「このまちで、あなたと」をコーポレートスローガンに、地域に根づいたサービスの提供を目指す佐賀銀行。近年では、金融の枠を超えた地域の価値を創造するための取り組みをグループ全体で推進している。コロナ禍で地域のDXニーズが拡大する中、同行では顧客向けのDXを推進するとともに、インフラとなる行内のDXにも取り組んでいる。そこで大きな問題となったのが、それまで使っていた境界型でのセキュリティ対策である。利便性とセキュリティを両立させ、さらに銀行グループとしての統一したセキュリティを担保するために、Zscalerのゼロトラストソリューションを導入した。

課題

• DX戦略推進を支えるクラウド化を実施するために、従来の境界型セキュリティでは限界が生じた • 地域の価値創造を目指すためにグループで全体を統一したセキュリティが不可欠に

製品

成果

社内外を問わずインターネットや行内システムへの安全な接続を実現,プライベートアクセスの通信料金を3分の1に,SSOシステム連携で利用者の操作を変えずにインフラ更新

成果

社内外を問わずインターネットや行内システムへの安全な接続を実現
プライベートアクセスの通信料金を3分の1に
SSOシステム連携で利用者の操作を変えずにインフラ更新

林田浩明氏

業務統括本部システム部システム企画・開発グループ副部長　, 株式会社佐賀銀行

DX戦略の実現にはクラウドシフトが必要です。その利便性を損なわずに安全性も追求しました。従来の境界型セキュリティではSaaSやWebサービスの利便性を十分に活用できません。ゼロトラスト型セキュリティが不可欠でした。

お客様のケーススタディ

限界だった境界型セキュリティ刷新して利便性と安全性を両立

　佐賀銀行は、サステナブルな地域社会・経済への貢献を中期経営計画に掲げており、そのための中核の1つとして力を入れているのが「DX戦略」である。地域企業のDXを推進することで、顧客の利便性と付加価値を高めようという意欲的な取り組みだ。

　佐賀銀行業務統括本部システム部の林田浩明氏は「顧客向けDXでは、スマホアプリやWebを使ったチャネルを増強します。当然クラウドの利用が必須となるため、佐賀銀行の行内システムもクラウドシフトを想定しています」と語る。

　だが、それまでの佐賀銀行における情報システムは、インターネットとオンプレミスの間を防御する境界分離型のセキュリティを採用していた。「クラウドシフトでSaaS（Software as a Ser vice）の活用を進めていくと、インターネットに直接接続することが多くなります。境界分離型は内部を守るためには適していても、クラウドや外部とのアクセスの利便性を考えると限界があります。アクセスの場所を問わないことを前提に、ゼロトラスト型のセキュリティの導入を考えました」（林田氏）。

　セキュリティの課題はもう1つあった。佐賀銀行ではグループ全体として、企業の抱える経営課題を解決する「コンサルティングファーム」への転換を進めている。しかし、アクセス制御などグループ全体のセキュリティ規定はあったものの、具体的な対策は各グループ会社に任されていた。サプライチェーンの中で最も対策が弱い関連会社が攻撃を受けるリスクが指摘されており、グループ全体のセキュリティ対策を統一し安全性を高める必要性が高まっていた。

高機能とコストのバランスを評価し Zscalerを採用へ

　クラウドシフトを可能にするセキュリティ対策として、システム部ではゼロトラスト型セキュリティに切り替えることでグループ全体のアクセス制御も実現できると判断。複数ベンダーの製品を比較検討し、採用するソリューションを選定した。

　インターネットアクセスの管理・監視の機能と、外部の端末から行内ネットワークにアクセスするプライベートアクセスの制御機能の2つに要件を絞り込んで検討を進めた結果、機能的に最も高機能でコスト的にも納得できるZscalerのゼロトラストソリューションを採用しました。Zscalerは業界のトップリーダーであり、トータルバランスに優れていたこともポイントになりました」（林田氏）。

　選んだソリューションは、インターネットアクセス管理のZscaler Internet Access™（ZIA™）、社内向け通信保護のZscaler Private Access™（ZPA™）。特に評価したのはプライベートアクセスの機能だった。「ZPA™は外部から行内にアクセスする際の制御機能が充実していて、詳細に設定できる点を評価しました」と林田氏は語る。

行内システム２

ゼロトラストセキュリティをコストセンターにしない

　佐賀銀行ではコストについても多面的に検討した。その1つが外部から社内システムにアクセスする際の通信コストである。「約7年前からシンクライアントシステムを導入し、閉域網を使ったモバイル通信で接続していましたが、コストが嵩んでいました。外部からのプライベートアクセスが安全に実現できるZPA™ならば、インターネット経由でもセキュリティが担保できます。閉域網接続を廃止してインターネット回線経由にすることで、通信料金を3分の1ほどに抑えられました」（林田氏）。

　グループ全体のセキュリティ管理についても、林田氏は次のように語る。「各社にプロキシサーバーを立てると、会社の数だけ導入コストが必要となり管理コストもかかります。IT専任部隊がいない会社がほとんどなので、各社の負担も増えます。Zscalerを使って母体行でセキュリティを一括管理すれば、コストを抑えながらグループ全体で統一した対策が施せるメリットが得られます」

　さらにゼロトラスト型セキュリティを導入することで、社外からでも業務を安全に行えるメリットも評価した。Microsoft 365などのクラウドサービスを含め、持ち出し用のパソコンから安全に業務ができる環境を整えることで、働き方やコミュニケーションが変化する。「オンライン会議が場所を問わずにできるだけでも、移動にかかる時間や交通費等の経費が削減できます」（林田氏）。セキュリティ対策にコストがかかったとしても、それ以外の多くのメリットとコスト削減効果が得られるというわけだ。

運用を順次開始し不満なし確実なアクセス制御に信頼感

　Zscalerの導入は、2022年の初頭からのモバイル用パソコン購入と併せて順次開始した。半導体不足によるパソコン納入の遅れといった事態にも遭遇したものの、順次Zscaler用のエージェントであるZscaler Client Connector™をインストールしたパソコンを配布しており、2023年5～6月にゼロトラスト型セキュリティの体制が整う計画である。林田氏は「クラウド型のソリューションなので、短期間でシステム構築ができました。2023年春以降に、1,800ライセンスで実利用のフェーズに入ります」と語る。

　Zscalerソリューションの導入が進む中で、ユーザーの利便性を確保できたポイントの1つとして、林田氏はシングルサインオン（SSO）の対応を挙げる。「佐賀銀行ではHENNGEのシングルサインオンサービス『HENNGE One IdP Edition』を利用しています。ZscalerはHENNGE Oneと連携したSSOが利用でき、行員はこれまでMicrosoft 365にログインしていた画面操作のまま、意識せずにZscalerにログインしてプライベートアクセスなどが可能です」と語る。

　本格的な始動を目前に控えたゼロトラスト型ソリューションについて、林田氏は「オンプレミスのようなハード更改やソフト更新が不要で、ノンストップで機能拡張しながら使えるクラウド型のZscalerはメリットが大きいソリューションだと感じています」と語る。これから佐賀銀行が地域の課題解決に価値を提供する際に、Zscalerがセキュリティ基盤としてDXを支えていくことになる。