“人海戦術からの脱却”が始まった みずほ銀行が描く持続可能なリスク管理

高度化したサイバー攻撃に直面し、みずほ銀行は人手に依存した運用の限界を痛感していた。そこで同行が踏み出したのが脅威ハンティングを軸に“人海戦術からの脱却”を図る取り組みだ。持続可能なリスク管理の勘所を紹介する。

[田渕聖人，ITmedia]

　ランサムウェアの進化やサプライチェーンを狙ったサードパーティーリスクの顕在化など、金融機関が直面するサイバー脅威は質・量ともに増大の一途をたどっている。その中でも、特定の国家を背景に持つとされるAPTアクターの攻撃は、その高度さと執拗（しつよう）さから最も警戒すべきリスクの一つだ。

　みずほ銀行では、脅威の中でも特に留意すべき「主要な3つのリスク」に対して、対抗策の強化をしてきた。その中心的な取り組みが、能動的な防御手法である脅威ハンティングの高度化だ。同行はこれをどう進めてきたのか、セキュリティ人材の不足や業界特有の課題にまで踏み込んで解説する。

人材の確保と育成は「永遠の課題」　銀行が本当に求めるスキルとは？

編集部注：本稿は、Taniumが2025年11月18〜19日（現地時間）に米国オーランドで開催した年次カンファレンス「Converge 2025」に登壇したみずほ銀行に個別取材した内容をまとめた。

　「外部環境を元に、特にランサムウェア、サードパーティーリスク、特定国を背景とした脅威アクターの攻撃、をサイバーセキュリティで主要なリスクと考えています」とみずほ銀行の米井洋平氏は語る。

　特にAPTアクターが使う手口の一つに「Living Off The Land」（LOTL：環境寄生型）がある。これは、OS標準のツールや正常なプロセスを悪用し、特権IDや資格情報を窃取した後に侵入・攻撃行動を取る手法だ。活動の痕跡が一般的なマルウェアなどに比べ少なく、従来のセキュリティ対策では検知が困難を極める。

　みずほ銀行の土井優大氏は「ランサムウェアへの発展リスクもあるLOTL攻撃への対応力強化は、当行にとって喫緊の課題でした。こうした背景の中で、脅威ハンティングという能動的な手法に取り組むべきだと判断しました」（土井氏）

　みずほ銀行の脅威ハンティングチームは、これらの脅威の早期発見と対策ルールのSOCへの還元を目的に、ここ2〜3年で体制を成熟させてきたという。

　みずほ銀行のインシデントレスポンスや脅威インテリジェンス、SOCチームを含めたセキュリティ部門の人員の充足度は他のメガバンクと比較しても遜色はない。しかし国内だけで営業店・本部端末など数万規模のエンドポイントを抱え、インターネットに面するリスクの高いシステムが多数ある金融機関にとって、この人員は決して十分ではない。

　同行は約3年前にCISO（最高情報セキュリティ責任者）の強力なリーダーシップの下、約80施策から構成されるサイバー体制強化プログラムを立ち上げ、一気に体制を拡充してきた。しかしその過程で金融業界特有の「人材の壁」に直面したという。

　米井氏はセキュリティ人材の確保と育成が「永遠の課題」だと指摘する。

　「当部署では人材不足は否めずキャリア採用が部員の3割程度を占めるまでになっていますが、銀行員として採用されたプロパーでも活躍している人員も居ます。他方、部員の部署異動は常態的に発生するので、業務レベルを安定させるために相応の努力が必要な状況です」（米井氏）

　異動がある人事慣行の下では、社内でサイバーセキュリティの高度な専門人材を長期で育成することは困難だ。そのため通常の人事異動に加え、ネットワークやインフラのエンジニア出身者など、キャリア採用に頼らざるを得ないのが現状となっている。

労働集約から資本集約へ　「サステナブルなリスク管理」の哲学

　一方で人員をやみくもに増やせばいいかといわれると、ことはそう単純ではない。人材不足に加えて米井氏が危機感を抱くのは「レイバーインテンシブ（労働集約的）」なセキュリティ運用だ。

　「サイバー攻撃への対策や対応範囲が広がる都度『これだけ人が必要です』と毎年採用を増やしていったら、部員がある日2倍・3倍に膨れ上がることになる。それは人口減少トレンドにある日本企業から見れば、決して持続可能とは言えないと考えます」（米井氏）

　みずほ銀行のCISOが掲げるのは「サステナブルなリスク管理」という哲学だ。銀行のフロント部門がインターネットバンキングへの誘導や通帳の電子化を進め、極限まで人手をかけない仕組みを追求しているのと同様に、サイバーセキュリティだけが人海戦術であっていい理由はない。

　この課題を乗り越えるためにみずほ銀行が目指すのは、オートメーション（自動化）の徹底だ。

脅威ハンティングを促進させた「Tanium」の真価

　みずほ銀行がこの「サステナブルなリスク管理」を実現するためのIT基盤として活用しているのが「Tanium」だ。Taniumは、エンドポイントの可視化・制御を数秒で実現するプラットフォームで、IT資産管理、セキュリティ、リスク管理など、サイロ化しがちなIT運用をリアルタイムデータに基づき統合し、自律的な運用を可能にする。

　Tanium導入の背景は脅威ハンティング強化のためだけではなかった。同社が国際的に重要な金融機関であるG-SIBs（Global Systemically Important Banks）として、他のG-SIBsに指定されている世界の金融機関の多くがTaniumを採用しており、サイバーセキュリティ分野に根付く共助の考え方に基づき、業界他社が活用している製品の方が、共有された侵害の痕跡（IoC）等脅威情報の適用が早いと判断したという。

　加えて、端末のスキャンやレスポンスが数秒で完了するスピーディーさも選定の決め手となり、2018年に導入を決定した。導入から数年が経過し、TaniumはVDIを含む端末監視の基盤として定着していたが、今回の脅威ハンティングの取り組みによってその真価が改めて発揮されることとなった。

　土井氏はTaniumがLOTL型攻撃の調査において絶大な効果を発揮したと語る。

　「今回の脅威ハンティングでは、エンドポイントの詳細な挙動について非常に調査がしやすく、かつ前後のログもしっかり残る。そういった点が分かってきたため、今回の取り組みでTaniumをうまく活用できた」（土井氏）

　例えば攻撃者がよく利用する「AnyDesk」のようなRMM（Remote Monitoring and Management）ツールの痕跡が残された際、Taniumは、その痕跡が残る前後にどのような挙動があったのかを深く調査することを可能にした。この詳細な調査能力によって、インシデント対応時の分析時間が劇的に短縮され、ハンティング活動の成熟度を急速に高められたという。

　さらにハンティングによって得られた知見は、新たな監視ルールとしてSOCに即座に還元され、SOCの監視体制の強化にもつながっている。

オートメーションが切り開くリスク管理の未来

　みずほ銀行が今後、Taniumの活用を含めて目指すのは、運用オペレーションのさらなるオートメーション化だ。土井氏はTaniumが提供するカスタムIoC機能など、まだ活用できていない機能群にも期待を寄せる。

　しかしオートメーションの最も大きなターゲットは、SOCのオペレーション自体もさることながら「リスク管理全般」だと米井氏は強調する。特に人手がかかっているのが、構成管理や脆弱（ぜいじゃく）性管理といったリスク管理の分野だ。セキュリティの構成設定基準を示すCISベンチマークなどのチェックは、現状、手動で実施されている。

　米井氏が期待するのは、Taniumが実現するリアルタイムなエンドポイント情報収集能力と「ServiceNow」のようなITSM（ITサービスマネジメント）プラットフォームとの連携による自動化だ。

　「TaniumがServiceNowと連携して、設定漏れなどを検知し、さらにAIが『これは危険かどうか』と判断してくれる。そういうものを自動化するだけで何人の工数を減らせるか、という世界観がある」（米井氏）

　セキュリティの最終的な目的は「検知して終わりではなく、そのシステムに対してどういうリスクがあるのか、どう評価するのか」にある。Taniumによる設定漏れの自動検知とリスク評価への連動は、金融機関の極めて厳格なリスク管理プロセスそのものを劇的に効率化し、まさに「サステナブルなリスク管理」の実現を促進させる鍵となるだろう。

みずほ銀行の（左）米井洋平氏（サイバーセキュリティ統括部 海外サイバーセキュリティ推進チーム 次長）（右）土井優大氏（サイバーセキュリティ統括部 サイバーレスポンスチーム アソシエイト）（筆者撮影）

（取材協力：Tanium合同会社）