ウェルスナビ、クラウドインフラのセキュリティ強化にOrca Securityを採用。プロダクト環境の網羅的なリスク管理を効率的に実現

人気の資産運用サービスの裏側で直面する、クラウドセキュリティの課題

「働く世代に豊かさを」というミッションを掲げるウェルスナビ株式会社は、日本の働く人たちが豊かな老後を迎えられるよう、資産形成をサポートしています。「どのように資産運用をすればいいかわからない」という悩みを持つ人たちに向けて、投資経験や知識、資産の額に関係なく利用できる資産運用サービス「WealthNavi（ウェルスナビ）」を提供しています。

また同社は、エンジニアやデザイナーが従業員の約半数を占めるなど、「ものづくりする金融機関」としての特徴を持っており、金融機関として求められる高いセキュリティレベルとスピーディーな開発を両立しています。金融の専門家や顧客対応部門と緊密に連携し、サービスの継続的な改善に努め、そのサービスは高く評価されています。預かり資産・運用者数でNo.1のロボアドバイザーとして（※）着実に成長を続けています。

※ 一般社団法人日本投資顧問業協会「契約資産状況（最新版）（2023年9月末現在）

『ラップ業務』『投資一任業』」を基にネット専業業者を比較 ウエルスアドバイザー社調べ（2023年12月時点）

これまで主軸としていたのは「ロボアドバイザー」というサービスですが、今後は個人向け金融プラットフォームとして多様なプロダクトを展開しようとしています。その中で強化すべきポイントと感じていたのが、プロダクトの基盤となるプラットフォームの脆弱性管理です。同社サービスはAWSをはじめとするクラウド環境でサービスを提供しており、”クラウド特有のリスク”にも対応しなければなりません。また、事業規模が拡大し対外的な認知が高まることで、必然的に外部から攻撃を受けるリスクも高まっています。

システム基盤グループ サイバーセキュリティチーム マネージャーである岡地 紘氏は、「これまで比較的小規模な組織で、専門知識を持つ人材を頼りにセキュリティを担保してきました。しかし、社内の人員が増加し、事業が多様化するにつれ、これまでと同様の方法ではセキュリティの担保が難しくなってきました。このため、セキュリティリスクの管理をより体系的に行う必要があると感じていました」と説明しました。



ウェルスナビ株式会社 システム基盤グループ サイバーセキュリティチーム マネージャー 岡地 紘 氏

同じくサイバーセキュリティチームの笠井 将太 氏は「WealthNaviではAWSの様々なサービスを使用していますが、それらにどのようなリスクがあるのかは、設定をした人には分かるかもしれません。しかし、後から弊社にジョインする人はそのリスクを把握しにくい状況にありました」と語ります。



ウェルスナビ株式会社 システム基盤グループ サイバーセキュリティチーム 笠井 将太 氏

システムの設計構築・運用を担当するシステム基盤チーム マネージャーの和田 雄樹 氏も「ソフトウェアの脆弱性が判明し、その影響数が少なければ比較的すぐに対応できますが、多くなると優先順位を決めて説明するスキルや知識が求められます。また、私たちとサイバーセキュリティチームが同じ視点で見られるツールでコミュニケーションを取って対処することも必要だと感じていました」と語りました。



ウェルスナビ株式会社 システム基盤グループ システム基盤チーム マネージャー 和田 雄樹 氏

Orca Securityが実現する、本番環境に影響を与えない網羅的なリスク分析を評価

岡地氏と笠井氏は、2023年の初頭からクラウドのリスクにも対応したセキュリティソリューションの調査を本格的に開始しました。選定において特に重視したのが、AWSに展開されたWealthNaviの環境をすべて網羅的に可視化できることでした。そしてソフトウェアの脆弱性だけでなく、設定ミスやネットワーク、権限問題など、クラウド環境で押さえるべきリスクを網羅的にチェックできるかが、評価の重要な軸となりました。

さらに検討したのがリスクの評価方法です。岡地氏は「ソフトウェアやシステムが持つ脆弱性の深刻度を表す国際的な指標として「CVSS（共通脆弱性評価システム）」が有名ですが、開発元から公開されるスコアはあくまでも脆弱性そのものを評価した基本スコア。これをインプットに自社の環境に合わせて改めてリスク分析することで初めて自社にとっての正確なリスクが判定できるわけですが、担当者のスキルに依存する部分が多く、対象が増えると継続的な運用が難しくなるという懸念があります。このリスク分析をある程度自動化し、本当に対処すべきリスクへ集中できるソリューションを求めていたのです」と振り返ります。

そして岡地氏が2023年2月にOrca Securityとフォージビジョンが共催したイベントに参加。システム基盤チームとともに複数のソリューションと比較検討ののち、2023年6月からOrca SecurityによるPoC（概念実証）を行うことを決定します。

Orca Securityには、対象となるクラウド環境の設定情報から環境を再構築し、リスク分析できる「SideScanning」というテクノロジーがあります。これによって、本番環境に影響を与えず、環境まるごと分析できるメリットをもたらします。WealthNaviのPoCにおいても、ほとんどの環境を網羅した検証が行われました。

PoCは、フォージビジョンが窓口となり必要に応じてOrca Securityのエンジニアもビデオ会議に参加するなど、適切なコミュニケーション体制を構築して行われました。社内での要件確認においては、サイバーセキュリティチームとシステム基盤チームが協力してより詳細なテストケースを作成して評価をしていきました。

岡地氏は「試用期間の1ヶ月内にPoCが終わるかどうか心配していましたが、フォージビジョンのサポートのおかげで間に合いました。フォージビジョンの担当者は、非常にフットワークが軽く、共有しているスプレッドシートに質問を記入すると、すぐに確認・回答されるのが印象的でした。思うように動作しないときもOrca Securityのエンジニアとの仲介もスムーズに行っていただけました」と話しました。

「PoCで実用性を確認したあと、採用に際しては技術側の責任者の承認が必要でした。また、プラットフォーム全体のリスク管理を担うソリューションであり影響範囲が広いため、開発部門のリーダー層向けに、背景となる課題認識と解決方法（OrcaSecurity）、要件と踏まえたPoCの結果、開発や運用への影響等を説明しました。」（岡地氏）

網羅的なセキュリティ点検を実現し、確実なリスク低減が実現

PoCの結果は良好だったため、本格的な導入に進みました。ここでもサイバーセキュリティチームとシステム基盤チームとで連携をしながら進めていきました。和田氏は「セットアップはとても簡単で、示された手順に従って操作するだけでした。弊社では複数のAWSアカウントを持っています。プロジェクトごとに新しいAWSアカウントが増えていく傾向にあります。新しいアカウントが増えても自動で連携・スキャンしてくれるため、運用の手間がなく大変助かっています」と語りました。

ウェルスナビではこれまで年に一度「セキュリティ点検」というプロジェクトを実施してきました。毎回「Webサイトの脆弱性診断」や「特定のプロダクトへのペネトレーションテスト」といったテーマを設けて取り組んでいましたが、プロダクトが増えるとともに、点検の範囲が限られてくるのではという懸念がありました。しかし、Orca Securityの導入によって、網羅的な点検が可能になったのです。

セキュリティ点検プロジェクトを担当した笠井氏は「Orca Securityの画面でリスクの高い脆弱性や設定不備を特定し、システム基盤チームや開発者と共有することで、共通の理解のもとに改善に取り組むことが可能になりました。評価を行う際には、Orca Security のリスクスコアをインプットに、当社のAWS環境固有の設計も考慮したうえで最終的な対応可否判断を行いました。そのため、私たち自身の判断で適切な対処を行うことができるようになりました」と、得られた効果を説明しました。Orca Securityの導入により、セキュリティ点検のやり方も変わりました。リスクスコアの高いアラートが発生した場合は即時対応を行い、中程度以下の脅威については半年ごとにまとめて対応するようになっています。

サイバーセキュリティチームでは、社内で「セキュリティレポート」という社内向けの報告を月次で行っています。このレポートでは、攻撃をどの程度防いでいるか、また、現在ウェルスナビ内にどのような脆弱性があり、特にクリティカルなものについては分析と対応計画が立てられているかなど、数値をもとに報告しています。岡地氏は「現在、Orca Securityの導入時に確認されたリスクを100とすると、だいたい25程度まで軽減のうえ維持できており、安定して運用できている状況といえます。このように、以前は定量化しにくかったものを数値として扱えるようになったことも大きな効果です」と述べました。

サイバーセキュリティチームの業務は、Orca Securityの導入によって大きく変化しました。以前は、重大な脆弱性が見つかると、Slackで情報を周知したり、詳しい人に対処法を尋ねたりする必要がありました。しかし、Orca Securityを使うことで、新しい脆弱性の情報も含め、リスクの状況を常に把握・共有できるため、リスク管理をより効率的に行えるようになっています。

今後ウェルスナビのプロダクトは増えていく予定で、メンバーも移り変わります。これまでインフラの構築はシステム基盤チームが主に担ってきましたが、事業のスピードを高めるためプロダクトのチームが自らインフラを構築する動きも増えています。

和田氏は、インフラの品質を統一するには監視対応が必要だとし「AWSサービスでセキュリティ統制を設定できますが、難しいことがあります。これをOrca Securityに任せることで運用負担が軽減されています。セキュリティ統制の仕組みを維持するには、2名ほどの人員が必要で、しかも新たな脅威について絶えず気を配らなければならないでしょう」と語りました。

Orca Security導入後、開発現場への混乱は特に発生していません。これは、主な対象がプラットフォームであることに加え、製品選定時に重視した”リスク分析の自動化”によりノイズになるような脆弱性が十分にフィルタ出来ているためだと感じています。
これまで検知したアラートの大部分はサイバーセキュリティチームとシステム基盤チームで対処できるようになり、開発者に対応を依頼する際もリスクの背景や影響などを示すことができるため、納得感を得られて混乱なく運用されています。

「セキュリティ点検の実施結果を技術部門のマネジメント層に報告した際には、プラットフォーム全体のリスクの現状やそのリスクの対応方針を報告できました。網羅的に報告できたことで安心感につながり、Orca Securityの価値も感じていただけたと思います。」（笠井氏）

Azure OpenAI GPT4 を利用した検索支援機能とアラート対策方法など、Orca Securityに実装された新たな機能も活用しています。和田氏は「日本語で質問して、提示された内容に追加で質問するなどしています」と語り、岡地氏も「クエリを書かずに日本語で問合せできるので、これでまた負担が軽減されます」と述べました。

Orca Securityに対するさらなる期待として、和田氏は「AIがCI/CDプロセスと連携することで、開発者により具体的な修正提案ができるようになることを望んでいます。この機能が実現すれば、開発者の修正作業の手間を省くことができると考えています。」と語られました。

また、岡地氏は「リスクへの攻撃経路を可視化する「AttackPath」機能がシステム全体にわたって利用できるようになることを期待しています。新しいチームメンバーがシステム環境を理解するのに特に役立ち、リスク発見時にどのような環境下で攻撃される可能性があるかを視覚的に把握できるためです。」と続けられました。

最後に、フォージビジョンより、「Orca Securityをインテグレートしたプロダクトの提供や、より早いタイミングでの情報提供についてリクエストをいただきました。私たちは、お客様のニーズに真摯に耳を傾け、より良いサービスを提供できるよう尽力してまいります。今後も、お客様との信頼関係を大切にしながら、ともに成長していけることを楽しみにしております。」と回答させていただきました。