IIJ GOJAS Meetup material

1. 1
© Internet Initiative Japan Inc.
会社名：株式会社インターネットイニシアティブ
所属：金融営業本部Raptor事業推進本部Raptor開発部運営2課
2025年12月22日
Raptor振る舞い検知ソリューション×Splunkによる金融犯罪対策と運用知見

2. 2
株式会社インターネットイニシアティブのご紹介

3. 3
IIJのなりたち
国内初の「商用インターネット接続サービス」事業者です。
東証上場時
創業時オフィス
IIJは、1992年に設立され翌年「日本初の商用インターネット接続サービス」の提供をはじめました。以来、IIJグループはネットワーク社会の基盤をつくり、技術力でその発展を支えてきました。IIJは、これか
らもインターネットの進化を支え続けていきます。
2022年12月3日に30周年を迎えました
IIJは、高い技術力で“国内初“を創り続けています。
➢ 1993年 国内初 商用インターネット接続サービス提供開始
➢ 1994年 国内初 ファイアウォールサービス提供開始
➢ 1999年 国内初 サービス品質保証制度（SLA）を導入
➢ 1999年 国内初 IPv6の商用実験サービスを提供開始
➢ 2003年 国内初 ルータ管理システム「IIJ SMF」を開発し特許取得
➢ 2005年 国内初 送信ドメイン認証技術の導入を開始
➢ 2011年 国内初 外気冷却を利用したコンテナ型データセンターを開設
➢ 2018年 国内初 フルMVNOとしてサービス提供開始

4. 4
イニシアティブの軌跡
インターネット接続サービス提供開始
インターネットのビジネスにおける活用を加速させるため、国内初のインターネットの
商用接続サービスを開始。
ファイアウォールサービス提供開始
ネットワーク機器のアウトソース志向の高まりに応じて国内初のファイアウォール運
用・監視サービスを開始。
サービス品質保証制度
（SLA）
を導入
回線遅延により品質が求められる中で、インターネット接続サービスをお客様に保
証する国内初の制度を開始。
IPv6 の商用実験サービスを提供開始
IPv4の枯渇問題にいち早く取り組みを開始し、国内初のIPv6の通信を行う仕
組みを開発。
リソースオンデマンドサービスを開始
サーバなどの必要なリソースを柔軟に利用可能なクラウドサービス（IaaS）の先
駆けとなる「iBPS」を開始。
ルータ管理システム「IIJ SMF」を開発
ルータ設置の課題を解決するため、独自ルータ「SEIL」を管理する国内初のシステ
ムを開発し、特許を取得。煩雑なルータの現地設定を不要に。
送信ドメイン認証技術の導入を開始
迷惑メールへの対策として、早期から送信ドメイン認証の実用に取り組み、国内初
のサービスへの導入を開始。
松江データセンターパークを開設
求められるコスト最適化のため、国内初の外気冷却を利用し、収容効率を高めたコ
ンテナ型データセンターを開設。
情報分析基盤
（SOC）
の構築
高度化する脅威に対し、早期の発見・対処を実現するため、バックボーン上のログを
解析するSOC基盤を構築。
フルMVNOとしてサービス提供開始
NTTドコモ網を利用する国内初のフルMVNOとして、独自のSIMカードを発行・管理
し、柔軟なサービス設計を実現。
インターネットを商用化
研究目的の限定的利用 ビジネスへの活用
199
3
199
4
199
9
199
9
200
0
200
3
200
5
201
1
201
6
201
8
時代を先取りした取り組みでITサービスの発展に貢献
201
9
白井データセンターキャンパス開設
IIJの技術を結集し、新技術を積極的に導入するシステムモジュール型データセン
ター。DXの本格普及に向けた新しいDC需要に対応可能。
202
3
マルチプロファイルSIMの提供開始
1枚のSIMカードの中に、複数の通信事業者のプロファイルが入り、
障害時に1枚のSIMで携帯電話網を切り替えて通信できるSIMを提供。

5. 5
IIJ FX Raptorのご紹介

6. 6
IIJ FX Raptorのご紹介
金融サービス事業者様向けサービス「IIJ FX Raptorサービス」
データセンタから取引業務システム、Webチャネルアプリケーションまで全てを自社で開発している金融サービス事業者様向けSaaS。
外貨、先物、株式を中心に秒間数万件の約定、情報配信を実現し、ディーリングから外銀カバーまで実施可能なシステム。
国内多くの銀行、証券会社、FX専業の事業者様の裏側でFX/CFD/株取引/外貨預金カバーなどをご提供しています。
OTC FX/外貨カバー
取引所FX/CFD
取引プラットフォーム 取引プラットフォーム 投資家向けクライアント
取引プラットフォーム
IIJ白井データセンタ
取引チャネル Griffin
OTC CFD/CFDカバー 株式チャネル
データ解析 不正検知
ディーリングシグナル
取引ダッシュボードツール
不正アクセス
不正取引モニタリング

7. 7
外貨関連、モダンアプリケーション構築、セキュリティでお困りの際には
セキュアコンテナ
オートセキュリティスキャン
Web Container(pod)
httpd container
tomcat container
…
scan
• 取引状況に応じたGitOpsによる迅速なリソース拡張
• 全ポジション毎秒値洗可能で、秒間数万件の約定を実施可能な
スケーリングアプリケーションアーキテクチャ
• システム障害に対して自動的に復旧するシステム構成
web01 web02 web02
Auto Healing
web03
Scale
お客様接続回線
仮想サーバーリソース
専用ベアメタル
リソース コンテナリソース
低レイテンシーネットワーク
CounterParty
専用回線
マルチクラウド
エクスチェンジ
Prometheus
IIJバックボーン
• FX専用 IIJバックボーン接続
• 広帯域DDoS対策設備
• IIJセキュリティソリューション
Firewall、IDS/IPS、WAF
✓ FX(外国為替証拠金取引)、商品CFDの相対・取引所取引を始めたい方々 (自社提供・他社ホワイトラベル参加)
✓ 外貨カバー(銀行、外貨預金)の業務の簡素化を行いたい。レイテンシの低いカバー基盤(外銀接続、Equinix接続など)を行いたい方々。
✓ ディーリングの収益を向上させたい方々。投資家様の取引情報をリアルタイムに可視化したい方々。
✓ アプリケーションのクラウドLift and Shift、コンテナ化、CI/CD取り入れなどモダナイゼーションを推進したい方々。
✓ 振る舞い検知(リスクベース認証)など、高度な業務セキュリティ機能を実装したい方々。
どのような事をお手伝いできるのか
現在のIIJ FX Raptor概要図

8. 8
振る舞い検知の必要性について

9. 9
オンライントレーディング市場動向
• 日本証券業協会の「インターネット取引に関する調査」の調査対象会員264社のう
ち94社（35.6％）がインターネット取引を行っている。
• インターネットの取引口座数は4,682万口座と微増傾向が続いている。
• 口座開設から取引までスマートフォンで完了可能なスマホ証券では、若年層・投資
初心者をターゲットに、数百円の少額投資や各種ポイントと連携した投資の仕組み
で口座数増加を後押し。
• 一方、証券口座を狙った不正送金被害が増えおり、2025年5月8日には金融庁が
注意喚起を行っている。金融庁の発表によれば、2025年3月以降は特に被害が増
加。4月に不正取引が発生した証券会社は9社、不正アクセス件数は4,852件と1
月の約75倍となっている。
• 上記は、金融庁が取り纏め時点で各証券会社から報告を受けた数値を合計した暫
定値であり、まだ判明していない不正アクセスや不正取引が存在する可能性がある
ため被害は更に大きくなる可能性もある。
• 2025年7月時点で累計の不正売買額は約5710億にのぼる。
引用元： YDB / 2024 ネット通販市場、日本証券業協会 / インターネット取引に関する調査
インターネット取引の口座数は、個人および法人合わせて4,207万口座となり増加傾向。
近年、インターネット取引を狙った不正アクセス・不正取引による被害が急増。
80
85
90
95
0
20,000,000
40,000,000
60,000,000
2019 2020 2021 2022 2023 2024
インターネット取引を行っている証券会社数と口座数推移
口座数 社数
2025年 1月 2月 3月 4月
不正取引が発生した証券会社 2 2 5 9
不正アクセス件数 65 43 1,420 4,852
不正取引件数 39 33 687 2,746
売却金額（円） 約0.8億 約1億 約129億 約1,481億
買付金額（円） 約0.7億 約0.6億 約128億 約1,308億
※ 売却金額、買付金額は不正な売却・買付代金の総額を示したものであり、当該金額は不正取引により生じた顧客
の損失額と一致しない。
証券口座の不正取引発生状況
引用元：金融庁 / 注意喚起「インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています

10. 10
現状の自主規制ガイドライン
日本証券業協会の自主規制ガイドラインの状況
➔ 上記ガイドラインを準拠する手段として、振る舞い検知ソリューション が有効
日証協、「インターネット取引における不正アクセス等防止に向けたガイドライン」の改正について（2025/10/15）https://www.jsda.or.jp/about/public/kekka/files/20251015_PCsankou1_internetgl.pdf
※5.モニタリングより抜粋
【スタンダード】
（１）ログイン時における不正アクセスの検知等
ログイン時の挙動の分析による不正アクセスの検知（ログイン時の振る舞い検知）及び事後検証に資するログイン・取引時の情報（位置情報、端末情報、
接続元 IP アドレス、接続元ポート番号等）の保存を実施する。
（２） 不正アクセスの評価（リスクベース評価）に応じた追加の本人認証・遮断対応等
不正アクセスの評価に応じて追加の本人認証を実施するほか、当該不正が疑われるアクセスの適時遮断、不正アクセス元からのアクセスのブロック等の対応を
行う。
【ベストプラクティス】
上記（１）・（２）に加えて、ログイン後の挙動の分析による不正アクセスの検知（ログイン後の振る舞い検知）を実施することが望ましい。
【スタンダード】
会員各社において、対応が必要とされる事項
【ベストプラクティス】
会員各社の規模・サービス内容や顧客特性、並びに犯罪手口の巧妙化・複雑化を踏まえた上で、対応することが望ましいとされる事項

11. 11
Raptor振る舞い検知ソリューションで実現できる不正アクセス対策

12. 12
振る舞い検知ソリューションとは
振る舞い検知ソリューションの仕組み
• システムにおけるユーザのアクティビティを監視し、通常と異なる挙動を検知
• fluentd, fluent-bit, REST, Hulft, FTP など様々な転送手段や転送タイミングに対応いたしますのでログの形式を変えずに転送が可能
• お客様への通知手段はWebAPI, Teams, Slack などにも対応
• お客様のアプリケーションログはオンプレ・クラウドどちらの環境にあっても処理が可能
• データは個人情報がマスキングされ、クレンジングにより必要なデータのみ、暗号化してシステムに格納
攻撃者
不正操作の試行
遮断対応
振る舞い検知システム
・認証元IP 確認
・アクティビティ傾向確認
・アクセス環境解析
・クッキー解析
事業者様システム
事業者様
ログ転送
不正オペレーション検知の通知
本人確認
口座停止
事象検知
アクセス操作ログ
アプリケーションログ
WAFログ
Firewallログ
その他
IIJ担当者
検知ポリシー・しきい値
に基づいた解析処理

13. 13
• ユーザーごとのアクティビティを以下のような観点から分析
振る舞い検知ソリューションの解析処理概要
振る舞い検知ソリューションで実現できる不正アクセス対策のルール例
No 大項目 検出内容
1 ログイン解析 過去に利用の無い国からのログイン試行検知
普段とは異なるデバイス・IPからのログイン試行検知
同一IPで複数アカウントへのログイン試行検知
多数IPで単一アカウントへのログイン試行検知
多回ログイン試行失敗後のログイン成功検知
口座ロックに抵触しない範囲でのブルートフォースアタック検知
2 アクセス解析 Threat Inteligenceをもとに不正なクライアントIPからのアクセス検知
短時間で物理的に不可能な地点からの移動が疑われるアクセス検知
ログインページをスキップし、直接認証エンドポイントへのアクセス試行検知
3 オペレーション解析 複数のIPによる同一口座でのオペレーション検知
ログイン後すぐにパスワード変更、メールアドレス変更、出金先口座変更の検知
No 大項目 検出内容
3 オペレーション解析 同一デバイスで短時間に複数アカウントでの設定変更検知
セッションが同一だが、異なるデバイスからの操作検知(セッションハイジャック検出)
複数IPを使用した送金オペレーションの検知
4 取引解析 過去最大取引額以上の取引検知
長期保有商品の一括売買検知
自動売買が疑われる口座の検知
5 ユーザプロファイル 普段の傾向とは異なるページ遷移、利用時間帯の分析
1ヶ月間におけるログイン平均認証失敗件数を大きく超えるログイン試行
普段と異なる銘柄、市場、取引種別の検知
経済指標や為替に連動した機械的な取引の分析
口座毎の出金額の標準偏差から通常の範囲を超える高額送金の検知
• 各ルールにスコアを設定し、ユーザごとのスコアリング・アクション判定を行うことも可能
• シナリオ例：東京在住者が外国から(+30)深夜(+10)にログインしデバイス(+30)が異なる ⇒60を超えたのでアラート発報
• 各ルールをトリガーとして、閾値未満のイベントもユーザ単位でリスクに蓄積
• 口座に対して重み付け(個人、法人、作成時期、資産ボリュームなど)を行い、判定要素としてリスクベース分析を実施することも可能

14. 14
Splunkを利用する意味・有用性・採用理由

15. 15
Splunkを利用する意味・有用性・採用理由
Splunk Enterprise Security
• セキュリティに特化したアプリケーション
豊富なセキュリティコンテンツ（Correlation
Search、Notable Event、リスクベース分析フ
レームワーク）を備えている
• リスクスコアリングと優先度付け
単発のイベントではなく「一連の行動」を重み付けし、
リスクスコア化できる
• インシデント管理・ワークフロー統合
ES の Notable Event Framework により、検
知後の調査・対応フローを自動化できる
Splunk Core
• 統合ログ基盤としての強み
多種多様なシステム（金融取引システム、Web
アプリ、認証基盤、ネットワーク機器など）からログ
を収集・正規化し、横断的に検索できる
• 高速な検索・分析能力
SPLによる複雑な条件での行動パターン抽出や時
系列相関分析が可能
• 拡張性とスケーラビリティ
金融機関で求められる大規模トランザクションログ
でも安定的に取り扱える
Raptor振る舞い検知ソリューション
• ログイン後も含めた不審な挙動も検知可能
ログ解析型のソリューションとして、ログインや入出金
等ピンポイントではなく、各種操作を横断的に監視す
ることが可能
• アプリ改修なしで導入可能
システムですでに出力しているログを転送するで導入
が可能
• 金融システムを熟知した豊富な検知ルールと知見
不正送金/乗っ取りの行動パターン分析、機械的ア
クセスの特徴量検知、複数口座利用の相関モデル、
リアルタイム検知と過去ログ調査の両立
利用している製品
• Splunk Core と Splunk Enterprise Security
Splunk × Raptor振る舞い検知ソリューションで実現できること
統合ログ基盤 × セキュリティ特化機能 × 振る舞い検知 = 金融犯罪対策の新戦略

16. 16
運用してみて

17. 17
実際に検知した一例と想定外の事象
1. 機械アクセス・機械取引が疑われる口座の検知
• 24時間でほぼ毎時間アクセスを行っている口座
• 正規ユーザでもセッション維持等のためスクリプトやマクロを用いたアクセスを行っているユーザが一定数存在する
• VPS環境からアクセスを行っているユーザが存在する：機械取引環境の整備目的
• 人間の打鍵速度では実現できない頻度で注文を行っている口座
• 機械取引の良し悪しはさておき、短時間で多量のトラフィックを出すため外れ値として検出されたり統計処理に影響を及ぼす
2. 同一IPからの複数口座利用
3. 複数IPからの単一口座利用
• 同一IPで個人口座と法人口座を使っているユーザが検出された
• 運用過程で各口座ごとに正規に共有が想定されるペアをホワイトリスト化して運用負荷を軽減
• 想定以上にIPアドレスの共有が一般的に認められている通信元からのアクセスがあった
• クラウドプロバイダ（例：AWS）は匿名ネットワークや仮想サーバ(VPS)提供に同一のIPレンジを利用しているため
単純にIP情報のみで判別するのは困難
4. ログイン時とログイン後のセッションが同一で端末が異なる口座
• 正規ユーザでもセッション引継ぎ機能を使っているユーザが存在する
運用してみて
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.13 Safari/605.1.15
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.13 Mobile/15E148 Safari/604.1

18. 18
実際に検知した一例と想定外の事象
5. ユーザの利用環境がアップデートされていないためにBot判定されるケースがある
• UA-CH（User-Agent Client Hints）非対応環境では、UA情報の信頼性が低下
• プライバシー保護の流れでブラウザがUAを制限し始めており、今後は端末判定に利用できる情報が減っていく
運用での学び
• ルールひとつひとつは異常性のきっかけに過ぎない
• 高頻度・連続アクセスが必ずしも不正とは限らない
• 単一パラメータ（IP、UA情報等）では異常性を特定しずらい
• 業務内容によっては一見異常利用に見えるケースがある
• 1ユーザが複数の口座（個人・法人）を使用する
• 単発ルールではなく“相関・文脈・精査”が不可欠
• 検知した口座やIPの調査フローの制定
• ドリルダウンクエリの作成
日々のルール/運用アップデートが必要不可欠
• エンジニアによる潰し込みと改善
• しきい値（時間・頻度）の調整、運用調査フローの見直し、新たな攻撃手段への対応
• このサイクルを回すことで、検知精度と実効性が育っていく
運用してみて
1.ルール検知
2.複合判定・相関分析
3.文脈付与・特性理解
4.人による判断
5.異常確定
検知はゴールではなくスタートであり、ルール・運用を磨き続けるサイクルこそが、検知精度と実効性を育てる

19. 19
アプリケーショントランザクション制御
• Splunkの判定を業務システムにリアルタイム連携
• 高リスク時には特定操作前に追加の本人確認やセッション剥奪・トランザクション遮断を行う機能の開発
• 構成イメージ
Splunkを用いたフィーチャーセット
クエリ自動ドリルダウンの導入
• 不審イベントが発生した際、自動で関連ログに深掘り
• エンジニアの一次調査を自動化し、調査時間を大幅短縮
LLMとの連携
• 調査活動の自動化、自然言語での検索、アラート文脈の解釈
Raptorの垣根を越えた提供
• Raptorの知見を活用した金融犯罪特有のリスクシナリオを捉えるノウハウを蓄積
• FXに限らず、証券・銀行・保険・ECサイトなど幅広いサービスに適用可能と考えているため、ぜひお声掛けください
エンドユーザー
PC・タブレット スマホ
振る舞い検知システム
統計解析 機械学習
AP + DB
• 高速参照可能なDB
の構築
• ユーザ毎の行動パ
ターンやスコアを保存
データの蓄積・参照
スコアの返却・リスク判定
取引システム(アプリケーション)
• ログイン
• 注文
• 入出金
• 個人情報変更
ログ転送
操作（ログイン・注文）
本人確認やセッション剥奪・トランザクション遮断

20. 20
IIJ-BKLT999-0001