内部業務網 SaaS 活用 — SHIELD Gate で安全かつ便利に
この文書の目的
金融業界の内部業務ネットワークでSaaSを活用する際には、金融監督院の根拠規定と金融セキュリティ院が案内するセキュリティ管理方針を備えることが前提です。SHIELD Gateは、利用者側で接続・行為・ログを一貫して管理し、要件を遵守しながらSaaSを複雑にせずに使用できるように支援する製品です。SHIELD Gateサービスの利用に必要なCSP(クラウドサービスプロバイダー)の安全性は、金融機関またはSOFTCAMPが金融専用SaaSプラットフォームで認証(安全性評価など)を取得する予定で進めています。(監督の解釈・決議・利用報告などの詳細な義務は契約・サービス条件および監督の最新ガイドラインに従い、本書は法律相談ではありません。)
製品基準
メニュー・機能・手順は [管理者ガイド](../../管理者ガイド/管理者ガイド.md) · [ユーザーガイド](../../ユーザーガイド/ユーザーガイド.md) が正式な基準です。この文書はセキュリティ管理とSHIELD Gate機能の関連関係を説明します。
なぜSHIELD Gateなのか
| 観点 | 説明 |
|---|---|
| セキュリティ(コンプライアンス) | RBI(隔離ブラウザ)によって、第三者アプリ・ローカルプラグインが業務接続経路に介入できないように根本的にブロックし、アクセスするアプリ・URLは事前に登録・許可されたリスト(ホワイトリスト)に限定します。リストにないアプリ・URL・移動は接続時にブロックされ、ファイル・クリップボードなどの行為制御とログによる監督・ガイドが要求する接続制御、外部拡張の制限、利用モニタリングをエンドユーザー区間で設計できます。 |
| 業務(便宜) | ユーザーはログイン後、承認されたアプリを選択するか、業務に許可されたURLのみを使用するように設定すると、接続経路が単純化され、ポリシーやログを一箇所で管理しやすくなります。(構成・ポリシーによって異なる場合があります) |
| 運用(可視性) | 誰が・いつ・どのSaaSにアクセスしたのか、URLの移動・ファイル・クリップボード・入力検査の履歴がログに残り、監査・チェック・異常兆候への対応に活用できます。 |
CSP(クラウド)安全性認証はSHIELD Gateサービス利用の前提条件であり、金融機関またはSOFTCAMPが金融専用SaaSプラットフォームで取得する予定です。契約・SLA・SaaS管理コンソール・IdP/ネットワーク設計などの残りの管理は機関がSaaS・ネットワーク側で実施し、端末・ブラウザ・接続行動はSHIELD Gateで一貫して管理できます。
1. 監督・ガイドのセキュリティ管理 ↔ SHIELD Gate
左の列は「電子金融監督規則施行細則」および金融セキュリティセンター「内部業務網SaaS」セキュリティ解説書などに記載されている管理面を要約したもので、中央の列はSHIELD Gateで可能な措置を、右の列は機関・SaaS・網で並行して行うべきことを含んでいます。
| セキュリティ管理(要点) | SHIELD Gate側の措置(要旨) | 機関·SaaS·ネットワークで共に行うこと(要旨) |
|---|---|---|
| CSP(プロバイダー)の安全性 | SHIELD Gateサービスを利用するために、金融機関またはSOFTCAMPが金融専用SaaSプラットフォームで認証(安全性評価など)を取得する予定です。 | 利用報告・書類・監督の最新案内などは、機関・サービス契約に従う(金融セキュリティセンターCSP評価手順を参照) |
| 接続端末 | 条件付きポリシー(業務システム)で許可されたIP・時間などの接続条件を満たす場合にのみ接続されます。端末認証機能は今後導入し、事前登録された端末のみがSHIELD Gateを使用できるようにサポートする予定です。(6節 サポート予定機能参照) | MDM·ワクチン·資産管理 |
| 許可されていないインターネット・アプリ/プラグイン | URLは事前に許可・登録されたアドレス(ホワイトリスト)だけに��アクセスできるように制御され、それ以外のURL・移動はブロックされます。第三者アプリ・ブラウザプラグインはRBI(隔離ブラウザ)構造で根本的にブロックされます。 | SaaS コンソール Add-in·共有など |
| 認証・権限 | SHIELD IDIdPをサポートして、登録アカウント管理とさまざまなSaaSサービスの連携を提供します。 | SaaS管理者MFA・役割設定 |
| データ・入力 | トラフィックを中間で分析するProxy方式ではなく、ユーザーが入力する時点で直接データを検証・制御します。ファイル・クリップボード・印刷制限と敏感情報入力検査をエンドポイントで即座に適用します。 | DLP·データ分類·SaaS設定 |
| ネットワーク・暗号化 | HTTPS クライアント パス | 大顧客・SaaS用ネットワーク分離・N/W設計 |
| ログ・監視 | 接続・URL変更・クリップボード・入力ログ、生成型AI使用ログ(選択) | SaaS 監査ログ·SIEM |
| 常時管理 | ポリシー・URL変更手続き・ログレビューの役割 | 担当・教育・インシデント |
ログイベント・コードは[ログ管理](../../管理者ガイド/ログ/ログ管理.md)を参照してください。
2. 運用ガイド (SHIELD Gate)
2.0 接続端末
- 接続可能かどうかは、条件付きポリシー(業務システム)に設定された許可されたIP・時間などの条件を満たしているかどうかによって決まります。条件に合わない場合は接続できません。
- アクセスアプリ・URLは事前に登録・許可された項目(ホワイトリスト)だけを許可し、それ以外のアプリ・URL・移動はブロックされます。**RBI(隔離ブラウザ)**でエンドユーザー側の接続を制御し、第三者アプリ・ローカルプラグインはRBI構造上、端末での業務セッションに介入できないため、根本的にブロックされます。
- デバイス認証は、上記の条件付きポリシーに加えて、登録されたデバイスのみがSHIELD Gateを使用できるようにする機能として今後サポート予定です。(機能名・UI・手順・スケジュールは発売時に)ユーザー/管理者ガイド下記の6節のサポート予定機能リストを更新します。)
2.1 アクセス・アプリ・URL
- SHIELD Gateでアクセスまたは移動できるアプリとURLは、管理者が事前に登録・許可したリスト(ホワイトリスト)に含まれているものだけです。リストにないアプリ・URL・サイトへの移動はブロックされます。(ポリシー・メニューによって制限の詳細は異なる場合があります)
- 条件付きポリシー(業務システム)でアプリ/URL入力欄の許可の有無・最大画面数をまず決定し、業務で使用するSaaSのみをアプリ・URLリスト(ホワイトリスト)に追加します。
- URLを任意で入力する流れが必ず必要でない場合、URL入力欄をオフにすることが使いやすさや制御の観点から有利な場合が多いです。
- 同じセッションで他のサイトへの広範な移動を許可すると、制御漏れが発生しやすくなるため、URL条件付きポリシーの「サイト移動」・URL範囲を業務に合わせて調整します。
関連:[条件付きポリシー](../../管理者 ガイド/業務システム/業務システム 制御/条件付きポリシー.md) · [URL 登録](../../管理者 ガイド/業務システム/URL/URL入力画面 一覧.md) · [URL 条件付きポリシー](../../管理者 ガイド/業務システム/URL/URL入力画面 条件付き ポリシー.md) · [アプリ 条件付きポリシー](../../管理者 ガイド/業務システム/アプリ/アプリ 条件付き ポリシー.md)
2.2 プラグイン・検索・外部リンク
- サードパーティアプリとブラウザプラグインの制御は**RBI(Remote Browser Isolation, リモートブラウザアイソレーション)**構造が前提です。業務画面は隔離されたリモートブラウザで開かれるため、ユーザーPCにインストールされた拡張機能は業務セッションにそのまま適用されず、ローカル・端末側の任意の拡張が根本的にブロックされます。
- 検索エンジン連携を使用する場合、検索結果のURLがポリシーに含ま�れるように事前に反映します。
関連:[PACファイル設定](../../管理者ガイド/設定/PACファイル設定.md)
2.3 認証・権限
- SHIELD IDIdPをサポートして登録されたアカウントを一元管理し、MFAやさまざまな認証手段を適用できます。
- 内部ネットワークでADなどで管理されている既存のアカウントとプロビジョニング(Provisioning)を連携させ、アカウントの作成・変更・削除を統合管理できます。
- さまざまなSaaSサービスとSSO(シングルサインオン)を連携させることで、ユーザーは別途再認証することなく許可されたSaaSにアクセスできます。
2.4 データ・入力
- SHIELD Gateは、トラフィックを中間で傍受するProxy方式とは異なり、ユーザーが実際に入力する時点でデータを直接検証し、制御します。これにより、敏感情報が外部に送信される前にエンドポイントで即座にブロック・管理することができます。
- ダウンロード・アップロード・クリップボード・印刷は、URL/アプリの条件付きポリシーで業務に必要な範囲に制限します。
- [入力敏感情報管理](../../管理者ガイド/業務システム/入力敏感情報管理/入力敏感情報管理.md) 検査ポリシーと全社DLP·SaaS設定を並行します。
- 生成型AI SaaSは提供者側の学習・フィードバックの無効化を優先し、[生成型AI使用ログ](../../管理者ガイド/ログ/生成型AI使用ログ.md)(任意)で利用を可視化します。
2.5 ログ
- 誰が・いつ・どのアプリ/URLにアクセスしたのか、URL移動・クリップボード・入力検査などのユーザーログで監査資料を確保します。SaaS側の監査ログ保持期間などはSaaS・集計システムで実施します。
関連:[ログ管理](../../管理者 ガイド/ログ/ログ管理.md) · [生成型AI使用ログ](../../管理者 ガイド/ログ/生成型AI使用ログ.md)
2.6 ユーザー(参考)
- [業務システムへの接続(ユーザー)](../../ユーザーガイド/業務システム/1. 業務システム接続案内.md)
3. チェックリスト
-
条件付きポリシーに事前登録(ホワイトリスト)されたアプリ・URLのみがあります。URL入力欄が不要な場合はオフにしました。
-
ホワイトリストにないアプリ・URL・任意の移動・接続はポリシーによってブロックされます。
-
ポリシー・URLの変更と管理者ログのレビュー周期があります。
-
ユーザーログの保存・閲覧手続きは監査目的に適しています。
-
敏感情報の検査・ダウンロード/クリップボードの制御は内部分類と一致しています。
-
生成型AI使用時(選択)AIログ・SaaS学習設定の確認が行われる。
4. 管理者ガイド クイックマップ
| やりたいこと | 文書 |
|---|---|
| アプリ/URL·最上位許可 | [条件付きポリシー](../../管理者ガイド/業務システム/業務システム制御/条件付きポリシー.md) |
| URL 登録 | [URL入力欄の一覧](../../管理者ガイド/業務システム/URL/URL入力欄の一覧.md) |
| URL 行為 | [URL 条件付きポリシー](../../管理者ガイド/業務システム/URL/URL入力欄 条件付きポリシー.md) |
| アプリの動作 | [アプリ条件付きポリシー](../../管理者ガイド/業務システム/アプリ/アプリ条件付きポリシー.md) |
| 入力敏感情報 | [入力敏感情報管理](../../管理者ガイド/業務システム/入力敏��感情報管理/入力敏感情報管理.md) |
| メニュー·検索 | [使用設定](../../管理者ガイド/設定/使用設定.md) |
| ログ | [ログ管理](../../管理者ガイド/ログ/ログ管理.md) · [生成AI使用ログ](../../管理者ガイド/ログ/生成AI使用ログ.md) |
| 隔離ブラウザ | [業務システム接続案内](../../ユーザーガイド/業務システム/1. 業務システム接続案内.md) |
5. 参考資料
金融業_内部業務網_SaaS_ネットワーク分離_例外_適用に関する_セキュリティ_解説書.pdf
金融業_内部業務ネットワーク_SaaS_利用_制度化_関連_FAQ.pdf
6. SHIELD Gate サポート予定機能 (リスト)
規定ガイドでSHIELD Gateのサポート予定機能・ロードマップを一箇所で見ることができるようにまとめたリストです。
| 機能(仮称) | 概要 | 状態 |
|---|---|---|
| 端末認証 | 条件付きポリシー(IP・時間など)に加え、事前登録された端末でのみSHIELD Gateを利用可能(未登録端末はブロックされます) | サポート予定 |
文書の維持: サポート予定機能が増えると、この表に行を追加または修正し、§1 マッピング表・§2.0 本文と用語を合わせます。