日本初のデジタルバンクが直面したセキュリティの壁

檜垣：Sysdig Japan合同会社 シニアカスタマーソリューションエンジニアの檜垣と申します。本日は、みんなの銀行様 サイバーセキュリティ部シニアマネージャーの押川様とセッションを進めてまいりたいと思います。

本日のテーマは「AIセキュリティの最前線」ですが、AIと聞くと、すごいことができる、すべて自動化されるというイメージを持たれる方も多いと思います。ただ本日お話ししたいのは、AIが何でも解決してくれる未来の話ではありません。みんなの銀行様がクラウドネイティブな環境でどのようにセキュリティ対策を運用してきたのか、そしてAIをどう現実的に取り入れているのかというお話です。

セッションの前半では、押川様から現場で直面してきた課題と取り組みをお話しいただきます。後半では、AI時代にセキュリティの前提がどう変わってきたのか、そしてランタイム視点がどう重要になるのかを整理できればと思います。最後に、自律型クラウド防御の現在地と現実的な最適解について、一緒に考えていければと思いますのでよろしくお願いいたします。

押川：株式会社みんなの銀行の押川です。私たちは2021年に日本初のデジタルバンクとしてサービスを開始しました。「みんなに価値あるつながりを」というミッションのもと、ミレニアル世代やZ世代といったデジタルネイティブなお客様をターゲットに、すべてのサービスをスマートフォンアプリで完結させる形で提供しています。

銀行という業種柄、コーポレートセキュリティ領域やインテリジェンス領域、金融犯罪モニタリングなどセキュリティ対策は多岐にわたりますが、本日はその中でも特にインフラ開発領域における私たちの取り組みついてお話ししたいと思います。

私たちがDevOpsからDevSecOpsへと進化していく過程で、現場にはいくつかの大きな課題が横たわっていました。まず、セキュリティという領域そのものが現場から見て「ブラックボックス」になっていた点です。

現場の開発者からすると、セキュリティ担当が何を考えているのかが見えず、何をするにも担当に確認しなければ進められないという状況がありました。これは開発スピードを落とすだけでなく、開発者が自分たちのプロダクトのセキュリティに対してオーナーシップを持ちにくくなる原因にもなっていました。

また、心理的な壁も深刻でした。どうしても「セキュリティ担当は後から口を出してくる存在」という認識が抜けないため、修正が必要になった際の手戻りの大きさも相まって現場には常にストレスが生じていました。また、組織が拡大し開発者が増え続ける中で、少人数のセキュリティ担当だけですべてのアラートをさばくことにも限界が見えていました。

目指したのは「フリクションレスなセキュリティ」

押川：こうした課題を解決するために、私たちが定義した理想の姿が摩擦やストレスのない「フリクションレスなセキュリティ」です。具体的には、ガードレールが整備された道を走るように、普通に開発していれば自然と安全が守られるモデルを目指しました。

この目標を達成するために、「セキュリティ文化の醸成」「セキュリティの民主化」「認知負荷の軽減」という3つの柱を掲げました。

まず「文化」の面では、セキュリティ対策を一部の担当者の仕事ではなく、プロダクトの品質そのものであると定義し直しました。具体的な施策として「セキュリティ・チャンピオン制度」を導入し、各開発チームにセキュリティの知見・意識が高いメンバーを推進役として任命しました。彼らが現場とセキュリティ担当の架け橋となることで、成功事例やナレッジが組織全体に共有される仕組みを作ったのです。また、ダッシュボードを使って対応状況を見える化し、自分たちの立ち位置を誰でも確認できるようにしました。

次に「民主化」です。これは、セキュリティ担当の判断を待つのではなく、開発者自身がその場で判断・改善できる状態にすることを意味します。そのために弊社では、セキュリティ対策の基準を開発者に対して明確化するとともに、Sysdigをはじめとしたツールを提供し活用してもらっています。

そして最後が「認知負荷の軽減」です。開発者がセキュリティのために本来の価値創造を止めなくていいよう、IDEやCI/CDパイプラインといった日常的なツールの中にセキュリティチェック機能を統合しました。また、「High以上の脆弱性は対応する」といったシンプルな基準を明示したり、安全なテンプレートを標準で提供する「Secure by Default」を推進することで、開発者が悩み込まなくても安全を確保できる環境を整えています。

ただ、私どものセキュリティの取り組みは道半ばです。さまざまなツールによって、開発段階で問題を検出できる仕組みは整ってきましたが、実際に開発者の皆さんへ浸透しきっていません。そのため、今後はツールを活用するメリットを広めていきたいと考えています。

AIの「自律化」が変えたセキュリティの前提とランタイム検知の重要性

檜垣：ここまでお話いただいた中で、運用の課題のようなものもクローズアップされてきたかと思います。これを解決するために、多く語られているのがAIの活用です。

2024年から2025年にかけて、AIのあり方は劇的に変化しました。従来のAIは、人が作成したプロンプトに対して答えるツールのようなものでしたが、今のAIは「目的を与えると自律的に行動するエージェント」へと進化しています。

この変化は、セキュリティの前提を根本から変えてしまいます。AIエージェントが人間が介在しないところでクラウドのAPIやCI/CDを操作し始めると、これまでの「事前チェック」だけでは防ぎきれない課題が生まれます。例えば、AIには強い正規権限が与えられるため、その権限が悪用されたり誤用されたりしても静的なスキャンやチェックリストでは「正規の操作」にしか見えません。また、AIによる自動判断が連鎖的に失敗したり、無限ループに陥ってコストが爆発したりといった、新しいタイプのリスクも現実のものとなっています。

こうした想定外の行動に対応するためには、ワークロードの実際の挙動をリアルタイムで監視する「Runtime検知」がこれまで以上に不可欠になります。ここで、あらためてSysdigという会社のご紹介をさせていただきます。

弊社はWiresharkの共同開発者が創業した出自を持ちます。Wiresharkとはネットワークのパケットキャプチャソフトウェアです。クラウドおよびコンテナの隆盛に伴い、中のアクティビティが可視化がされていないという問題がありました。そこで、Falcoというオープンソースを開発しこれがSysdigのエンジンとなっております。SysdigはFalcoのエンタープライズ版と考えていただければと思います。

Sysdigはワークロード上の振る舞いから脅威を検知する「ランタイム・ファースト」の思想を貫いています。定期的なスキャンだけでは防げない高度な侵害に対し、実際のワークロードで何が起きているかにクローズアップすることが、AI時代の最適解になると考えています。

弊社のミッションは、あらゆるクラウドネイティブ環境を安全で信頼できるものにすることです。Sysdigは、LINEヤフー様やメルカリ様をはじめとして、EC、インターネットサービス、金融、エンタープライズなど、クラウドネイティブ化が進む企業様に幅広く利用されています。

クラウドネイティブの環境ではヒューマンエラーが一番大きな問題であり、設定ミスのチェックが必要です。そして、ID・ユーザー権限が放置されてないかどうかの棚卸や、脆弱性の管理も必要でしょう。

これらを3本柱としてソリューションは成立していますが、先ほど申し上げた通りAIエージェンティックの時代では、こういったものを侵入・実行・破壊する力が働きます。高度なセキュリティの侵害においては、こういった定期的なスキャンでは防ぎきれないのです。

そこで、ワークロード上の振る舞いの脅威検知ができるFalcoのエンジンをもとにして、実際のワークロードで何が起きているかにクローズアップしてソリューションを組み立てております。これにより、みんなの銀行様の運用負荷やセキュリティ的な懸念も下げられると感じております。

AIを「加速装置」として活用する現場視点と、運用を支えるSysdigの強み

押川：ここからは、みんなの銀行におけるセキュリティ対応の中で、AIをどのように位置づけているかについて簡単にお話させていただきます。私たちがAI支援機能に期待しているのは単なる自動化ではありません。AIは、セキュリティのハードルを下げてくれる「加速装置」のような存在だと思っています。AIが出してくる提案はあくまで対応を支援する情報として扱い、最終的な判断は人がしっかり行うという前提は忘れずに運用していきたいと考えています。

AIの利点として、例えば検知時に大量の情報が出てきたとき、それをAIチャットに聞くことで要点をわかりやすく整理してくれることが挙げられます。また、アラートが多数ある中で優先度をつけるところを支援してくれる点も大きいです。日々の案件が並行して動いている状況でも、セキュリティ担当の労力だけに頼るのではなく、AIも活用することでセキュリティ水準を維持していける可能性があると感じています。

ここで強調しておきたいのは、AIが入ってきたとしても基本的な運用フローそのものが大きく変わるわけではないという点です。AIは担当者の横に寄り添う存在として、判断や対応の速度、効率を押し上げてくれます。同時に、例外的な対応や対応が難しいケースを減らしていく方向にも働いてくれると捉えています。

さらに少し面白い話として、心理学の観点からもAIの助言は「受け入れられやすい」側面があるようです。私自身の実感としても、難しい話になったときにChatGPTやGeminiの回答を共有すると、人に言われるよりも受け止めやすくなる場面がありました。

人から指摘されると反発心が生まれてしまうことがある一方で、機械の提案はフラットに受け取れる。こうした特性も含めて、状況に応じてAIをうまく使い分けることで、セキュリティ運用をより円滑にできるのではないかと考えています。

ここからは、利用者の目線から見たSysdigの強みについて簡単にご紹介します。まず、開発から運用フェーズまでリスクを可視化できる点や、検知能力の高さは大きな強みであると思います。

加えて、民主化という観点からSysdigさんのライセンスモデルは非常に良いと感じています。利用者数ではなくワークロードで課金される形なので、利用者がどれだけ増えても課金が変わらない。開発者にツールを広く使ってもらう前提の運用において、これは現場として使いやすい設計だと思っています。セキュリティ運用の効率改善や対応にも伴走していただいており、手厚いサポートも現場としては心強いです。

一方で要望として、もう少し柔軟なライセンス体系、例えば従量課金のような選択肢があるとより使いやすい場面もあると感じています。このあたりは引き続き相談させていただければと思っています。

檜垣：最後に、自律型クラウド防御の本当の意味について整理させてください。私たちが目指す「自律」とは、すべてをAIに任せて自動化することではありません。AIの役割は、膨大な情報を整理し、優先順位をつけ、影響範囲を可視化すること。つまり「判断までの準備」を完璧に整えることにあります。

それに対して人間の役割は、AIが整えた情報をもとに「理解し、判断し、責任を持つ」ことです。AIが勝手にシステムを止めたり隔離したりするのではなく、人間が迷わず、かつ迅速に最終判断を下せる状態を継続的に保ち続けることこそが、私たちが考える自律の最適解です。

押川：みんなの銀行では、これからもSysdigのようなツールを活用しながら、誰もがセキュリティに当事者意識を持ち、自律的に動き続けられる組織を目指していきます。AIという加速装置を正しく使いこなし、人間がより高度な判断に注力できる環境を作ること、それがこれからのクラウドネイティブ・セキュリティの要になると確信しています。

以上、ご清聴ありがとうございました。

アーカイブ動画・発表資料

イベント本編は、アーカイブ動画を公開しています。また、当日の発表資料も掲載しています。あわせてご覧ください。

▼動画・資料はこちら
AI Security Conference

※動画の視聴にはFindyへのログインが必要です。