十六銀行(本店:岐阜県岐阜市)は、外部の専門事業者に委託していた脆弱性診断を内製化した。2022年8月以降、脆弱性診断ソフトウェア「Tenable」を段階的に導入している。内製化によって、つど発生していた診断コストや社内手続きの負担が減ったほか、週次で脆弱性を診断できるようになった。Tenableを販売するアシストが2025年8月28日に発表した。
岐阜県岐阜市に本店を置く十六銀行は、十六フィナンシャルグループ傘下の地方銀行である。1877(明治10)年に第十六国立銀行として創業以来、地域に根ざした事業を展開している。岐阜県・愛知県を中心に広範な店舗とATMネットワークを有している。
同行は、2015年にCSIRT(インシデント対応チーム)を設立し、サイバー脅威に対するセキュリティ体制を強化してきた。しかし、デジタル化の進展によって脆弱性診断の対象となるシステムが増えて、外部の専門事業者に脆弱性診断を依頼するコストがかさんでいた。診断のたびの見積もりや社内稟議手続きの事務負荷もチームの負担になっていたという。
図1:十六銀行がTenableで構築した脆弱性管理システムの概要(出典:アシスト)拡大画像表示
こうした中、脆弱性診断を内製化すべく、アシストの支援の下、脆弱性診断ソフトウェア「Tenable」を導入した。システムのOS/ミドルウェアのバージョンやパッチ適用状況などを調べて脆弱性を検知してリスクを評価する(図1、関連記事:アシスト、システムの脆弱性を検出するツール「Tenable」を販売)。
効果を実証しながら利用範囲を広げる方針の下、2022年8月にミニマムライセンスで導入し、4カ月かけてインターネット公開システムを中心に管理対象を6システムに拡大。2023年には中継サーバーを構築し、オンプレミス環境のシステムも診断対象に加えた。現在は、十六フィナンシャルグループ各社への展開も進めている。
Tenableの導入により、脆弱性診断のコストを抑えることができた。「Tenableは何回診断しても定額のコストで済むが、以前は各システムに対して1回診断を行うだけで数十万円のコストがかかっていた」(同行)という。
また、新たな脆弱性が公表されて1週間後には診断結果を得られるようになった。現在は、100件以上の資産を週次または月次で診断。診断スケジュールを柔軟に組めるため、業務への影響も最小限に抑えられるようになったという。
現在は、脆弱性の検知から解決までの一元化を目指し、システム運用管理プラットフォーム「ServiceNow IT Operations(ITOM)」と連携させた脆弱性チケット管理システムの構築に取り組んでいる。
