[ザ・プロジェクト]

2018年7月2日(月)杉田 悟（IT Leaders編集部）

　このように効果が如実に表れており、方向性が正しいことは証明されたものの、新たな4つの課題が重くのしかかっていた。

●手作業でしか発見できないものがあるため、人員がどんどん増加されていく
●効果があるのはわかっているが、作業負荷が大きすぎて進められない部分がある
●各所に最適化された既存のソリューションをつなぐものがない
●各ソリューションに新たなルールを追加したくても、おのおのパッケージ製品のため柔軟な対応ができない

　ネットバンクの認知度も向上し、現在、口座開設だけで1月に1万5000件もの申し込みがあるという。もはや人海戦術では限界を超えたハイボリュームの状態となっていた。そこで、人力による事務作業の効率化、システムの横断的な分析、ルールの柔軟な変更、外部システムとの連携、何よりAML（アンチ・マネー・ロンダリング）の核となるプラットフォームを作りたいと考え導入したのがSplunkだった。セブン銀行のSplunkに対するアプローチは、国内では例を見ないユニークなものとなっているので、詳しく紹介しておく。

　もともと安田氏は、国内外の金融機関で採用されていることから、Splunkの存在は知っていたという。国内におけるSplunkの活用方法といえば、サイバーセキュリティ的なアプローチが中心で、ほとんどがログ分析のプラットフォームとして使われている。国内金融機関の例もほとんどがOAのログ監視だ。

マーケティングの手法で不正口座を特定

　Splunkに興味を持った安田氏は、海外の事例も調べてみた。すると、海外ではマーケティング的アプローチで使われることが多いことがわかった。MA（Marketing Automation）ツールの一環として、Splunkで分析した結果をもとにロイヤルカスタマーを見つけ出しサービスアプローチするといったものだった。

　「ロイヤルカスタマーを犯罪者に置き換えると、犯罪者をマーケティングの手法で探すことができるのでは」というアイディアが浮かび、AMLのモニタリングにSplunkを活用するという方法につながった。

　サイバーセキュリティ的アプローチでは、マーケティング的アプローチよりはるかに大量のデータを処理しているはずなので、性能的な問題はクリアしている。たまたまベンダーが提案してきたのがSplunkだったこともあり、すんなりと決まった。

　Splunkをマーケティング的アプローチでAMLツールとして導入すること自体はユニークな取り組みだが、それだけでは既存業務の自動化の域を出ない。「一歩踏み込んだ、先進的な取り組みを」と考え、Splunkに別のソリューションを組み合わせることにした。そこで今回採用したのが、CAULIS（カウリス）の不正検知サービス「FraudAlert（フロードアラート）」だ。

　カウリスは、セブン銀行も出資している新進のセキュリティベンチャーで、同社のフロードアラートは、機械学習を使ったクラウド型の不正検知サービス。約150のパラメーターで不審なアクセスを特定する、リスクベースのソリューションだ。同社のホームページによると、銀行向けにカスタマイズされた「FrauAlert for Bank」も用意している。

　フロードアラートは、他のユーザーが受けた不正アクセスの情報も共有される仕組みとなっており、より大量のビッグデータをベースにリスクが高い取引や不正な端末からのアクセスを検知できるようになるため、セブン銀行1社のデータで分析を行うよりも高確度な分析結果が期待できる。具体的には、インターネットバンキングのシステムとフロードアラートが取ってきたデータをAWS上に構築したSplunkで処理して端末で確認するという工程を経る。

　運用面では、外部システムとの連携に関してはベンダーに任せた方が早いものの、即時対応も必要となるルール作成やダッシュボードメンテナンスは内製化することにした。人員は専任2名にインターネットバンキングの担当者を合わせた3名で行っている。「専任の2名には、Splunkを1から学んでもらった」という。Splunkによると、ちょうど日本語のトレーニングが始まったところで、タイミングがよかった。そのほか、近くの金融機関でSplunkの使い方を教えてくれる人がいたり、金融ISACでもSplunkの勉強会があったりと「トレーニング環境に恵まれていた」。

　「複雑なことがやりたかったので、SplunkのダッシュボードはPOCで細かく作り込んだ」という。ルールごとにスコアの意味付けをして、リスクが高いものが何件上がっているかが一見してわかるようにしたほか、アラートが上がったものに関しては、1件ごとに詳細を確認できるようにした。また、過去の対応状況も一覧化できるようにした。

　セブン銀行のSplunk導入は、「本来なら半年あれば導入できるが、今回はシステムの更改時期に重なったので、それに合わせるためにわざと遅らせている」状況だという。まだカットオーバーを迎えていないものの、安田氏はすでに次なるSplunk活用の設計準備に取り掛かっているという。例えば、他行のようなサイバーセキュリティ的アプローチで活用することや、Halftをかませて、ホストデータを吸い上げることも検討している。また、フロードアラート以外の製品との連携も視野に入っている。

　「とりあえず、構築中のシステムが稼働したら即、OA系のログ分析のPOCに入りたい」と前のめりな態勢で、Splunkによる犯罪対策に臨んでいる。

業界全体で防犯ノウハウの共有を

　このように、インターネットやATMを悪用した犯罪対策に長年取組み、ノウハウを蓄積してきたセブン銀行、昨今はATM連携という形で様々な金融機関とつながりができており、そのATMの営業担当者のもとには、「セブン銀行の犯罪対策の取組を聞きたい」というリクエストが多く寄せられているという。日々形を変えるネットがらみの犯罪に頭を悩ます金融機関が、知見のあるセブン銀行の取組を聞きたがるのだという。

　中には、ノウハウの共有では飽き足らず、「代わりに請け負ってもらえないか」という相談も出てきているという。リソースに限りのある地銀などは、システムを使いこなしてAMLの仕組みを短期間で構築するのは難しいのが現状となっている。そこで、豊富な経験とノウハウを持つセブン銀行に依頼が来る。

　セブン銀行では現在、事務子会社のバンク・ビジネスファクトリー（BBF）にノウハウを移管して、AMLの事務受託サービスを開始している。システムの特徴やルールの作り方、運用の仕方などをパッケージ化して提供している。

　年々巧妙さを増し、次々と形を変えてくる金融犯罪、これに対抗していくには、サイバーセキュリティ同様、業界全体で対策を考え、ノウハウの共有を積極的に進めていく段階にきているといえる。セブン銀行の取組は、その先進的な事例として参考になるはずだ。