大和ネクスト銀行のセキュリティ対策、レジリエンス強化に向けた「TLPT」とは？

　大和ネクスト銀行は、大和証券グループのインターネット専業銀行として、信頼性と安全性の確保と、使い勝手や利便性との両立を高いレベルで実現した情報システムを構築している。しかし、脅威の悪質化・巧妙化が進む中、金融機関にとってはサイバーセキュリティの強化・拡充が重要な課題となっている。同行でも毎年、脆弱性診断を実施するなど、安心・安全なサービスの提供に努めてきた。

　そんな同行が、サイバーレジリエンスのさらなる強化を図って実施したのが、「TLPT（脅威ベースのペネトレーションテスト）」だ。インシデントが発生した際、システムのみならず、人のプロセスも含めて適切な対応がとれるのか、また、現状のマニュアルに不備はないかなどを明確にしたかったという。

　TLPTでは、疑似マルウェアが起動するたびに検知されてしまい、図らずもこれまでの対策の有効性が実証された形となった。ただし、TLPTベンダーのテスト結果レポートを基に、より幅広いパターンの攻撃に対応できるよう、マニュアルを改定したという。本資料では、同行が実施したTLPTの全貌を見ていく。