1. ホーム
  2. 法人のお客様
  3. 導入事例
  4. 住友生命保険相互会社 様

住友生命保険相互会社 様住友生命保険相互会社

お客さま向けWebシステム更改を機に「IIJマネージドWAF」を導入
安定したサービス運用を実現しランニングコストを大幅削減

保険会社大手の住友生命は、お客さま向けのWebコンテンツ提供システムの更改に合わせて、Webサイトをインターネット上の脅威から防御するため、WAF(Web Application Firewall)をオンプレミスの専用アプライアンス機器から外部サービス利用へと移行した。クラウド化が進む中で、オンプレミスとクラウドのシステムを一元的に防御できる「IIJマネージドWAFサービス」を導入し、高機能で安定したセキュリティ体制を整えた。コスト面でも専用機器での運用と比較し、大幅な削減となり、大きな効果を上げている。
公開Webサイトに絶対に必要なセキュリティ対策とは?
Webセキュリティのサービスガイドブックを差し上げます!

導入前の課題

専用アプライアンスを複数運用するスキルやコストが負担に

住友生命様の事業における最近のトレンドを教えてください。

住友生命保険 森大樹氏

保険商品としては健康増進型の「Vitality」が人気です。これまでの保険商品はお客さまから保険料をお預かりして、何かがあったときに保険金・給付金をお支払いするという形でした。
Vitalityは生命保険の役割に加え、スマートフォンのアプリに連動して、健康増進の取り組みに応じて様々な特典を獲得できるなど、リスクに備えるとともにお客さまの健康をお支えする新しい発想の保険で評価されています。

住友生命様のセキュリティ対策は、従来はどのようなものだったのでしょうか。

森氏

これまで住友生命のシステムでは、セキュリティ対策のために個々の機能を備えた専用のアプライアンス機器をオンプレミスに導入していました。各レイヤーのセキュリティ対策について、定評のある機器を選定し、各ベンダーと個別に契約してきましたが、専用機器を自社で保有すると、保守や運用も含めてコストがかかります。
多層防御を通じて、従来からセキュリティレベルを一定以上確保してきましたが、コストの面で機器を保有するよりも、外部サービスを利用して一元管理する方が効率的ではないかと考えていました。

スミセイ情報システム 釜山俊和氏

セキュリティ機器を運用する人材面でも課題がありました。専用機器を自前で保有して運用するには、スキルを持った人材が必要ですが、ベンダーの異なる複数の専用機器について、それぞれのスキルを継承することは、容易ではありません。
また、いつ発生するかわからないセキュリティインシデントを個社で速やかに検知し、対応するには相応のマンパワーが必要であり、この点を改善したいという要望を持っていました。
外部のセキュリティベンダーにお任せすることで、安心感を持って最新技術に対応した運用を継続できると考えたのです。

選定の決め手

IIJのサービスを組み合わせて「守る」から「検知」「対応」まで

実際にマネージドWAFを検討されるまでの経緯を教えてください。

釜山氏

2020年5月にお客さま向けのWebコンテンツ提供システム(既契約者さま向けポータルサイトや新規のお客さま向けの資料請求サイトなど)を更改する計画がありました。その新システムの更改を機に、今後のクラウド利用拡大を見据えて、セキュリティ対策についても個別最適を払拭し、社内システムを一元的に防御出来るマネージドWAFサービスに強い関心を持ちました。

IIJとはどのような形でお付き合いいただいていますか。

釜山氏

IIJとはこれまでにもISP、セキュリティの分野でご支援をいただいており、セキュリティインシデントを早期検知するための「IIJ C-SOCサービス」の導入・運用を中心に安定稼働の実績がありました。
セキュリティ対策は定量的に効果を把握しにくいものですが、セキュリティインシデントやシステムトラブルが発生しないことが一番であり、これまでの運用実績から信頼できるパートナーとして、IIJのサービスを導入しようということになりました。

マネージドWAFの機能や性能についての評価はいかがでしたか。

森氏

従来はWAF機能を実装した製品としてF5ネットワークスの「F5 BIG-IP」を導入しており、シグネチャの更新頻度や検知精度などを高く評価していました。
マネージドWAFは同じF5 BIG-IPをベースにしたサービスということで、これまでの機能や性能を引き継いでサービスとして利用できる安心感があったことも大きな評価のポイントでした。

他に検討したソリューションはありましたか。

住友生命保険相互会社 坂村氏
住友生命保険相互会社
情報システム部 システムリスク管理室 上席調査役
兼 リスク管理統括部 上席部長代理
坂村 素数 氏

森氏

マネージドWAFサービスの検討と同時期に、インターネット向けトラフィック量の増加を受け、トラフィックをオフロードする目的で、インターネットゲートウェイにIIJサービスを採用することが決まっていましたが、インターネットゲートウェイで導入予定のセキュリティサービスとマネージドWAFサービスが、ともにIIJ C-SOCサービスと非常に親和性の高いものである点を高く評価しました。
C-SOCサービスでは、セキュリティ機器のログやアラート、トラフィック、外部情報などを含めて分析して、脅威の早期発見からセキュリティ対策の提案までを実現しますが、ここに第三者ベンダーのサービスを組み合わせると、ログ連携や相関分析の精度を高めていくことに懸念がありました。

住友生命保険 坂村素数氏

IIJマネージドWAFは、IIJの他サービスと組み合わせていくことで、「守る」という基本的な機能からさらに進めて、脅威を「検知する」「対応する」ことの迅速化が実現できると考えました。C-SOCサービスにできるだけ情報を集めて、初動を早くする体制を整えるために、マネージドWAFが適していたのです。

導入後の効果

安定稼働に加えて、ランニングコストを大幅に削減

IIJマネージドWAF導入までのスケジュールを教えてください。

釜山氏

検討に着手したのは2019年7月でした。IIJからサービスコンセプトの説明を受け、将来像を含めたグランドデザインを検討していきました。インターネットゲートウェイ導入による統合セキュリティの一翼を担う機能として、IIJマネージドWAFの導入検討を進め、2020年1月には評価環境に導入しました。
WAFはWebアプリケーションを悪用した攻撃から社内システムを防御するものですが、不正通信を遮断すること以外に、お客さまからの正しい通信を誤遮断するリスクを懸念していました。評価試験では様々な通信を発生させてマネージドWAFを動作させ、誤遮断のリスクを徹底的に排除した上で、本格的な導入判断に至りました。
2020年3月にインターネットゲートウェイ関連の移行を開始し、5月にはIIJマネージドWAFとインターネットゲートウェイを含めて無事にサービスインとなりました。
短期間の開発でしたが、中長期的な将来像を見据えて、実りのある検討ができました。IIJとはプロジェクトという形で協業させていただき、定例ミーティングも毎週行うなど密なコミュニケーションを取りながらプロジェクトを完遂することができました。

スミセイ情報システム株式会社 釜山氏
スミセイ情報システム株式会社
基盤システム第1部 上席システムエンジニア
釜山 俊和 氏
利用イメージ

マネージドWAFおよびインターネットゲートウェイを導入した効果はどのように評価していますか。

住友生命保険相互会社 森氏
住友生命保険相互会社
情報システム部 システム業務室 主任
森 大樹 氏

森氏

IIJマネージドWAFは、お客さま向けのWebサービスの提供開始から現在まで、大きな攻撃を受けることなく安定して稼働しています。安心してお任せできているという点で高く評価しています。

坂村氏

WAFでは、悪意ある通信を遮断するためのポリシーを定期的に更新していきます。この更新の作業が実運用でどうなるか、本格稼働前に心配していた点でした。しかし実際に稼働させてみると大きな負荷になることなく、運用をスムーズに回せていると感じています。サービスの安定性も満足しています。

森氏

インターネットゲートウェイについても効果を実感しています。特に、新型コロナウイルス感染拡大の影響でZoomによるオンライン会議が多用されるなどインターネットの利用が急増しましたが、迅速な回線帯域の増強により安定運用につながっています。

坂村氏

コスト面では、専用機器を設置する試算に比べ、大幅なコスト抑制効果が得られています。

今後のシステムの展開についてのお考えを聞かせてください。

森氏

ニューノーマルの時代を見据え、従業員向けには働く場所や時間にとらわれない勤務環境を整備するといった、働き方変革を推進していく必要があり、デジタルの活用が必要と考えています。
またお客さま向けには、直接お会いした上で商品の提案やアフターフォローをさせていただく既存の方法にデジタルを融合させて、一層お客さまに寄り添い続ける会社に成長していきたいと考えています。

坂村氏

デジタルにより、お客さまや企業との間で接点が広がっていくでしょう。接点が広がると、これまで想定していたネットワークやセキュリティの構成に見直しが必要になります。IIJとはセキュリティを中心にお付き合いしてきました。IIJはネットワークでも業界の第一人者ですから、セキュリティとネットワーク両方の分野の知見から、今後も他社にできない提案をお願いしたいと思います。

公開Webサイトに絶対に必要なセキュリティ対策とは?
Webセキュリティのサービスガイドブックを差し上げます!

導入したサービス・ソリューション

お客様プロフィール

住友生命保険相互会社
本社:大阪府大阪市中央区城見1-4-35(東京都中央区築地7-18-24(東京本社))
設立:1907年5月
資本金:6390億円(基金償却積立金を含む、2018年3月末)
売上高:2兆4467円(保険料等収入、2020年3月期)
従業員数:4万2954名(職員1万973名、営業職員3万1981名(2019年3月末))
保険事業を通じて「社会公共の福祉に貢献する」ことを企業理念とする。顧客一人ひとりのニーズに応える先進のコンサルティングとサービスの提供を推進。健康増進を応援し、病気のリスクを減らし保険料も割り引く「Vitality」、介護・死亡・病気などに備える総合保障「未来デザイン1UP(ワンアップ)」など未来志向の保険商品の開発・提供にも力を注ぐ。

住友生命保険相互会社

※ 本記事は2020年9月に取材した内容を基に構成しています。記事内のデータや組織名、役職などは取材時のものです。

導入事例

資料請求・見積依頼もお気軽に

お問い合わせ

電話でのお問い合わせ tel:03-5205-4466 (土日祝日除く 9:30~17:30)

導入したサービス・ソリューション