中国銀行が、セキュリティ評価プラットフォーム「Assured」を導入
クラウド活用における高精度なリスク管理で、安心・安全な地銀のDX推進を実現

藤井氏：
中国銀行では、中期経営計画「未来共創プラン ステージⅢ」で掲げる3つの成長戦略の１つに「イノベーションの創出」を掲げており、なかでも「DX」はその核となるものです。グループ横断での業務プロセスの改革、Web手続きやアプリ導入による非対面取引の機能整備、デジタル人財の育成、そしてシステムインフラの整備やデータ利活用によるCX向上を図っています。そのなかで、クラウドサービスの活用は必要不可欠であり、各領域で利用が拡大しています。

長谷川氏：
クラウドサービスの利用においては、新規導入時、及び利用中のサービスを対象に、チェックシートを用いてセキュリティ評価を実施しています。私どもにおいては、大切な情報を預託する以上はクラウドサービスも外部委託と同様にとらえていますが、クラウドサービス事業者様側にとってはサービスを提供しているという意識の違いもあるためか、チェックシートの質問内容がうまく伝わらなかったり、意図しない回答が返ってきたりして、複数回の往復が発生することもあり、多いときには5〜6回におよぶこともあります。これでは私たちだけでなく、双方に負担がかかりますし、サービスの導入にも遅れが生じてしまいます。リスク管理を徹底するうえで必要不可欠な対応ではあるものの、利用するサービスが増え続けるなか、非常に負荷がかかっている状況でした。

また当行では、最新の法令や監督官庁等が制定するガイドラインに対応するため、チェックシートの項目を1年に1回更新をしています。具体的には、「FISC安全対策基準（金融機関等コンピュータシステムの安全対策基準・解説書）」、金融庁による「中小・地域金融機関向け監督指針」やその他の法改正等を参照しています。一方で、従来はオンプレミス開発を中心に利用してきたこともあり、クラウドサービス特有のリスクを評価することに難しさを感じてきました。どのようなチェック項目を設けることで抜け漏れなくリスクを把握できるかを模索していたなか、Assuredを知り、導入することにしたのです。

長谷川氏：
1つ目に、FISCも包含した網羅的で深い評価が可能である点です。
Assuredによるセキュリティ評価は、当行が参照しているFISC安全対策基準にも対応しているうえに、様々なガイドラインやフレームワークを取り入れているので、より網羅的な観点での評価情報を取得できます。 また、先述の通り当行では年に1回チェックシートの項目を改定していますが、Assuredでは四半期に1回改定が行われます。自前でやるよりも、よりスピーディーに最新トレンドを取り込んだ評価を実現できることにメリットを感じました。

2つ目に、専門家によるセキュリティ評価情報を参照することで、属人性を廃した運用体制を構築できる点です。
自前でセキュリティ評価を行っていた際には、担当者の経験値によって評価結果に差が生じていました。Assuredでは、第三者のセキュリティ専門家による評価レポートを取得できるため、常に統一化された高い水準での評価が可能となり、属人性を廃した評価体制を構築できると期待しました。

3つ目に、Assuredが目指す世界観に共感したのも大きなポイントです。
従来のチェックシート運用では、当行だけでなく、対応いただくクラウドサービス事業者の方々にとっても負担感のある作業ではないかと感じています。そうした背景もあってか、最近では個別のチェックシートへの対応は行っていないとのことで回答を断られてしまうケースも出てきました。世の中全体でクラウド化が進み利用者側の選択肢も拡がるなか、事業者側にとっても低コストでのサービス運営を意識されているのではないかと考えています。
その状況に対し、プラットフォームとして利用企業、事業者双方を繋ぎ、第三者による評価情報をデータベースに一元化する仕組みは、双方の負担を軽減し、持続性の高い画期的な仕組みだと感じました。さらに、私たちのような金融機関が求める高いレベルでの評価品質も担保しているため、従来のセキュリティチェック運用に組み込むことができました。今後、利用企業が増えれば増えるほど、このメリットが高まっていくので、Assuredの成長に期待しています。