ニッセイ・ウェルス生命保険が、セキュリティ評価プラットフォーム「Assured」を導入
PoCで業務工数が80％削減、スピードと高精度な評価の両立を実現

星氏：
当社では、中期経営計画における IT 領域の取り組みとして「持続的・安定的な発展のための IT 環境整備」を掲げ、オンプレミス環境のクラウド化を推進しています。
そのような中、情報漏えいや不正アクセスなどのリスクに対応し、お客さま、販売会社に安心・安全なサービス提供を行うため、利用するクラウドサービスの安全性確保は非常に重要です。
今後も多種多様なクラウドサービスの導入が見込まれることから、セキュリティ評価のさらなる品質向上は必要不可欠です。変化し続けるリスクに対し、潜在的なリスクも含めて事前に察知し、適切な対策を講じるため、社内の管理体制を強化するためのツール、方法を模索していました。

星氏：
当社では、実際にクラウドサービスを利用申請する部門の担当者が、セキュリティに関するヒアリングシートに回答し、その内容を審査部門が評価しています。そのなかで、大きく3つの課題 がありました。

1つ目に、利用申請者および審査部門の業務負荷です。実際にクラウドサービスを利用する社員についてはITやセキュリティに関する知識が無い中で、クラウドサービス事業者とやり取りしながらヒアリングシートに回答を記載しますが、記載内容の不備により差し戻しが発生するなど、多大な工数がかかっていました。
また、審査部門においては、クラウドサービスの利用拡大に伴う審査件数の増加に加え、突発的な申請にも対応しなくてはなりません。リソース不足で業務が逼迫し、他の業務遂行にも影響を及ぼしかねない状況でした。

2つ目に、リードタイムの長さです。クラウドサービス事業者からの回答受領までに時間がかかり、サービス導入の遅れに繋がる懸念がありました。

3つ目に、評価品質の担保、向上です。定性的な判断を求められることが多く評価の難易度も高い中、一定の評価品質を担保するために非常に多くのワークロードがかかっていました。また、評価品質を維持するため、参照するガイドライン等の改定に応じて評価項目をタイムリーに更新することにも苦労していました。

これらの課題を解決するため、新たなツールの導入、評価体制の強化を図ろうとしていた中、Assuredを知り、PoCを経て導入を決定しました。

星氏：
1つ目の工数負担について、まず利用申請者に関しては、ヒアリングシートへの記載負担から開放され、大幅に負担を軽減できることを確認できました。
Assuredを利用することで、Assuredのプラットフォーム上でクラウドサービスのセキュリティ評価情報を取得できるため、利用申請者は利用したいサービスを社内申請するのみで対応を完結できます。
また、審査部門においては、ワークロードを約80％削減できました。
審査部門では、ヒアリングシートの内容不備により評価が出来ず、差し戻しを行ったり、必要な情報を追加で収集する必要がありました。Assuredを利用することで、これらの対応が全て不要になります。その結果、突発的な依頼にも迅速に対応でき、さらに、導入時だけでなく、既に利用しているサービスの定期的なセキュリティ評価を精度高く徹底していくことにも時間を割けるようになります。

2つ目のリードタイムの長さに対しては、これまで1〜3ヶ月かかっていたものが、Assuredのデータベースに登録されているものであれば、3日でセキュリティ評価情報を取得できました。
Assuredは、クラウドサービスのセキュリティ評価情報が一つのデータベースに蓄積されていく仕組みのため、次年度はより迅速に情報取得出来るようになることを期待しています。また、データベースに登録されていないサービスに対しても、新規で調査依頼が可能であるため、対象サービスの柔軟性の高さにもメリットを感じました。

3つ目の評価品質の担保・向上に対しては、専門知識を持つ第三者によるセキュリティ評価情報を取得できるため、常に高精度な評価を実現できることを確認できました。
Assuredでは、FISC安全対策基準を含む、国内外の主要なガイドライン・フレームワークに基づいた評価項目をベースとし、セキュリティの専門家が調査した評価情報を取得できます。また、ガイドラインの改定などに応じて定期的に項目が最新化されるため、セキュリティの最新トレンドに則した評価が可能となり、私たちが求める高い水準での評価が可能であることを確認しました。

これらの効果検証を元に、Assuredにより今後のクラウド利用の拡大にも対応できる再現性のある評価体制構築を実現できると判断し、導入を決定しました。
今後も、当社はお客様を守ることを最優先にセキュリティガバナンスの強化に努めて参ります。