ネオファースト生命保険株式会社様　│　SecuriST脆弱性診断士、DevSecOps講座
〜持続可能なDX推進とセキュリティ人材育成〜

デジタルトランスフォーメーション（DX）は、企業にとって避けることのできない課題です。また、デジタル化が加速する現代社会において、企業が直面するサイバーセキュリティの課題は年々複雑化しています。特に生命保険業界では、お客さまの個人情報や契約データといった機密性の高い情報を取り扱うため、お客さまのデータを守ることが企業の存続に直結する重要事項です。

同社は、2024年10月に保険サプライチェーン全体のDXおよび効率化に向け、「デジタルエンジニアリング部」を新設しました。デジタルエンジニアリング部は、IT分野における高度な専門スキルと経験を有する人財によって構成された専門組織になっています。最新テクノロジーを活用したITシステム全体の最適化に向けた取り組みを加速し、業界においてデジタルに強みを発揮する企業を目指しています。

デジタル化と並行してセキュリティ体制の強化も欠かすことができません。同社では、サイバーセキュリティ対策課が中心となり、「変化する脅威環境に柔軟かつ先進的に対応する」という方針のもと、セキュリティ対策を進めています。2014年の立ち上げ当初は、閉域網を利用した境界防御型のセキュリティに重点を置いていましたが、2020年以降はゼロトラストセキュリティの考え方を導入し、GSX支援のもと、EDR（エンドポイント検知・対応）およびSOC（セキュリティ運用センター）の導入、さらにSIEM（Security Information and Event Management）とUEBA（User and Entity Behavior Analytics）を活用した高度な監視体制を構築しています。2022年から2023年にかけては、従来の閉域網ベースのネットワーク構成を見直し、プライベートバックボーンを中心とした構成へと刷新し、セキュリティ対策をバックボーンに集約することで、防御・監視・検知・対応の各能力を大幅に強化しています。さらに、DX推進部門との連携によるクラウドシフトの加速は、柔軟性と強靭性を兼ね備えた態勢の確立に寄与しています。同社のセキュリティ対策は、技術と戦略を融合させた高度な取り組みといえます。

セキュリティ人材不足は、現代社会において多くの企業が直面している課題です。

同社においてもセキュリティ人材の確保・育成は、当社にとっても重要かつ喫緊の課題であり、特に高度な専門性が求められる分野で人材が不足している現状を踏まえ、この難題を「人に依存しすぎない環境」の構築で解決すべく取り組みを進めています。具体的には、システム構成のシンプル化、運用負荷の軽減、属人性の排除などを通じて、持続可能なセキュリティ運用を目指しています。自社にノウハウを蓄積していくことも重要な取り組みと認識しており、外部の信頼できるセキュリティベンダーとの連携強化を通じ、専門知識を活用することによる堅牢な対応態勢を構築しています。人に依存しすぎない態勢を実現するためには、どこは仕組化し、どこは人に頼るべきであるかを明確にし、人に頼る領域についてはどのようなスキルが求められ、その人材をどのように育成していくか、判断していくことが求められます。従来の流れで人に依存させたまま運用するのではなく、適切に切り分けることがポイントです。

また、DXの加速やAIの活用、クラウドサービスの拡大に伴い、内製化の必要性も高まっていると認識しており、セキュリティ人材の育成に取り組むことで、持続可能なセキュリティ運用を目指しています。

前述の様々な環境変化に適応するため、フロントシステムを対象として委託先を活用したウォーターフォール型のシステム開発から、アジャイル型のクラウドネイティブなシステム開発を内製にて行う方針へと転換しました。開発環境もIaaSからPaaSへと変化するなど、セキュリティ面でも新たなスキルが必要となってきたため、セキュリティスキル取得の一環として「SecuriST DevSecOps講座」をご受講いただくこととなりました。

松尾様はウォータフォール型の開発経験が中心であったため、GitHubを活用したDevOps開発手法や、DevOps開発においてシフトレフトでどのようにセキュリティ対策を組み込むのか、といった幅広い知識を習得することを目的に受講されました。GitHubやDockerを実際に操作することで、DevSecOpsの手法を学び、シフトレフトでのセキュリティ対策の重要性やSAST（Static Application Security Testing）、DAST（Dynamic Application Security Testing）、SCA（Software Composition Analysis）といった主要ツールの適用方法や運用課題を掴むことができた、クラウドネイティブアプリにおけるセキュリティ対策の観点（コンテナセキュリティ、IaCセキュリティ）を学ぶことができた、とご評価いただきました。また、SecuriSTシリーズでは学んだことを、手を動かして実践することができる検証環境が提供されています。学んだことを手を動かすことにより、知識をスキルに変えることができた点もご評価いただきました。短時間に多くの情報が詰め込まれていたが、講師が寄り添いフォロー、質問にも丁寧に答えてくれたことも学びの深まりに貢献となりました。GSXでは提供しているサービスのすべてにおいて「ホスピタリティ」を大切にしています。

デジタル環境の進化とともに、いかにサービスを早くリリースするか、改良を加えていくかが競争の源泉となっています。アジャイル開発の普及が進む中で、どのようにセキュリティを担保していくかが重要性を増しており、各社でのDevSecOps推進が進んでいます。またシフトレフトで早期にエラーをつぶすことは、サービスの早期リリースや開発コストの短期的かつ長期的な削減につながっていきます。

同社では開発成果物に対する脆弱性診断をリリースタイミングで外部委託しており、外部委託することによって第三者視点で検証を実現しています。宮腰様はサイバーセキュリティ課のマネージャーという立場で「SecuriST 脆弱性診断士」をご受講されました。

講座受講にあたっては、自身が診断のスキルを身に付けることもさることながら、脆弱性診断を外部に委託する立場として、診断の勘所を抑え、理解を深めていくことに力点を置かれました。また、アプリケーション開発の内製化に向けて、どのようなポイントで診ていくか、どのような手順で進めていくかについて再整理することも大きな目的とされました。受講を通じて、脆弱性が検知された際に、どれは危険性が高く、優先順位を高く対応していく必要があるのか、見極められるようになったと評価しています。また、松尾様同様に検証環境が提供されている点を強く評価されました。

脆弱性診断を第三者に委託するにあたっても、委託先に丸投げしたり、委託先の言うことを鵜呑みにするのではなく、受け入れ側が知識を持ち、委託先の提言を理解・評価できるようにしておくことが、脆弱性診断の実効性を高めることにつながっていきます。

各講座の受講を通じて、Webアプリケーション開発におけるセキュリティ対策やDevSecOps開発の推進に向けたセキュリティ人材育成が加速されることで、IT戦略の実効性が高まっていきます。

同社は、これまで取り組んできたセキュリティ態勢のさらなる強化やシステム構成のシンプル化を今後も継続的に推進していく方針です。特に、Azureを活用した内製化の進展は、セキュリティ対策に対しても大きなインパクトをもたらすと考えており、これを一つの転機と捉えています。

こうした変化に対応するため、GSXをはじめとするセキュリティベンダーとの連携をさらに強化しながら、柔軟かつ持続可能なセキュリティ態勢の構築を目指しています。また、ビジネス面では、DXの加速に伴い、クラウドやAIの活用を積極的に進め、開発・運用面では、自動化や標準化を通じて、効率性と安全性の両立を推進していきます。

同社が目指すのは、従来型の枠組みを超えた「セキュリティ・DX一体型事業」の構築です。クラウドやAIのさらなる活用を進めると同時に、セキュリティ分野で持続的・柔軟で堅牢な体制をつくり、次世代型保険サービスの提供を目指しています。また、業界全体のリーダーとなるべく、他社との協力やノウハウの共有にも前向きな姿勢を示している点も注目すべき点です。