日本初のインターネット専業銀行として2000年に営業を開始したPayPay銀行株式会社は、20年に渡ってインターネット上で決済、預金、融資業務を展開。「金融サービスを空気のように身近に」をミッションに、空気のように使いやすく身近に感じられる金融サービスの提供に全力で取り組んでいる。キャッシュレス化が顕著化している現在、同行はこの動きを加速・進化させるため、2021年には社名を「PayPay銀行株式会社」に変更する予定だ。

そのPayPay銀行株式会社のなかでサイバーセキュリティ対策室は、サイバー攻撃によるシステムダウンや情報漏えいから顧客資産を守るのがミッション。「具体的な業務は当社の金融サービスと社内のセキュリティ対策全般。銀行の勘定系システムやインターネットバンキングのセキュリティ対策をはじめ、各事業部が希望するサービスに対するシステムリスク評価、外部委託のセキュリティチェック、通信ログを収集し監視・分析を行うSOC（Security Operation Center）など、当社のセキュリティ対策に関する部分を担っています。」とIT本部 IT統括部 サイバーセキュリティ対策室長 藤川 将信氏は語る。

同行が長年取り組んでいたのが、自宅などの遠隔地からも業務を行うリモートアクセスシステムを実現することだ。BCPの観点で社外からアクセス・操作できる環境、法人への営業活動を効率化するため、社外から社内の資料にアクセス・操作できる環境などの要望に合致するソリューションを模索していた。だが、銀行としての高度なセキュリティや、レスポンスの問題などで実現はなかなか進まなかった。

進展を見せたのは2016年4月。「社内でリモートアクセス検討チームが発足し、BCPの内容や業務の効率化の検討を重ね、2017年にリモートアクセスを可能とするツールが導入されました。この段階では、参照できるのはメールの送受信や一部の資料のみ。さらに業務効率を向上するため、リモートデスクトップ環境を得ることが必要と考えました。」とIT本部IT統括部 シニアスペシャリスト（サイバーセキュリティスペシャリスト） 小澤 一仁氏は語る。

2019年4月、人事部からテレワーク推進のアナウンスがあり、リモートデスクトップの実現が大きく動くことになった。「働き方改革やオリンピックの開催などがあり、人事部からテレワークを推進していきたいという声が上がっていました。本来であれば、サイバーセキュリティ対策室の話ではないのですが、セキュリティが関わってくるということで我々が主幹となり、テレワークに対応するリモートデスクトップについて検討することになりました。」（小澤氏）

サイバーセキュリティ対策室が最初に検討したのは、VPNでトンネルをつくり、その中でリモートデスクトップを接続する仕組みだ。しかし、藤川氏は「VPNはファイアウォールに対し外から中への穴（通信許可設定）を開ける必要があります。そうすると攻撃者に侵入されるリスクが上がるため、セキュリティ対策を担う我々としては、VPNは避けたいと考えていました。また、弊社でVPNを使うためには認証基盤も別途構築する必要もありました。そうしたインフラを持っていない当社としては、認証基盤の構築コストも負担でした。」と語る。

VPNに代わる新しい技術として検討したのがアカマイのゼロトラスト型リモートアクセスシステム、Enterprise Application Access（EAA）。同行では以前からアカマイのソリューションを利用しており、その流れでEAAの存在は把握していた。そこで、EAAと類似の機能を持つリモートアクセスの2製品をピックアップし、最終的にはEAAと1製品に絞ってPoC（概念実証）を実施した。

PoCの結果、EAAを選定した理由について小澤氏は「当社は社外へのアクセス制御は、許可リスト式になっています。EAAは、コネクターという社内で稼働させる仮想マシンからクラウド上にあるアカマイのEdgeへの通信を許可すれば、すぐに利用開始できる点に魅力を感じました。VPNのように外から中への方向で穴を開ける必要もありませんから、セキュリティの観点からも安心です。また、EAAは体感的にレスポンスが優れているという優位点もありました。EAAにおけるリモートデスクトップの動作は機敏で快適です。画面も鮮明でしたから、業務で問題なく使えるレベルだと判断しました。」と語る。

APIでログを取得できる点もEAAの評価ポイントだった。「SIEMによるログ管理プラットフォームでログを集計・分析することも我々の業務のひとつ。EAAならAPIでログを取得できますから、我々が自由に加工することが可能です。」（藤川氏）

EAAを本格的に導入し1年が経過した現在、多くの企業がコロナ禍によってテレワークの導入が進んだ。同行においてはEAAが活躍し、緊急事態宣言が発令されたピーク時は、最大で200人近くがテレワークを実施。現在でも180人ほどが週に何度かはテレワークで業務を行っている。また、EAAを利用しているのは全社員の約3割に相当するという。

小澤氏は「テレワークを想定して導入したEAAですが、コロナ禍でテレワークが日常化するとは考えていませんでした。そういう意味では、EAAがあって助かったというのが正直なところです。EAAがなかったら、業務が回っていなかったかもしれません。この部分は最大限に評価できると思っています。」と語る。

EAAのログはSIEMと連携させてデータ分析し、会社の労務管理に使っているという。「いつ・誰が・何時に・ログインし、どれぐらいの時間使っていたかなどのログを収集し、人事部に還元しています。勤務時間外の業務、申請している業務などをチェックすることで、会社の労務管理に役立てているようです。」（藤川氏）

外部からの不正なアクセスなどを防ぐため、EAAによるきめ細かなアクセス制限も行っている。「EAAでは、アクセス元となる地域やソースIPなどで制限することができます。VPNだと制御が難しくなるため、EAAを導入して良かったと感じますね。」（藤川氏）

同行は現在、リモートデスクトップ用途専用でEAAを使っている。EAAで認証と認可を強化し、安全にアクセスできれば、わざわざクラウドにサーバーを持っていく必要はないという。「クラウドに出せないサーバーはオンプレミスで構築し、それに対し安全に外からアクセスする手段としてEAAを使いたい。」と語る小澤氏だが、将来的にはSaaSアプリケーションと連携したいとも考えている。「最近はゼロトラストという言葉を頻繁に聞くようになりました。我々としても、SaaSやIaaSなどの利用が活発になれば、ゼロトラストのセキュリティ対策を認識するようになると思います。そのときには、さらにEAAが活躍するのではないでしょうか。」（小澤氏）