[Sponsored]

2026年5月28日(木)

信託銀行の“雄”が設置するセキュリティ組織

　預金や貸出、為替などの一般的な銀行業務に加え、資産の管理・運用（信託業務）や、不動産・相続・証券代行などの高度な専門サービスを通じて、顧客資産の管理・継承の支援という社会的役割を担っている「信託銀行」。この業界において国内で大きな存在感を示しているのが三菱UFJ信託銀行である。「人をつなぐ。未来をつなぐ。」をコーポレートメッセージとして掲げる同行は、投資信託の受託残高や年金資産の運用・管理額、上場投信（ETF）の受託額のいずれにおいても、国内でトップクラスの規模を誇る。同行の強さの基盤が、銀行から信託、不動産、証券代行、年金まで扱う業務の広範さだ。この総合力を武器に、同行では顧客の多様なニーズに応え続けることで業容を拡大。併せて、業務基盤であるシステムも拡充させてきた。

　この取り組みを指揮するのが同行のデジタル戦略部だ。デジタル戦略部は同行のIT戦略を策定するとともに、個々のシステム開発プロジェクトにおいても業務部門との密な連携の下、その時々で必要とされるシステムの要件を定義する。その後の設計、実装、テスト、運用は、同行の子会社であり、約1,000名の従業員を擁する三菱UFJトラストシステムが、外部の大手SIerと協力して一貫して行っている。

　開発するのは金融という社会基盤に関わるシステムだけに、高い安定性と安全性が不可欠だ。同行は8つのDXの柱を定めて推進しているが、柱の1つとして「サイバーセキュリティ」を表明している。それらを踏まえた全社的なサイバーセキュリティリスクの管理および統制を担う組織として設置されているのが、デジタル戦略部内のサイバーセキュリティ推進グループである。

　三菱UFJ信託銀行 デジタル戦略部 ITリスク管理室 サイバーセキュリティ推進グループ 課長の中村明彦氏は、「目指すのは安心・安全による価値創出。サイバーセキュリティ推進グループは、グループ一丸で安心・安全による価値創出を牽引している。新システム開発時の現場によるシステムテストの結果確認とリリースの判断もそこでの我々の重要な任務」と説明する。

外部脅威対応での開発の手戻りリスクが深刻化

　ただし、その中で浮上することになった課題が、システムテストにまつわる非効率性の問題だ。

　三菱UFJ信託銀行 デジタル戦略部 ITリスク管理室 サイバーセキュリティ推進グループ シニア・サイバーセキュリティ・スペシャリストの紺晋平氏は、「事前の機能テストや結合テストをクリアしていても、すべてを結合して初めて判明するセキュリティの穴は存在する。それ自体は仕方のないことだが、問題はほぼ完成した状態で判明するため、修正の手戻りもそれだけ大きくなってしまうことだ。新規開発の中にはスケジュールが決まっているものも多く、『セキュリティ確保』と『スケジュール』の板挟みで、担当者がプロジェクト管理に苦労を強いられるケースが散見されていた」と解説する。

　三菱UFJ信託銀行ではDX推進という狙いもあり、あらゆる部門で大小を問わず複数の開発プロジェクトが並行して進められている。その数は常時数十。プロジェクト数が増すほど確認漏れやミスが生じやすくなることは改めて説明するまでもないだろう。

　加えて、「この15年でスマホが一般化し、アプリ向け開発も増え、APIによるシステム連携も一般化している」（紺氏）。こうした技術の変遷の影響で「意識すべきセキュリティの観点は増えている」（紺氏）。必然的にテストの手間も着実に増しており、この現状が続けば、カットオーバーの遅延をはじめとする将来的な状況の悪化が容易に予想されたのである。

打開に向け着目した“SAST”“DAST”とは

　状況を打開すべく、サイバーセキュリティ推進グループが着目したのが、SAST（静的アプリケーションセキュリティテスト）とDAST（動的アプリケーションセキュリティテスト）を両輪とする脆弱性の炙り出しだ。前者はコード段階での分析によって、後者はアプリケーションを実際に実行しての、攻撃者の視点でのアクセスによって、それぞれ脆弱性の発見を試みるテスト手法である。

　着目の背景には、サイバーセキュリティの脅威が日進月歩で高度化・複雑化する中、サイバーセキュリティ推進グループとして、システム開発において「セキュリティ・バイ・デザイン」や「シフト・レフト」に代表される、これまで以上にセキュリティを意識した開発プロセスの必要性が認識されるようになったことがあるという。

　「とりわけ近年になり、開発ライフサイクル全体でのセキュリティの担保が重要になっていると強く感じていた。その点で、SASTでの、従来は未実施のコードレベルのテストを通じて、開発のごく初期段階で脆弱性の発見が可能になり、開発の手戻りを大きく抑えられる。その後のDASTにより、実行環境での設定ミスやビジネスロジックの脆弱性、複数の機能の連結時での相互作用による脆弱性もチェックでき、両ツールの組み合わせを通じて、ライフサイクルを包括したセキュリティも実現できる。加えて、現場でのテストの定着を通じ、セキュリティ確保で重要な“人”、つまりエンジニアのセキュリティ意識も持続的に高められると考えられた」（紺氏）

　その意義を高く評価し、サイバーセキュリティ推進グループは2024年12月に両ツールの導入を決定。製品選定にあたって定めた要件は次の2つだったという。

習熟性と検出精度の高さで「HCL AppScan」に白羽の矢

　製品選定にあたり重視したのが、SASTとDASTの両ツールとも同一ベンダー製品で統一できることだ。それらに必要とされる機能は異なり、機能に優れる異ベンダー製品を組み合わせる方法も現実的にはあり得る。ただ、そこで危惧されたのがツールの習熟期間だ。

　三菱UFJ信託銀行 デジタル戦略部 ITリスク管理室 サイバーセキュリティ推進グループ 調査役の塩谷正治氏は、「開発者がツールに習熟するには一定の時間を要す。ベンダーが異なれば、インタフェースなどの違いなどから習熟までの時間も長引きがちで、教育コストもそれだけかさむ。できる限りの早期活用に向け、同一ベンダー製品が望ましいのは明らかだった」と説明する。

　次が、脆弱性の検出精度だ。これを欠いてはツール導入の意義が大きく損なわれてしまう。そこで、SASTツールとDASTツールの第三者評価機関による客観的な評価を確認。同一ベンダーかつそれぞれの評価が高いものを求めた結果、2025年6月に最終的に導入を決断したのが、HCLSoftwareのSASTツール「AppScan Source」とDASTツール「AppScan Standard」である。

　「導入前にはPoCも実施し、直感的に使える点も確認した。使いやすく、習熟までの期間も短くて済み、それだけ教育コストを抑えられる点も評価した」（塩谷氏）

　加えて、HCLSoftwareの国内での長い歴史と実績の豊富さも、選定時での決め手の1つだったという。

　現場への展開にあたっては、早期の利用定着に向けいくつか工夫を凝らしたという。SASTとDASTは現場が初めて触れるものであり、「開発者としてどう使うべきか開発者間で利用目的や活用方法といった理解度の差が存在することが想定された」（塩谷氏）。その点を勘案し、サイバーセキュリティ推進グループが具体的な利用シーンや使い方を取り纏めたガイドラインを事前作成し、いわば利用の手引きとして現場に配布したこともその1つだ。

　「ガイドラインではSASTとDASTでの作業を誰でもイメージできるよう、開発の各フェーズでの効果的な活用法や、その成果までを事細かく紹介している。開発ライフサイクル全体におけるメリットの理解を抜きに、定着は難しい点に特に留意した」（塩谷氏）

CI/CDパイプラインにAppScanの組み込みを

　無論、こうした展開法は少なからぬ手間を要す。その点を鑑み、サイバーセキュリティ推進グループでは限られた人的リソースでの短期間かつ着実な展開を狙いに、同時並行ではなくDASTの先行導入を決断した。

　なお、同行ではパブリッククラウド上に同行専用の閉じられた開発基盤を用意しており、両ツールをそこに組み込むかたちで導入。外部と隔離された環境により、ソースコードの流出リスクにも十分な配慮が払われている。AppScanはSaaSとしても提供されているが、閉域環境でも利用できる柔軟性を持つ。情報の外部保管に伴うリクスを回避できることもAppScanを高く評価したポイントだ。

　「金融機関にはソースコードが流失したら社会的に大きな影響を及ぼすシステムもあり、SaaSを使うとなると導入のハードルが高くなる。AppScanの早期導入を実現するため、閉域環境にオンプレミス版を導入することにしました」（塩谷氏）

　2026年1月のPoC完了に伴い本番運用に移行。現在は両ツールによるテスト対象のプロジェクトを拡大させつつ、これまでの各種調査や現場へのアンケート結果を基に、運用の改善・高度化に向けたガイドラインの見直しに取り組んでいる最中だ。

　現状において、DASTとSASTでテストを実施しているが、新ツールの成果は特にDASTにおいて表れているという。「まず選定時の要件にした誤検知率ですが概ね20％以下と低く抑えられている。誤検知が多いとその分余計な作業が発生するので、現場からもポジティブに受け止められているようだ。また、テストには事前の設定が必要になるが、その工数は脆弱性修正の手戻りの工数を考えれば十分許容できると現場も評価している」と塩谷氏は笑顔で語る。従来、テストは開発チームからテストチームに依頼して実施していたが、開発チーム自身による自発的なテストでの脆弱性検出が実施されるようになったことが大きく寄与しているという。

　脆弱性がより早期に発見できるようになったことで、大きな手戻りが減少しつつある。開発の効率化、ひいては開発者自身の負担軽減が認識されることで、現場の約8割がツールの継続利用を望むとの調査結果も出ている。「これもひとえに、ガイドラインの作成に力を入れたからこそ。検出精度は設定に少なからず左右され、今後は一層の効率化に向け、そのひな型作りにも取り組む考えだ」と紺氏は意気込む。

　セキュリティチェック体制を強化できたことは、セキュリティガバナンス向上の観点からも大きな意義があるという。「銀行のセキュリティに関する外部の目が厳しくなり、求められるセキュリティ水準も年々高くなっている。AppScanの導入は金融庁のセキュリティガイドライン準拠、ひいてもセキュリティ・バイ・デザイン実現に資するものだと考えている」（中村氏）

　三菱UFJ信託銀行でのAppScanの利用はこれからが本番だ。そこで見据える直近の目標が、適用対象プロジェクトの拡大と、そのための各種自動化などだ。

　中村氏はAppScan SourceとAppScan Standardの今後の利用について次のように展望する。

　「現状において両ツールは見込み通りの成果を上げている。ただ、ツールの種類は何であれ、利用に際し設定で手間が生じることが生産性向上に向けた課題となる。AIを活用した設定をはじめとする作業の自動化は有効な打開策の解の1つで、その実践に向けHCLSoftwareにはPoCと同様の手厚い技術サポートを期待している。それがひいては、将来的に、CI/CDパイプラインへのツールの組み込みの糸口になるはずだ。ともあれ、開発でのセキュリティ確保や効率化、迅速化において、両ツールが大きな役割を果たすことは間違いない」

---

●お問い合わせ先

HCLSoftware

URL：https://www.hcl-software.com/jp/
E-mail：japan.marketing@hcl-software.com