中国銀行が、セキュリティ評価プラットフォーム「Assured」を導入
クラウド活用における高精度なリスク管理で、安心・安全な地銀のDX推進を実現
金融業界全体で、業務プロセスの効率化や顧客体験向上、新たな価値創造に向けたDX推進の動きが加速しています。地方銀行においても、地域経済の発展を支える役割として、人口減少やデジタル化の遅れといった課題を解決していくため、DXの推進が求められています。同時に、秘匿性の高い情報を取り扱う金融機関においては、より高い水準でのセキュリティ対策・リスク管理が必要とされています。
中国銀行においてもDXを積極的に推進するなか、行内で利用するクラウドサービスの安全性を可視化するため、「Assured」の導入を決定いただきました。
この度はAssuredをご導入いただき誠にありがとうございます。御社は以前より先進的なDXの取り組みをされていることで知られていますが、その目的や、具体的な内容を教えていただけますか。
藤井氏:
中国銀行では、中期経営計画「未来共創プラン ステージⅢ」で掲げる3つの成長戦略の1つに「イノベーションの創出」を掲げており、なかでも「DX」はその核となるものです。グループ横断での業務プロセスの改革、Web手続きやアプリ導入による非対面取引の機能整備、デジタル人財の育成、そしてシステムインフラの整備やデータ利活用によるCX向上を図っています。そのなかで、クラウドサービスの活用は必要不可欠であり、各領域で利用が拡大しています。
中国銀行では、中期経営計画「未来共創プラン ステージⅢ」で掲げる3つの成長戦略の1つに「イノベーションの創出」を掲げており、なかでも「DX」はその核となるものです。グループ横断での業務プロセスの改革、Web手続きやアプリ導入による非対面取引の機能整備、デジタル人財の育成、そしてシステムインフラの整備やデータ利活用によるCX向上を図っています。そのなかで、クラウドサービスの活用は必要不可欠であり、各領域で利用が拡大しています。
クラウドサービスの利用状況についてお聞かせいただけますでしょうか?また、セキュリティ面での管理体制における課題感もお聞かせください。
長谷川氏:
クラウドサービスの利用においては、新規導入時、及び利用中のサービスを対象に、チェックシートを用いてセキュリティ評価を実施しています。私どもにおいては、大切な情報を預託する以上はクラウドサービスも外部委託と同様にとらえていますが、クラウドサービス事業者様側にとってはサービスを提供しているという意識の違いもあるためか、チェックシートの質問内容がうまく伝わらなかったり、意図しない回答が返ってきたりして、複数回の往復が発生することもあり、多いときには5〜6回におよぶこともあります。これでは私たちだけでなく、双方に負担がかかりますし、サービスの導入にも遅れが生じてしまいます。リスク管理を徹底するうえで必要不可欠な対応ではあるものの、利用するサービスが増え続けるなか、非常に負荷がかかっている状況でした。
また当行では、最新の法令や監督官庁等が制定するガイドラインに対応するため、チェックシートの項目を1年に1回更新をしています。具体的には、「FISC安全対策基準(金融機関等コンピュータシステムの安全対策基準・解説書)」、金融庁による「中小・地域金融機関向け監督指針」やその他の法改正等を参照しています。一方で、従来はオンプレミス開発を中心に利用してきたこともあり、クラウドサービス特有のリスクを評価することに難しさを感じてきました。どのようなチェック項目を設けることで抜け漏れなくリスクを把握できるかを模索していたなか、Assuredを知り、導入することにしたのです。
クラウドサービスの利用においては、新規導入時、及び利用中のサービスを対象に、チェックシートを用いてセキュリティ評価を実施しています。私どもにおいては、大切な情報を預託する以上はクラウドサービスも外部委託と同様にとらえていますが、クラウドサービス事業者様側にとってはサービスを提供しているという意識の違いもあるためか、チェックシートの質問内容がうまく伝わらなかったり、意図しない回答が返ってきたりして、複数回の往復が発生することもあり、多いときには5〜6回におよぶこともあります。これでは私たちだけでなく、双方に負担がかかりますし、サービスの導入にも遅れが生じてしまいます。リスク管理を徹底するうえで必要不可欠な対応ではあるものの、利用するサービスが増え続けるなか、非常に負荷がかかっている状況でした。
また当行では、最新の法令や監督官庁等が制定するガイドラインに対応するため、チェックシートの項目を1年に1回更新をしています。具体的には、「FISC安全対策基準(金融機関等コンピュータシステムの安全対策基準・解説書)」、金融庁による「中小・地域金融機関向け監督指針」やその他の法改正等を参照しています。一方で、従来はオンプレミス開発を中心に利用してきたこともあり、クラウドサービス特有のリスクを評価することに難しさを感じてきました。どのようなチェック項目を設けることで抜け漏れなくリスクを把握できるかを模索していたなか、Assuredを知り、導入することにしたのです。
おっしゃるように、金融機関様では、業界に特化した法令やガイドラインが定められ、高い基準でのリスク管理が必要とされるなか、その対応にお悩みの声を多く伺います。そんななか、Assured導入に至った経緯、決め手となったポイントを教えてください。
長谷川氏:
1つ目に、FISCも包含した網羅的で深い評価が可能である点です。
Assuredによるセキュリティ評価は、当行が参照しているFISC安全対策基準にも対応しているうえに、様々なガイドラインやフレームワークを取り入れているので、より網羅的な観点での評価情報を取得できます。 また、先述の通り当行では年に1回チェックシートの項目を改定していますが、Assuredでは四半期に1回改定が行われます。自前でやるよりも、よりスピーディーに最新トレンドを取り込んだ評価を実現できることにメリットを感じました。
1つ目に、FISCも包含した網羅的で深い評価が可能である点です。
Assuredによるセキュリティ評価は、当行が参照しているFISC安全対策基準にも対応しているうえに、様々なガイドラインやフレームワークを取り入れているので、より網羅的な観点での評価情報を取得できます。 また、先述の通り当行では年に1回チェックシートの項目を改定していますが、Assuredでは四半期に1回改定が行われます。自前でやるよりも、よりスピーディーに最新トレンドを取り込んだ評価を実現できることにメリットを感じました。
2つ目に、専門家によるセキュリティ評価情報を参照することで、属人性を廃した運用体制を構築できる点です。
自前でセキュリティ評価を行っていた際には、担当者の経験値によって評価結果に差が生じていました。Assuredでは、第三者のセキュリティ専門家による評価レポートを取得できるため、常に統一化された高い水準での評価が可能となり、属人性を廃した評価体制を構築できると期待しました。
自前でセキュリティ評価を行っていた際には、担当者の経験値によって評価結果に差が生じていました。Assuredでは、第三者のセキュリティ専門家による評価レポートを取得できるため、常に統一化された高い水準での評価が可能となり、属人性を廃した評価体制を構築できると期待しました。
3つ目に、Assuredが目指す世界観に共感したのも大きなポイントです。
従来のチェックシート運用では、当行だけでなく、対応いただくクラウドサービス事業者の方々にとっても負担感のある作業ではないかと感じています。そうした背景もあってか、最近では個別のチェックシートへの対応は行っていないとのことで回答を断られてしまうケースも出てきました。世の中全体でクラウド化が進み利用者側の選択肢も拡がるなか、事業者側にとっても低コストでのサービス運営を意識されているのではないかと考えています。
その状況に対し、プラットフォームとして利用企業、事業者双方を繋ぎ、第三者による評価情報をデータベースに一元化する仕組みは、双方の負担を軽減し、持続性の高い画期的な仕組みだと感じました。さらに、私たちのような金融機関が求める高いレベルでの評価品質も担保しているため、従来のセキュリティチェック運用に組み込むことができました。今後、利用企業が増えれば増えるほど、このメリットが高まっていくので、Assuredの成長に期待しています。
従来のチェックシート運用では、当行だけでなく、対応いただくクラウドサービス事業者の方々にとっても負担感のある作業ではないかと感じています。そうした背景もあってか、最近では個別のチェックシートへの対応は行っていないとのことで回答を断られてしまうケースも出てきました。世の中全体でクラウド化が進み利用者側の選択肢も拡がるなか、事業者側にとっても低コストでのサービス運営を意識されているのではないかと考えています。
その状況に対し、プラットフォームとして利用企業、事業者双方を繋ぎ、第三者による評価情報をデータベースに一元化する仕組みは、双方の負担を軽減し、持続性の高い画期的な仕組みだと感じました。さらに、私たちのような金融機関が求める高いレベルでの評価品質も担保しているため、従来のセキュリティチェック運用に組み込むことができました。今後、利用企業が増えれば増えるほど、このメリットが高まっていくので、Assuredの成長に期待しています。
そのようにご期待いただけて光栄です。貴社のDX推進のお取り組みを支える存在となれるよう、これからもサービス向上に努めて参ります。
関連記事
CONTACT
資料請求・お問い合わせはこちら
商談やサービス利用のご相談はこちら
サービス概要資料はこちら