三者評価で具体的にどのようなことをされたのでしょうか。

相馬氏：脆弱性の診断を2回実施しました。まず机上での設計内容に基づきシステム稼働や運用上の穴がないかを評価、実装後に実機を使って評価しています。今回は対応必須項目だけではなく、推奨項目までをカバーできているため、高い評価をいただき開発側の人間としては安堵できましたね。

竹内：一方で意外と苦戦しがちなのが経営判断や方針決定のプロセスですが、スムーズに進んだのでしょうか。

岩淵氏：苦労したのは事実です。DXを進める上で経営層からの至上命題の1つに、万全のセキュリティ対策があります。これは、セキュリティインシデントは経営基盤を揺るがしかねないという強い危機感に由来するものです。このため経営層に対しては想定すべきリスクと対策を充分な時間を割いて丁寧に説明し、理解を求めるようにしました。ただ気をつけていたのは、経営層に対して納得してもらうことが目的にならないようにすることです。本来の目的は適切なリスク対策あることを、我々自身に言い聞かせながら進めていきました。

竹内：ゼロトラストに対する行員の意識改革も必要だったのではないでしょうか。

岩淵氏：その通りです。しかし、すべての行員へ意識付けするのはかなり難しいと感じています。研修ではなんとなく理解してくれるのですが、研修を終えると徐々に意識が希薄になってしまう。そこで、現在も役員向けセミナーといった階層別の研修は定期的に開催しています。加えて月1回、全役職員向けにセキュリティに関する最新ニュースの発信を行なっています。

竹内：なるほど、ゼロトラストという新たな文化を行内で醸成する取り組みとして、定期的なセキュリティ教育、情報発信を継続されていることが、このプロジェクトの成功のカギの1つになっているわけですね。

グループ全体の展開に加え、生成AI活用による新サービスの創出へ

竹内：最後に七十七銀行のデジタル改革、DXの次なる展開はいかがでしょうか。

岩淵氏：今回、構築・整備した基盤を七十七グループ全体に展開して、安全性と利便性を両立した環境を広げていきたいと考えています。その他にも適切なリスク対策を講じながら、チャレンジを継続していく計画です。その1つがAI活用で、すでにニュースリリースも出しています。

竹内：ニュースのポイントを教えていただけますか。

相馬氏：フェーズ2までは生成AIを使った行内の業務効率化です。フェーズ3で目指しているのは、生成AIを活用して地域、お客さまのメリットに繋げていくことです。AI技術が急速に成長していますので、今後のデジタル分野はAIを中心に回ると考えています。たとえば、NTT Comのデジタルヒューマン技術などは、現実の人と比べても遜色ないレベルですので、銀行窓口でデジタル行員が接客する、アドバイザーとしてネット上を案内するといった世界観が遠くない未来に実現するのではないでしょうか。

竹内：今回のテーマであるゼロトラストは「すべてを信頼せず、そして確認する」という概念で、要はリスクベースアプローチとも言い換えられます。一方、今後のAI活用やグローバル展開などを見据えるためには、先行き不透明な社会情勢の中でイノベーションを起こさなければならず、難しい舵取りが求められます。こうした点を踏まえて最後に、今後のサイバーリスクの方針をひと言いただけますでしょうか。

岩淵氏：金融庁のガイドラインに即した対応はもちろん、我々を取り巻く環境、経営戦略、デジタル戦略などを踏まえながら、サイバーセキュリティリスクを特定、評価して、適切なリスク対策を継続的に講じていきます。そして、七十七グループ全体にもサードパーティを含めたガバナンス体制を強化していきつつ、俊敏性を持たせていかなければなりません。こうした取り組みを行う上では、やはりネットワークとセキュリティのパートナーであるNTT Comには大きな期待感があり、引き続きご協力をお願いしたいと考えています。