セキュリティ人材は“完全内製” 住友生命のTanium活用と本気の人材育成術

住友生命は端末管理強化に向けて約5万台にTaniumを導入した。本記事では、ツール検討から評価ポイント、導入の効果に加えて、ツールの効果を最大限に発揮するための人材育成術についても踏み込んで紹介する。

[田渕聖人，ITmedia]

　タニウムは2025年6月13日、都内でカンファレンス「Converge Tokyo 2025」を開催した。同カンファレンスでは、スミセイ情報システムの鐘築泰則氏（Ｄ＆Ｄ推進部　担当部長）が登壇し、「デジタル時代の生命保険を支える！　住友生命のTaniumを活用したセキュリティ高度化への挑戦」と題してエンドポイント管理プラットフォーム「Tanium」の導入事例を語った。

20年以上使い続けたウイルス対策ソフトから卒業　なぜTaniumを入れたのか？

　住友生命保険相互会社（以下、住友生命）は従業員約4万2000人、全国に約90の支社・事業部と、約1500の支部を備えた保険会社だ。健康増進型保険「Vitality」を中心に「一人ひとりのよりよく生きる＝ウェルビーイング（Well-being）」に貢献するサービスの提供を通じて「なくてはならない」保険会社グループを目指している。

　スミセイ情報システムは住友生命グループ全体のシステム開発や運用、サイバーセキュリティを担っている。主なセキュリティ業務としては、セキュリティの運用業務をはじめ、これに関連した計画の策定と規定管理、システム開発時のセキュリティ相談、サイバー攻撃対応演習、セキュリティ教育など多岐にわたる。

　鐘築氏は「保険会社が取り扱う情報は非常に膨大かつ一部にはセンシティブなものも含まれる。そのためデータのセキュリティや顧客情報の保護はグループ全体にとって最優先事項だ」と述べる。

　住友生命グループでは数年前まで境界型防御でのセキュリティ対策を実施していたが2020年以降、ランサムウェア攻撃の激化などを受けて従来の方針を見直し、端末ネットワーク全体のセキュリティ対策を再考することになった。

　これに向けて同社が打ち出したのが、2024年の稼働を目指して発足した端末更改プロジェクトだ。端末更改タイミングをきっかけに、全国の拠点に約1200台設置していたアプリケーション更新やセキュリティパッチ配信用サーバの廃止を検討。長年使ってきたプロダクト配信システムをTaniumに置き換えつつ、端末側の脅威検知・対応能力強化を目的にDeep InstinctのEPP／EDR（Endpoint Detection and Response）製品「DSX for Endpoints」とTaniumのEDR製品「Tanium Threat Response」を導入することにしたという。

　「当グループは20年以上、同一メーカーのウイルス対策ソフトを使用していました。端末セキュリティを見直す上で思い切った変更ができるのはこのタイミングしかありませんでした」（鐘築氏）

　鐘築氏によると、Taniumの導入を決めたポイントは以下の3つだという。

　1つ目は端末セキュリティにおける基本業務である、対応や調査の高速化、詳細のドリルダウン、横展開調査、資産・状況把握などを実施できる点だ。2つ目は管理コンソールの連携だ。DSX for EndpointsとTanium Threat Responseでコンソール連携機能が備わっていることを重視した。3つ目は従来システムと比較して総コストを大幅に圧縮・削減できる点だという。

　スミセイ情報システムは2024年には約5万台にTaniumを導入した。そのうち特にリスクが高いと考える約1万1000台の端末にはTanium Threat Responseを入れたという。セキュリティ対応チームはこれによって、端末で検知したアラートを基に、フィッシングサイトやシャドーITの監視、ユーザーから通報された不審なメールの解析などをTaniumで調査できるようになった。

　ただ、導入時に苦労したポイントもある。同グループはTaniumサーバをIaaS「Amazon Web Services」（AWS）に配置し、Taniumの特許技術「リニアチェーン」アーキテクチャを駆使して、「本社や支社」「外出先」「在宅」などの同一グループの端末同士が自律的に通信してその結果をサーバに届ける仕組みを構築していた。

住友生命グループのネットワーク構成（出典：スミセイ情報システム発表資料）

　しかしそこで直面したのがネットワークトラブルだ。出勤時間帯である9〜10時頃に端末からの通信が集中し、集約ポイントに設置したルーターのキャパシティーを超過して各システムへのログインができないといった問題が発生したという。

　鐘築氏は「ネットワークトラブルでは問題箇所の特定に手間取るケースがありました。この課題を解消するには、担当者らがエンド・ツー・エンドの通信の挙動を日頃から把握して有事に備えるといった心掛けが大事だと強く感じました」と述べる。

Taniumの導入で得た3つのメリットとは？

　次にTaniumの導入効果と利用状況について紹介しよう。

　1つ目はインシデント対応の高速化と迅速な横展開調査の実施だ。Taniumの導入によって不審な端末の状態をスピーディーかつ詳細に把握できるようになったため、調査・隔離作業が大幅に短縮できた。加えて他端末への影響調査についても効率化された。

　「当グループではサポート詐欺などが流行した影響で、ユーザーから申告を受けて端末を調査することもあります。以前は安全のためオフラインで端末を回収・交換する際に数日かかる他、調査の結果『問題がなくそもそも端末を交換する必要がなかった』といったケースもしばしばありました。しかしTaniumの導入によって調査は当日中に完結し、かつこれがリモートでできるようになりました」（鐘築氏）

　2つ目は外部情報を活用した調査の強化だ。金融ISACやJPCERT/CCといった外部機関から得た脅威情報を基にして、Taniumで疑わしいファイルやプロセスなどを検索し、端末への影響を調査できるようになった。現状は人の手によって作業を実施しているが、今後は自動化を駆使した効率的な運用を目指すという。

　3つ目は端末に搭載したソフトウェアの配信と適用状況把握の効率化だ。住友生命グループのシステムでは端末へのプロダクト配信が頻繁に発生するが、この際何らかの原因で配信が失敗するケースがあった。これまでは問題の発生はユーザーからの連絡を受けてはじめて判明していた他、原因もすぐには分からず、問題の切り分けなどから調査する必要があったため、社内ヘルプデスクと端末管理部門の負担が増加していた。

　Taniumを導入したことで、配信エラーの原因や配信適用状況を端末管理部門が能動的に確認できるようになった他、エラーが起きた場合は速やかに調査をした上でユーザーに通知する仕組みが整ったため、管理部門の手間や心理的な負担の低減にもつながった。

　鐘築氏はTanium導入後の評価について「1万台以上の端末がある環境でも問題なくTanium Threat Responseが利用できる点や、各種調査や対応に必要な機能が充実している点などは高く評価しています。今後セキュリティを拡充する中で、柔軟にモジュールを追加できる点も、セキュリティチームとして安心感につながっています」と語る。

セキュリティ人材は“完全内製”　住友生命の本気の育成計画

　しかしツールはただ入れるだけでは意味がない。これを使いこなす人材がいてはじめて効果を発揮するのは周知の事実だろう。スミセイ情報システムはTaniumをはじめとした各種ツールを活用できるように、セキュリティ人材の育成にも注力している。

　具体的には毎年社内公募制で、情報処理推進機構（IPA）の「中核人材育成プログラム」に1年間の“国内留学”を実施している。中核人材育成プログラムは、セキュリティの観点から経営層と現場担当者をつなぐ人材を育成するものだ。ITやマネジメント、ビジネスなどの分野で必要なスキルを総合的に学習する他、模擬システムを使った実践的な演習で現場で起き得るリスクについてより深い理解を促す。

　「国内留学中は1年間業務から完全に離れてしっかりと学んでもらいます。プログラム終了後は住友生命のセキュリティ業務に従事しつつ、スキルアップのためにCISSPやGIACなどの高度な資格の取得や金融ISACなどのコミュニティー活動への参加を通じて、保険業界や保険システムに詳しい人材へと育てています」（鐘築氏）

　鐘築氏が人材を育成する上で特に注意しているのは、モチベーションの高い人材を集めるということだ。セキュリティは変化が激しい分野であり、自ら継続的に学び、成長し続ける意欲を持つことが重要だ。社内公募制を設けているのもそのためだという。

　しかしただ応募しても人材は集まりにくいだろう。そこでセキュリティチームでは、普段から幅広い職員に対してセキュリティに興味を持ってもらえるように、研修や活動PRを企画して社内での種まきを欠かさないようにしている。

　具体的には、金融ISACのコンテンツでインシデント対応をカードゲームで学べる「ABCSIRT」の体験会を企画したり、システム開発運用担当者向けにセキュリティベンダーのインシデント対応研修に参加してもらったり、資格の取得や研修活動を社内ポータルに掲載したりしているという。資格取得や研修活動にかかる費用についても会社が負担するため、人材への投資の本気度がうかがえるだろう。

　さらに住友生命は社内規定でセキュリティ人材のスキルセットを定めている。スキルチェックシートによって個人のスキルの現状を把握し、ひいては組織全体のセキュリティレベルの可視化につなげている。こうした取り組みが功を奏し、セキュリティ人材は少しずつ増え、2019年には5人だったのが、2025年には11人まで増加する予定だ。

住友生命グループではセキュリティ人材のスキルセットを規定している（出典：スミセイ情報システム発表資料）

　鐘築氏は最後に「セキュリティ業務を実施する上では、セキュリティの知識だけでなくビジネスに対する深い知見も必要です。その意味で当グループは社内人材の育成に重点を置いており、中途でのセキュリティ人材は採用していません。そのためIPAのプログラム参加者は、セキュリティ業務に従事する際には、住友生命に出向して金融機関への業務理解を深める機会を提供しています」と述べた。