四国銀行が、セキュリティ評価プラットフォーム「Assured」を導入
行内のクラウド活用拡大を支える、高精度・網羅的なセキュリティ評価体制実現を目指す
デジタル活用の加速と同時に、高い水準でのセキュリティ担保が求められる金融業界において、SaaSをはじめとしたクラウドサービスの利用増加に対応するセキュリティ評価体制の構築は必要不可欠です。四国銀行においても、行内で利用が拡大するクラウドサービスの安心・安全な利用推進のため、Assured導入を決定いただきました。その背景や期待について、システム部 部長代理 豊田 明啓 様にお話を伺いました。
この度はAssuredをご導入いただき誠にありがとうございます。まずはじめに、貴行のDX戦略やセキュリティに対するお考えをお聞かせください。
四国銀行は10年ビジョンとして“地域と産業を牽引するベスト&リライアブル カンパニー”を目指し、地域・産業の牽引や顧客への新たな価値創造に向けた態勢整備と経営体質の強化を両輪で推進していくことを掲げています。その一環で、生産性向上やイノベーション創出に向けてDXやデジタル化の推進は必要不可欠ですが、一方で、これらの取り組みを進めていくうえで、セキュリティは切っても切り離せない経営の重要なテーマと捉えています。
クラウドサービスの活用状況と、それらのセキュリティ評価対応にはどのような課題感をお持ちでしたか?
DX、デジタル化を推進するなか、クラウドサービスの利用も増加しています。利用時には、事前にリスク評価を行い、安全性を確認したうえで、利用可否を判断しています。また、機密情報を取り扱うなど、特に重要なサービスに関しては、新規利用時だけでなく、定期的なセキュリティ評価を実施しています。そのため、利用サービス数が増えれば増えるほど、管理対象の数も増え、対応工数が増大していく構造で、クラウドサービスを実際に利用する部門(以下、利用部門)と、私たち評価部門双方の対応リソースが逼迫している状況でした。
また、FISC安全対策基準など、金融機関として準拠すべきガイドライン改定等、世の中のトレンドに合わせてセキュリティチェックシートの項目内容を見直していく必要もあります。そうした変化に随時対応しながら、客観的かつ網羅的な確認項目でアセスメントをしていく効果的な方法を模索していたなか、Assuredを知り、導入を決定しました。
Assured導入に至った経緯、決め手となったポイントを教えてください。
まず1つ目に、Assuredを導入する金融機関が増えている点です。
他行のシステム部門の方々とクラウドサービスのセキュリティ評価に関する情報交換をする際に「Assured」の名前を聞く機会が多く、実際に導入している金融機関も多い印象がありました。同業界で活用している事例があるというのは安心感があり、当行でも導入を後押しするきっかけとなりました。
2つ目に、FISCの観点も網羅したうえで第三者による評価が可能である点です。
Assuredによるセキュリティ評価は、当行が参照しているFISC安全対策基準も参照しているうえに、様々なガイドラインやフレームワークを取り入れているので、より網羅的な観点での評価情報を取得できます。また、専門知識を持つAssuredのセキュリティ評価チームによる第三者評価が行われるため、客観性の高い高品質な評価情報を得られる点も魅力に感じました。
Assuredの調査項目について
3つ目に、定期的にアップデートされるセキュリティチェックシート項目による高品質かつ持続的なアセスメントが可能である点です。
Assuredでは四半期に1回程度、セキュリティチェックシート項目の改定が行われます。これまでは自社でチェックシートを作成しており、様々なガイドラインを参照する必要があったり、標準化された基準もないなか手探りで検討していく必要がありましたが、Assuredを通じて、よりスピーディーに最新トレンドを取り込んだ評価を実現できることにメリットを感じました。
最後に、業務負担の削減が見込める点です。
利用するクラウドサービスの数が増えるにつれ、利用部門、評価部門双方の業務負荷が重くなっていましたが、Assuredを利用することで、大幅な工数削減が可能になると見込んでいます。Assuredでは、クラウドサービスのセキュリティ評価情報がデータベースに一元化されているため、すでにデータベースに掲載されているサービスであれば、クラウドサービス事業者の確認が取れ次第すぐに評価情報を閲覧することができます。また、データベースにまだ掲載されていないサービスでも、Assuredが新規調査を実施してくれるので、これまで必要だった事業者とのやり取り等が不要になり、工数削減と同時に、よりスピーディーに利用可否の判断ができることを期待しています。
Assuredの仕組み