☎️
「NTTデータのITスペシャリストが語る "推しの技"─個別技術DeepDive API アクセス制御・Dos攻撃・AIエージェント─」レポート
公開
2025-03-02
文章量
約3732字
2024年10月24日に開催された「NTTデータのITスペシャリストが語る "推しの技"─個別技術DeepDive」では、同社金融戦略本部の技術集約組織「TECH×FAMILY」に所属する3名のエンジニアが登壇しました。
今回のテーマは3つ。「Google Cloudをエンタープライズで活用するためのAPIアクセス制御」「DoS攻撃対策DeepDive」「AIエージェントがもたらす新たな価値創造」。
金融系ITに強みを持つNTTデータだからこその視点で、セキュリティやAIに関する“推しの技術”が熱く語られました。
TECH×FAMILYとNTTデータ金融高度技術本部について
このイベントの主催であるTECH×FAMILYは、「NTTデータの金融業界向けシステムを支える技術集約組織」です。
日本を代表する金融インフラ――決済や大規模オンラインシステムなど――を最先端の技術で支え、「市場にはあまり情報が出ない“金融IT”の泥臭さ」や「ユーザ企業の厳格な要件をどう満たすか」というリアルな知見を持っています。
そんな彼らが「われわれの“推し技術”を共有したい」という気持ちで始めた勉強会シリーズがTECH×FAMILY MISSION。
今回はその第12弾で、APIアクセス制御やDoS攻撃対策、そしてAIエージェントといった最新ホットトピックをディープダイブしました。
1. Google Cloudをエンタープライズで活用するためのAPIアクセス制御
最初のセッションでは、「セキュアなルーム(本番データを操作する専用エリア)をどのようにクラウド上で実現するか」という問いが提示されました。
金融業界ではオンプレ時代から、センシティブなデータ取り扱いのために“ハイセキュリティエリア”を設けるのが定番。
しかしパブリッククラウド化が進む中、「物理的に同じ敷地」という発想は通用しなくなっています。
vpcサービスコントロールとChromeエンタープライズプレミアム
登壇者によれば、Google CloudにおけるAPIアクセス制御のキモとなるのが、vpcサービスコントロールとChromeエンタープライズプレミアム。
- vpcサービスコントロール: 具体的にAPIの粒度でポリシーを設定し、「データの持ち込み・持ち出し」を制限できる機能。
- Chromeエンタープライズプレミアム: セキュアな場所(IPアドレス、IAMプリンシパルなど)からしかクラウドコンソール/APIにアクセスできないように設定する仕組み。
さらに、X-GoogApps-Allowed-Domainsヘッダーを活用して「他組織アカウントでのログイン禁止」を実現したり、X-Goog-Allowed-Resourcesで「他組織リソースへのアクセス」を遮断することもポイントとして紹介されました。
端的に言うと、「ハイセキュリティエリアからクラウドに接続する際のAPIアクセスを、ロケーション/アカウント/リソーススコープの3段階で厳密に制限する」のが実装イメージ。これらを組み合わせることで、“クラウド版セキュアルーム”を整備できるわけです。
「ただしプロジェクト固有の要件に応じ、さらに追加対策や設計が必要になる」とのこと。金融の規制・監査要件は厳しいですが、クラウドの仕組みを正しく理解すれば、セキュアな利用も十分可能――。
実際に大規模金融システムを扱うNTTデータらしい現場感にあふれたセッションでした。
2. DoS攻撃対策DeepDive
2つ目のテーマは「DoS攻撃」。メディアでも耳にするDoSやDDoS攻撃だが、意外に本質を理解しきれていないケースもあるでしょう、と登壇者は切り出します。
動機・手口・対策を総ざらい
- DoS(サービス拒否攻撃): 大量のリクエスト/データを送りつけて、システムをダウンさせる。
- DDoS(分散型DoS): 攻撃元を多数に分散し、さらに強力にシステムを圧迫する。
- 動機は「政治的思想」「ストレス発散(!?)」「金銭目的(ランサムDoS)」など。特に政治的背景で官公庁・金融機関が狙われるケースも後を絶たない。
3種類の攻撃パターン
- 待機枯渇攻撃:大量のトラフィックでネットワーク回線を埋め尽くし、サービスに到達できなくさせる。攻撃者側はボットネットや反射型攻撃(DNSの大きな応答を被害者へ転送する)など、効率的にデータを送る手法を駆使する。対策としてはISPやCDNレイヤーでトラフィックをブロックするのが鍵。
- リソース枯渇攻撃:「スローロリス」的に長いリクエストでサーバのセッションを奪い続け、リソースを占有して使えなくする。これはサーバ側のチューニングやWAF、対ロリス攻撃モジュールなどで対抗可能。
- 脆弱性悪用攻撃:アプリやOSの脆弱性を突いて、少ないパケットでサーバをクラッシュさせる。これはセキュリティパッチ適用が何より有効。
DoS攻撃は極めて多様で、攻撃手段によって防衛策も異なるため、総合的な設計が必須。特に金融システムは狙われやすい背景もあり、NTTデータ金融チームとしても日頃からISP・CDN等の外部サービスやサーバ設定を組み合わせ、重層的に対策しているそうです。
3. AIエージェントがもたらす新たな価値創造
最後は「AIエージェント」。いわゆるチャット型生成AIが広まる中、さらに「自律的に複数のAIモデルを組み合わせてタスクを実行する」動きが注目を集めています。
AIエージェントの概念
- 従来はユーザが生成AIに質問→回答、という対話型が中心。
- AIエージェントはそこから発展し、「複数のAIモデルやツールを組み合わせ、目的を達成するために“自律的に”計画→実行→検証を繰り返す」仕組み。
- 例えば旅行の手配なら、ユーザーが「数日間の旅行計画を立てて予約してほしい」と言うと、エージェントが日程を提案し、ホテルや交通機関を予約し、必要な情報をすべてまとめてくれる…という動きが可能になる未来が近づいている。
事例の紹介
- “the AI Scientist”: 大規模論文のアイデア出し~実験~執筆まで自動で行う仕組み。
- JenSpark AutoPilot: 検索結果のクロスチェックやファクトチェックを自動化し、最終的に整合性のある結論を返す検索エージェント。
まだ研究段階ながら、「自動で仕事を進め、必要に応じて人に確認をとる」形が実現しつつあるとのこと。
AIエージェントを構築するフレームワークとしてMicrosoft GuidanceやLangChainのマルチエージェント拡張などが注目されており、ノーコード・ローコードでエージェントを扱えるDEFYといったツールも出始めています。
生成AI導入の3つの壁
NTTデータ内でも多くの企業が生成AIに興味を持つ一方、「セキュリティ要件が厳しく外部ツールを使えない」「AIのハルシネーションで精度が不安」「AIエンジニアが足りない/投資の優先度が低い」といった理由で導入が進まない例も多いそう。
しかしエンジニアによれば、「エージェントの万能化を待つのではなく、段階的にAIを導入し社内カルチャーやプロセスを整えることが大切」と強調していました。
全体を踏まえた感想【「技術×金融」で生まれるエキサイティングなチャレンジ】
今回のイベントを通じて強く感じたのは、NTTデータという“金融ITの巨人”が持つ「大規模・ミッションクリティカルなシステムを守り・進化させるリアル」が非常に奥深いということ。
- APIアクセス制御では、金融ならではの厳しい監査要件を満たすために、Google Cloudの機能を巧みに組み合わせ、セキュアルーム相当の仕組みをクラウドで再現している。
- DoS攻撃対策では、政治的・金銭的動機が入り乱れる中、大量のトラフィック攻撃やリソース占有攻撃、脆弱性悪用など多彩な手口に備える必要がある。
- AIエージェントは「単なるチャットボット」からさらに進化した、自律的な作業実行役として今後金融業務でも期待が高まるが、まだ社内手続きやIT基盤整備が整わないケースもある。
いずれのテーマも「強固なセキュリティや信頼性を最優先しつつ、新技術をどう実用化するか」という金融IT特有の視点で掘り下げられたのが興味深いところ。まさに“推しの技術”の実践現場が垣間見えた勉強会でした。
さらなる挑戦に向けて
NTTデータ金融行動技術本部は、こうした技術的難易度の高いシステムを多数抱える中で、クラウドネイティブな設計やAIの先端研究、セキュリティ対策を組み合わせて課題解決に挑んでいます。
まさに「金融インフラ×最新技術」の最前線であり、業界ならではの独自知見を深める格好のフィールドといえるでしょう。
「我々が支える金融インフラは表には出づらいが、実は日本の経済活動を影で支え、世界中のITトレンドにも柔軟に適応している」――。そんな熱意が感じられる内容でした。
今後もTECH×FAMILYの勉強会シリーズは続いていくそうなので、気になる方はぜひチェックしてみてはいかがでしょうか。
Yardでは、テック領域に特化したスポット相談サービスを提供しています。
興味がある方は、初回の無料スポット相談をお申し込みください。
また、資料請求やお問い合わせもお待ちしております。テック領域の知見を獲得し、事業成長を一緒に実現していきましょう。
