アーカイブ動画

NTTデータグループの金融システムを支えるITスペシャリスト集団

オープニングでは、NTTデータの柏原貴之氏がNTTデータグループについて、紹介を行った。

NTTデータはシステムインテグレーション、ネットワークシステム、グローバルデータセンター、クラウドなどの事業を国内外で展開しているNTTグループの1社である。海外売上比率も年々、高まっており、現在は60％に及ぶ。

様々な業界・企業にITソリューションを提供しているNTTデータ。国内事業で最も売上が大きいのは金融分野であり、国内金融市場におけるITサービスベンダーランキングでは1位を獲得している。

NTTデータの金融分野における組織は、3つの事業本部と金融イノベーション本部に加え、各本部の成長戦略実行をサポートする金融戦略本部、さらに金融システムにおける信頼性と先進性の両立を実現するための技術力を強化・提供する金融高度技術本部で構成されている。

今回のオープニングを務めた柏原貴之氏、また推しの技を披露した宇都宮雅彦氏、阿久沢佑介氏の3人が所属する金融高度技術本部は、約400人の社員が所属する。同本部のミッションは「金融システムの信頼性と先進性の両立を実現する」である。金融分野横断の基盤技術集約組織、技術で金融システムを支えるITスペシャリスト集団として活動している。

ITスペシャリストのメンバーは金融分野の事業領域全般、中小規模システムからミッションクリティカルな大規模システムの開発プロジェクトに参画し、開発に従事する。

「金融分野における様々な案件・顧客に携われるのはもちろん、幅広い技術を身につけられるチャンスがある」と、柏原氏は説明する。また、「育成コンテンツも充実している」と語った。

Google Cloudをエンタープライズで活用するための3つの要件

株式会社NTTデータ
金融高度技術本部 基盤技術部
テクニカルグレード　宇都宮 雅彦氏

最初のセッションテーマは、金融高度技術本部 基盤技術部 テクニカルグレードとして、クラウド導入支援に従事している宇都宮氏による「Google Cloudをエンタープライズで活用するためのAPIアクセス制御」である。

金融分野のシステム開発プロジェクトでは、業界標準や監査要件を満たす手段として、ハイセキュリティエリアの設置を求められることが多い。

ハイセキュリティエリアとは、本番環境のデータ操作・構成変更を行うための専用エリアを指す。「アクセスする人と権限が厳密に制限されている」「本番データを許可なく持ち出せない」「未許可データを持ち込めない」という特徴を持つ。

オンプレミスのシステムであれば、本番環境とハイセキュリティエリアを同じ敷地内に設置し、物理的な対策によって要件を満たせることも少なくない。

だが、本番環境にクラウドを採用するシステムでは、世界中のユーザーが共通のドメインやAPIでアクセスするサービスの先に自分たちのデータを格納するため、オンプレミスと同じ方法で同じ要件を満たすことは難しい場合がある。

「そこで本セッションでは、ハイセキュリティエリアを自組織の拠点内に構築し、Google Cloud上の本番環境にアクセスしたい、というシナリオを題材に、クラウド上のデータを保護するための考え方と手段を紹介します」（宇都宮氏）

ハイセキュリティエリア実装の第一歩は、クラウドコンソールやAPIへのアクセスのため、インターネットに接続すること。許可されていないサイトに接続しないようにするため、プロキシサーバを立て、URLフィルタリングを行う。

さらにGoogle Cloudを利用するシステムでは、本番データの漏えい防止のため、「VPC Service Controls」というサービスに対してセキュリティ境界を設定することで、サービス・メソッド単位にアクセスを制御できる機能を使う。とはいえ、「VPC Service Controlsだけですべてを賄えるわけではない」と、宇都宮氏は指摘する。

なぜなら、次の3つの要件が満たされていないからだ。第1にクラウドコンソールやAPIにアクセスできるロケーションを、ハイセキュリティエリアのみに制限すること。第2にハイセキュリティエリアでログインできるGoogleアカウントを、許可したドメインに制限すること。第3にハイセキュリティエリアから他組織のリソースにアクセスさせないことである。

続いて宇都宮氏は、この3つの要件を満たす対策について紹介した。第1の要件をGoogle Cloudで満たす方法として、「Chrome Enterprise Premiumを利用することができる」と宇都宮氏は言う。

実装の流れとしては、まずアクセスレベルを定義する。次にCloud IdentityやGoogle Workspaceで、対象のユーザーアカウントを含むグループを定義する。さらに定義したアクセスレベルとGoogleグループのバインディングをAccess Context Managerに定義する。

次にこのバインディングをChrome Enterprise Premiumに関連付ける。これにより、グループに所属するユーザーは、アクセスレベル属性に指定された条件を満たした場合のみ、コンソール/APIにアクセスできるようになる。

これをハイセキュリティエリアへの実装に置き換えると、下記スライドのようになる。自組織のユーザーアカウントをGoogleグループに追加し、ハイセキュリティエリアのIPアドレスレンジを指定したアクセスレベルとのバインディングを、コンソール/APIへのアクセスに適用する。

「こうすることで指定したユーザーアカウントはハイセキュリティエリアでのみ、コンソールやAPIにアクセスできるようになります」（宇都宮氏）

送信元のIPアドレスは、IPv4/IPv6の双方に対応できる。IPアドレスのほかにも、アクセスレベルの条件に指定できる属性には、位置情報やIAMプリンシパル、デバイスポリシーなどがある。

第2の要件は、ハイセキュリティエリアでログインできるGoogleアカウントを、許可したドメインのみに制限することだ。

この問題を解決する手段として使えるのが、Google Cloudで提供されている、ログイン時に使用できるドメインを制限する機能だ。X-GoogApps-Allowed-Domainsヘッダを送信トラフィックに付与することで、ログインできるアカウントを組織のドメインから払い出されたもののみに限定できる。

第3の要件は、データの持ち出し・持ち込みを防止するために、ハイセキュリティエリアから他組織のリソースにアクセスさせないことだ。第2の対策により、他組織のユーザーアカウントによるログインを禁止することができる。

しかし、自組織の正しいユーザーアカウントでログインしたとしても、他組織のリソースにアクセス可能な場合は、ハイセキュリティエリアの端末を経由して、ダウンロードした本番データを他組織に持ち出すことができる。他組織から不正なツールキットを持ち込んだりすることも可能である。

「このようなことは他組織のリソースが認証不要で一般公開されている場合や、自組織のアカウントにアクセス権限を付与された場合に起こります」（宇都宮氏）

この問題を解決する手段として活用できるのが、特定のネットワークからアクセスできるリソースを、組織のスコープで制限できるというGoogle Cloudの機能である。具体的にはX-Goog-Allowed-Resourcesというヘッダを送信トラフィックに付与する。こうすることで、指定した組織IDのリソースのみにアクセスを限定できる。

今回、紹介した対策はプロジェクトを問わず、活用できるものを取り上げたという宇都宮氏。だが実際のプロジェクトでは、これら対策を施した後からが本当の設計になると指摘する。

本番データの包括的な保護には、システム構成やアクセスパターンなどに応じた追加の対策が不可欠だからだ。

「包括的なデータの保護、統制を実現するには、金融分野とクラウド双方の知識が必要になります。ぜひ、そのような知識を活かしたシステム開発をしたいという人がいれば、金融高度技術本部に関心を持っていただきたい」と宇都宮氏は語り、セッションを締めた。

DoS攻撃対策をDeep Dive!

株式会社NTTデータ
金融高度技術本部 基盤技術部
部長　阿久沢 佑介氏

続いて登壇したのは、金融高度技術本部 基盤技術部部長の阿久沢氏だ。「DoS攻撃対策Deep Dive!」というテーマでセッションを行った。阿久沢氏は2004年に入社し、大規模な公共系システム開発プロジェクトなどを経験。2度の社内公募を経て、2017年より金融分野のセキュリティ技術全般を所掌している。

まず阿久沢氏は、「DoSやDDoSとは何か。昨今のニュースから改めて考えてみたい」と語り、2024年8月6日に報道された「出版社にDDoS攻撃、25歳配管工『ストレス発散だった』...海外の代行業者を利用」という見出しがついたニュースを紹介した。

「このニュースは、振り返るとよくわからないことだらけ」と、阿久沢氏は指摘する。例えばDDoS代行業者という謎の業者の存在、そして最大の謎が動機だという。「ストレス発散とあるが、DoS攻撃は楽しいものでしたっけ？」と、疑問を投げかける。

DoSとは、Denial of Service attack（サービス拒否攻撃）の略で、ターゲットをサービス停止状態に追い込む攻撃である。DDoS攻撃は多数の発信元から攻撃が行われるDoS攻撃なので、つまりDDoS攻撃はDoS攻撃の一部というわけだ。

「今回は、DDoS攻撃も含めた広い意味でDoS攻撃と呼びます」（阿久沢氏）

先ほどの配管工の場合、DoS攻撃を仕掛けた動機はストレス解消だったが、欧州連合のサイバーセキュリティ当局「ENISA」のレポートによると、動機で最も多いのが政治思想だという。また金銭目的という動機も少ないながらもある。

では、どういったシステムが狙われているのか。政治思想という動機が多いことからも分かるように、最も狙われているのが公共機関である。

「私たちが守っている金融システムもDoS攻撃のターゲットになりえます」（阿久沢氏）

DoS攻撃は大きく「帯域枯渇攻撃」「リソース枯渇攻撃」「脆弱性悪用攻撃」の3つに分類される。

この3つの攻撃を説明するために、阿久沢氏が例として持ち出したのが市役所の窓口だ。1つ目の「帯域枯渇攻撃」は、市役所に続く道を猫で埋めて通れなくするというものだ。

「猫を大量に動員することになるので、攻撃者にとっても大変。そこで攻撃者も工夫している」と阿久沢氏は言う。

第三者になりすましのリクエストを送り、その返信で攻撃する反射型攻撃はその一つである。攻撃者はターゲットとサーバを直接DoSで狙うのではなく、DNSサーバに対してBさんになりすまして、問い合わせを送る。

DNSサーバには回答がすごく長くなるレコードが仕込まれているので、Bさんは問い合わせもしないのに、非常に長い回答があちこちから送られ、DoS状態に陥る。また、もう一つの手口としてあるのが、配管工のニュースに登場した代行業者を使うというものだ。

「Bootyouというサービスでは、約3ドル支払うと6分間の10～15Gbpsの大規模枯渇攻撃を仕掛ける。同サービスは現在、ユーロポールを始めとした各国警察機関の手で差し押さえられています」（阿久沢氏）

では、帯域枯渇攻撃を防ぐにはどうするか。代表的な対策の一つは、契約しているIPSが提供しているDDoS攻撃を緩和するサービスを活用することだ。そのほかにもCDNを活用する、DDoSスクラビングサービスを利用するという対策がある。

2つ目のリソース枯渇攻撃は、市役所の例を用いると、非常に動きが遅いスローロリスが受け付け作業を行うことで、窓口がまったく空かない状態に陥らせる攻撃である。

「帯域枯渇攻撃のように猫を大量に用意する必要もなく、数十匹のスローロリスを用意するだけで攻撃は成立するため、コストは手軽になります」（阿久沢氏）

リソース枯渇攻撃の代表例が、意味のないヘッダをゆっくり送り続けることで、サーバのセッションをずっと占拠するスローロリス攻撃である。

この攻撃を防ぐ対策が、Webサーバのチューニングをしっかり行うことである。その上でmod_reqtimeout、mod_noloris、mod_antilorisなどの対策モジュールを導入する。またWAFの導入やCDNの活用も「非常に有効である」と、阿久沢氏は言う。

3つ目の脆弱性悪用攻撃とは、市役所を破壊してしまうというものだ。具体的には脆弱性を悪用してWebサーバ自体を止めるという攻撃である。

この攻撃を防ぐためには、セキュリティパッチをしっかり当てることだという。また、WAFの導入も有効な手段だ。

このようにDoS攻撃には、3つの種類がある。「いずれの攻撃にも耐えられるよう、対策を組み合わせてしっかり対処していくことが必要になる」と、阿久沢氏は力強く語り、セッションを締めた。

AIエージェントがもたらす新たな価値創造とは

株式会社NTTデータ フィナンシャルテクノロジー
テクノロジー＆ソリューション事業部 技術戦略企画担当
主任　徳橋 将史氏

最後に登壇したのは、NTTデータ フィナンシャルテクノロジーの徳橋将史氏だ。NTTデータ フィナンシャルテクノロジーは、金融決済領域のビジネスを得意としているNTTデータのグループ会社で、近年はAIやセキュリティ、クラウドなどの技術ベースのビジネスも展開している。

徳橋氏は現在、自然言語処理を中心としたデータサイエンスやAIの商用開発、R&D業務に従事しており、今回は「AIエージェントがもたらす新たな価値創造」というテーマでセッションを行った。

AI領域は今、世界中から注目されている。例えば、2024年のノーベル物理学賞や化学賞を受賞した研究はいずれもAI関連だった。その中で最も注目を集めているのが生成AIである。

「生成AIは、AIエージェントのベースとなる技術です」（徳橋氏）

ChatGPTの登場から、約2年が経過した。生成AIは確実に進化しており、様々な変化を世界にもたらしている。精度の向上はもちろん、マルチモーダル化が進み、様々なビジネスケースで活用可能なモデルが登場している。

生成AIによる経済効果も期待されており、ボストンコンサルティンググループの分析によると、「生成AIの市場規模は、2027年に現在のおよそ4倍の1200億ドル規模にまで成長する」と、予想されている。

「最も大きな市場は、当社も得意としている金融・銀行・保険領域。次にヘルスケア、コンシューマー領域が続くと言われています」（徳橋氏）

「競争力の維持にはAIは不可欠」と考えているビジネスリーダーが多くいる一方で、日本ではAI活用が遅れているというレポートがある。その原因は大きく3つある。

1つ目は社内のセキュリティ整備が追いついておらず、外部ツールとして利用できない。2つ目は、AIに高い精度を期待しすぎており、ハルシネーションや精度が業務活用のハードルとなっている。3つ目は社内での専門チームの形成ができておらず、十分な投資ができていないことが挙げられる。

このような現状の中で登場してきたのが、AIエージェントである。

これまでの生成AIは、RAGをはじめとする検索用途や文章生成といった使い方が中心だった。一方のAIエージェントは、ユーザーの命令を理解し、自律的に様々な処理を実行する未来型のAIである。

つまり、従来のAIは言われたことには回答できるが、細かい指示をしないと思った回答を得ることができなかった。一方、AIエージェントであれば、「夏休みに海外旅行に行きたいので、最適なプランで予約をして」と指示すると、プランの検索や旅費の計算、予約など、本来、人が様々なプロセスを踏んで実現する処理を、AIが自律的に行ってくれる。

「このように順序立てて作業しなければいけないことを、一つ一つ自分で考えて、時には人間に聞き返しながら自律して実行できるのがAIエージェントの特徴です」（徳橋氏）

では、AIエージェントはどんな構成で実現するのか。「様々な研究が行われているため、決まった構成はありません」と、徳橋氏は言う。

そこで本セッションでは「脳」「知覚」「アクション」の3つの要素を用いて、環境を知覚する仕組みと、アクションをつなぐ脳として生成AIを使うものを、AIエージェントと定義している。

例えば「The AI Scientist」は、生成AIを複数組み合わせて実現する、論文作成のライフサイクル全体を自動化する「AI駆動型の論文作成システム」である。

新しい研究アイデアの生成から、必要なコードの作成、実験の実行、実験結果の要約と可視化、科学論文の執筆という5つのタスクを自動的に実施する。生成された論文を評価し、フィードバックを提供する自動ピアレビュープロセスも提供している。東京に本拠地を構えるユニコーン企業、Sakana AIが2024年8月にリリースした。

また、「Genspark Autopilot Agent」は、従来の検索エンジンの限界を超え、人間の優秀なアシスタントのように振る舞う。複雑な調査、クロスチェック、データ収集などの時間のかかるタスク処理をする、世界初の非同期AIエージェントである。

従来の検索エンジンでは正確な情報を得るためには、クエリを何度も言い換えたり、提供されたリンクをクロスチェックしたりする必要があり、時間の無駄が発生していた。

だが、このエージェントを使えば、ユーザーがプロンプトを入力するだけで、裏側で調査、クロスチェック、要約を自動的に行い、正確で信頼性の高い結果を提供してくれる。実際、人間がやると4時間かかっていた作業を、AIエージェントを使えば一瞬でできるようになるという。

「AIエージェントを実現するツールも増えてきています」と、徳橋氏は説明する。エージェントを業務で利用していくには、まずは特定の業務特化型エージェントから導入していく必要があるという。以下の図が代表的なツールである。

最新の生成AI関連の情報も紹介された。それが2024年9月にOpenAIが新たなAIモデル「o1-preview」のプレビュー版を発表したことである。OpenAIのCEOサム・アルトマン氏によると、o1（オーワン）はまだGPT2の段階だが、今後、GTP4と同等のレベルに到達するという。

同氏はOpenAIのAIレベルにおいて、まもなくレベル3の自律型のエージェントが登場するとも語っており、AIエージェントのさらなる進展が期待できるという。

「生成AIは今後、ホワイトカラーの仕事を補助していくAIエージェントにシフトしていくと考えられます。そのためにも今から市場環境に合わせて組織をビルドアップし、生成AIの活用を段階的に進めていくことをお勧めします」（徳橋氏）

【Q&A】参加者からの質問に登壇者が回答

セッション終了後、約10分間の質疑応答時間が設けられた。

Q．最近、生成AIで画像など扱えるものも増えているが、音声などを使って、リアルタイムな対話側のエージェントも実現できるのか？

徳橋：今の生成AIはテキストや画像などが中心ですが、最近OpenAIがリアルタイムAPIというものをリリースしました。これは音声も使うことができることを確認しているので、今後はそうしたAPIや生成AIが増えてくるのではと思います。

Q．プログラマではないので、エージェントといってもなかなか手をつけるのが難しいと思っているが、素人でも扱えるようなツールなど、お勧めのものがあれば教えてほしい

徳橋：DifyというツールはGUIベースなので、ドラッグアンドドロップなどでかなり作業を進めることができます。このようなローコードツールを使えば、導入のハードルが下がるのではないでしょうか。

Q．DoS攻撃対策の種別で一番攻撃が多いものを知りたい

阿久沢：帯域枯渇型攻撃が最も多く、脆弱性をつくタイプの攻撃が最も少ないと思われます。

株式会社NTTデータ
https://www.nttdata.com/jp/ja/

株式会社NTTデータの採用情報
https://www.nttdata.com/global/ja/recruit/

株式会社NTTデータ金融分野の採用ポータルサイト
https://finance-hr.nttdata.com/