社名 | 株式会社日本取引所グループ |
業種 | 金融・保険 |
従業員数 | 1千〜5千人 |
課題
|
活用中のサービス・機能
導入目的
課題
導入の効果
大森:
この度はAssuredをご導入いただき誠にありがとうございます。社会全体でクラウド活用が加速するなか、セキュリティの安全面をどう確保していくかにお悩みの企業様が多くいらっしゃいます。そこで、高いセキュリティ水準が求められる金融業界を代表する存在である御社のご方針や具体的なお取り組みをお伺いし、同様の課題をお持ちの皆さまに新たな気づきやきっかけを提供できればと考えています。
まず、Assuredをご導入いただいた背景についてお聞かせいただけますでしょうか。
統括課長 様:
当社が掲げる「中期経営計画2024」で定められている長期ビジョン「Target2030」の実現に向けて、グローバルな総合金融・情報プラットフォームを目指すうえで、「IT」を競争力の源泉・武器にしていくという方針を定めています。そのなかで、クラウドサービスの利用をグループ全体で推進していく一方、セキュリティをどう確保していくかが重要なテーマでもありました。
クラウドサービスのセキュリティ評価に関しては、現場の各部門に協力してもらいながら実施してきましたが、どうしても各担当者に負担がかかるうえに情報の信憑性に不安を覚えることもあります。また、担当者の主観が入ってしまったり、評価にばらつきが出てしまうといった課題感がありました。標準化された高品質な評価を効率的に実現するための対応を検討していたなかでAssuredを知り、良いサービスがあるじゃないかということで、導入検討を進めることになりました。
調査役様:
前提として、私たちが持つ売買システムのような基幹システムは重厚長大型のシステムで、クローズドなプライベートネットワークのレイヤーで完結しているため、セキュリティに関して大きな課題感はありませんでした。
一方で長い目で見ると、ビジネスとしてアジャイルに物事を進めなくてはいけないとなったときに、クラウドサービスというソリューションは必要不可欠であると同時に、それらを安全に活用していくための施策も重要となります。IaaSはもちろんのこと、特に現場のビジネス部門はSaaS活用のニーズが高まっていますので、私たちが担うセキュリティ評価もスピーディーに対応していかないと、彼らのスピードを阻害してしまいます。そのため、安全性とスピードを兼ね備えたソリューションを探していたというのが大きな背景です。
大森:
もともとは重厚長大型システムがメインのシステム基盤だったなか、クラウドサービスの活用機運はいつ頃から高まっていったのでしょうか?
調査役 様:
明確なきっかけは、2017年頃にITの中長期ロードマップとして10カ年計画を立てたことです。それまでは、5年に1回の大きな基幹システムのリプレースを3年かけて準備するといったサイクルで、新たな施策の計画が立てづらい仕組みになっていました。そこで、システム自体をスリムダウンしていく方針が立つなか、クラウド活用といった話が挙がり始めました。しかし、そうは言ってもすぐにクラウド活用が進むわけでもなく、検討はしているけれどなかなか進まない、といった状況がしばらく続きました。
そうしたなか、コロナをきっかけにリモートワークが浸透し、クラウドをベースに仕事をすることが社会全体で当たり前になっていくなかで、私たちの方針と世の中の潮流が合わさり、クラウド活用促進の後押しとなりました。
さらに、2022年4月にはJPX総研という新たに設立したデジタル戦略会社が業務を開始し 、グループ全体のIT戦略やクラウド活用の促進を一手に担うかたちで、活用はより一層加速しています。
大森:
クラウド活用が拡大するなか、Assured導入前は、クラウドサービスのセキュリティ評価をどのように実施されていたのですか?
ご担当者A 様:
従来は各部門の担当者からクラウドサービス事業者(以下、事業者)にセキュリティチェックシートを送付し、もらった回答内容を各部門内で一度確認してから、私たちIT企画部にレビュー依頼をもらうかたちで利用審査を実施していました。様々なサービスのレビュー依頼があるなか、慎重に審査を進めても、IT企画部のメンバーごとに判断にばらつきが出てしまったり、知見のない分野のSaaSをキャッチアップするのにも苦労していました。
調査役 様:
レビューはこの3人(調査役 様、ご担当者A 様、ご担当者B 様)で対応しており、各現場部門では、導入したい者が事業者とやり取りをして情報回収の責任を持つかたちでした。しかし、各現場部門のメンバーにセキュリティの知見が必ずしもあるわけではないので、なんとか頑張って運用していた、というのが正直なところです。
統括課長 様:
元々私も現場部門におりましたが、現場部門の担当者にとっては、証券会社や銀行などのお客様との折衝の方がどうしても優先順位が高くなるので、これらの対応はどうしても片手間でやらざるを得ません。
先ほどもお話があったように、チェックシートの項目の意味を理解している者もいれば、理解できていないまま事業者に送付し、回答を受け取り、その内容の是非も分からぬままIT企画部にレビュー依頼がくることもあります。さらに、情報に不備があれば、何度も往復してやり取りが発生してしまいます。こうした状況で、現場で情報収集の責任を持ち続けるのには限界があるのではないかと感じていました。
調査役 様:
また、私たち自身がセキュリティ評価にかける工数も軽くはありません。実際にSaaSを利用する現場と、評価する私たち双方のニーズから、より合理的に取り組める手段を探していました。
大森:
クラウドサービスが社会全体に浸透してきたのもこの10年くらいのことで、それまでは、システム導入というとIT企画やセキュリティ部門の方々が事業部の方々とハンズオンしながら一つ一つ導入を進めていく、という方法が御社に限らず一般的なことだったと思います。
それが、導入件数が加速度的に増えていったときに、すべてを同じように対応していくには限界があり、チェックシートを用いたその場しのぎの対応をせざるを得なかったというのが社会全体の状況だと考えています。ただ、実行の責任をIT企画やセキュリティ部門で担うのは難しく、現場の部門にお願いせざるを得ない。ここの情報の正確性や信頼性をいかに担保するかが難しいということですよね。
大森:
Assuredの導入を検討いただくなか、私たちのようにまだローンチ間もないサービスにご不安はなかったでしょうか?市場が確立していない未知の領域で比較検討が難しいという点でも、ご検討のハードルはありませんでしたか?
統括課長 様:
逆に、「ついにこういうことをやってくださるところが出てきたのか」という感覚を持ちました。というのも、当社自身もマーケットに参加されている企業の皆さまにシステムを提供している立場であることが背景にあります。私たちがクラウドサービス事業者にチェックシートの回答を依頼するのと同様に、私たち自身もサービス提供者としてチェックシートを受け取り、回答する立場でもあるのです。各社さまざまな基準やフォーマットが存在するなか、これらを画一的なものにしていければ、金融業界全体のレベルも引き上げられるのではないかという思いがありました。Assuredのようなサービスが浸透することで、ようやく標準化に向かうのではないかという期待感が導入の後押しになりました。
大森:
目の前の業務上の課題感だけでなく、私たちが目指す世界観にもご共感いただき嬉しい限りです。
導入の決定に至るまで、経営の合意はどのように得られていったのでしょうか?
統括課長 様:
さきほどお伝えした中期経営計画のなかで、セキュリティの対応方針も策定していましたので、その取り組みの一環としてAssuredの導入を取り上げさせてもらいました。
調査役 様:
クラウドサービスの管理全般を仕切り直すタイミングで、その大きな絵のなかにSaaSの領域も重要な要素として位置づけていたため、経営にも挙げやすいタイミングでした。
どうしても、サービス単体で見てしまうと、コスト感などの話にいきがちですが、「全体のリスクのなかのこの部分については、このソリューションを展開する」といった施策の一つとしてAssuredの活用を取り上げたことが重要なポイントだったかと思います。
大森:
Assured単体でどうこうという各論ではなく、クラウド管理の高度化の文脈のなかで、外部のSaaS利用が重視され、そのうえで想定されるリスクへの対応策としてAssuredを採用いただいたということですね。
調査役 様:
はい。また、実効性の観点でも、セキュリティの専門知識を持たない各部門の担当者が、事業者との間に立って情報収集を担い、クラウドサービスの利用に責任を持つという体制を続けるのには限界があると感じていました。
そこに対して、Assuredのように有識者が第三者評価を行い、プラットフォームとして事業者と利用企業の間に入ってくれることで、現場自身に利用の責任を持たせるという意味でも、ようやく実効性をもてる体制になれたのが大きな価値だと考えています。
大森:
今までの延長線上ではなく、セキュリティ評価のプロセス自体を仕組みから見直していく必要があるというお考えのなかで、Assuredの導入を決定いただけたのですね。
私たちとしても、プラットフォームとしてのAssuredの本来の価値は、既存の仕組みでは実現し得ないレベルでの品質の高いセキュリティ評価をご支援できる点だと考えており、御社が掲げているクラウド管理の高度化の文脈で導入をいただけたのは大変光栄です。
大森:
ご導入いただいてからまだ日は浅いものの、すでにいくつかのサービスのセキュリティ評価をご依頼いただいていますが、実際にご利用を開始いただいてのご感想をお聞かせください。
ご担当者A 様:
Assuredの管理画面上で、御社とクラウドサービス事業者とのやりとり履歴を確認すると、再再レビューをしていただいている場合もあり、これまで私たちがなかなか対応しきれなかったところまで徹底した情報収集、調査をしてもらえているなと感じています。
また、先日はグローバルに展開する大手チャットサービスで、これまで当社からのセキュリティチェック依頼にご回答いただけていなかった事業者からも、Assuredを通じて回答をいただくことができました。さらに、これまで定型的なやり取りしかしたことがなかった翻訳サービスにおいては、Assured経由の依頼をきっかけに、導入サポートのご提案をいただき、新たな繋がりに発展するケースもありました。
あとは、シンプルにサイトが使いやすく、説明書がなくても感覚的に操作できるのは有り難いポイントですね。
ご担当者B 様:
Assuredの活用が、社員の情報セキュリティリテラシー向上に繋げられそうだと実感しています。現場の担当者からすれば、セキュリティ評価の重要性もよく分からないまま、仕方なく対応しているといった場合もあります。Assuredの評価レポートは、クラウドサービスのセキュリティ対策状況が点数で定量化され、レーダーチャートで確認できるうえに、フリーコメントでリスクも明記されているため、私たちIT企画部がどのような点を懸念箇所として確認しているか、専門知識がなくても理解しやすい形式です。Assuredを通じて現場の部門とIT企画部の共通言語ができたことは大きな価値に感じています。
大森:
Assuredが介在するからこその価値を実感していただけていることは大変嬉しいです。また、社員の皆さまの情報セキュリティリテラシー向上についてお悩みの企業様も多くいらっしゃるため、Assuredが従業員教育の一環として活用できる可能性を感じていただけたのは光栄な限りです。
今後のご期待についてもぜひお聞かせください。
統括課長 様:
顧客の課題を的確に捉えた素晴らしい取り組みをされているなというのがAssuredに対する第一印象です。まだサービスローンチされて間もないですが、私たちもユーザーとして利用を進めていくなかで、ここをもっとこうしてほしいといった要望もどんどん出てくると思います。それらにしっかり対応して、Assuredとしてさらなる価値を磨き、より良いサービスをつくっていってくれるだろうと期待しています。
調査役 様:
私たちがこれまでリーチ出来ていなかったサービスまで活用を広げられる可能性と、SaaS業界全体のセキュリティ水準の引き上げに期待しています。
例えば、グローバルの最新サービスを利用したいとなった場合、先ほどのお話にもあったように、セキュリティチェック依頼の回答をいただけないことも多く、便利なサービスだと思うものの、セキュリティ評価が出来ないことには、利用ができないというケースもあります。
事業者の方からすると、多数の顧客がいるなかで当社は1ユーザーでしかありませんが、今後Assuredのシェアが拡大していき、「Assuredを通じてなら回答します」といった企業が増えていけば、これまで利用したくても利用できなかったサービスも安心して利用が可能になるだろうと期待しています。
また、セキュリティ評価の結果が十分でなく、利用できないというサービスもあります。事業者側もAssuredによるセキュリティ評価を受けることで、自社サービスの相対的なセキュリティ水準が可視化され、セキュリティレベルの向上に繋がれば、私たちが活用できるサービスが広がっていきますので、ここはぜひ御社にお願いしたいところです。
大森:
最後に、Assuredが市場に対して与える影響へのご期待など、ぜひメッセージをいただきたく思います。
統括課長 様:
Assuredは、株式市場における格付機関のような、ビジネス社会になくてはならない存在になれると信じています。そのためには、中立性が欠かせない要素なので、その観点は維持し続けてほしいですね。ぜひ、社会インフラの一つとなっていただきたいと思います。
大森:
力強いお言葉をいただき、有り難い限りです。別の視点で、企業の上場審査をされるお立場から思われることがあればお聞かせください。
調査役 様:
投資家や規制当局も含めて、上場会社は自社のセキュリティ管理体制を開示し、安全性を示していくべきという機運が高まっています。しかし、実際にこれらをスタートアップが対応していくには限界があります。それに対し、Assuredのようなサービスを上手く活用していくことが、企業が伸びやかにかつ安全に成長するうえで重要な選択肢となっていくと思います。そうしたAssuredのサポートが広がれば、私たちへのIPO申請件数も増えるかもしれないですね(笑)。
また、金融業界ならではの観点では、セキュリティ対策が徹底されている会社の方が株価のパフォーマンスが高い、などが数値で可視化され、目指すべき指標が測れるような仕組みをつくれると、企業のモチベーションにもなりますし、株価にアプローチできるとなれば、経営者としても判断がしやすくなります。とくにセキュリティに関しては、成熟度などを相対的に比較しにくく、どこまでやればいいのか分からないというのが多くの企業が抱える現状です。これらが定量的に指標化できれば、一歩進むきっかけになるのではないでしょうか。
大森:
そのようにご期待いただき光栄です。
例えば人材領域においては「雇用の流動化」というテーマが浸透し始めたこの10年ほどで、採用や雇用のあり方が大きく変わってきました。同様に、DXの波はまさに今ここから動き始めたものだと考えています。時代の大きな転換点で変えていくべき仕組みを、時間をかけてでもつくっていく価値はあると確信していますので、御社をはじめとしたお客様のお声をいただきながら、日々サービス向上に努めてまいります。
本日はインタビューのお時間をいただき誠にありがとうございました。
日本取引所グループについて
日本取引所グループは、東京証券取引所・大阪取引所・東京商品取引所を運営する総合取引所としてグループ会社全体で市場の開設・運営に係る事業を行っています。2030年までの長期ビジョン「Target 2030」の実現に向けてIT・デジタル技術の活用を推進しています。
© Assured, Inc.
© Assured, Inc.