伊予銀行が、セキュリティ評価プラットフォーム「Assured」を導入
金融業界の高いセキュリティ水準を確保した安心・安全なDX推進のため、「客観性」を重視したセキュリティ評価を実現
四国地方のメインバンクシェア1位の伊予銀行では、「DHD (Digital-Human-Digital)」モデルというDXのあり方を掲げ、デジタル化を積極的に推進しています。そんななか利用が拡大するクラウドサービスの安心・安全な利用促進のため、Assuredの導入を決定いただきました。その背景や期待について、システム部の吉井様、橋本様にお話を伺いました。
「SaaSクラウドファースト」を掲げ、金融業界基準の徹底したセキュリティ対策を推進するなかで求めた”客観性”
この度はAssuredをご導入いただき誠にありがとうございます。まず初めに、積極的にDXを推進されている貴行のセキュリティ体制についてお伺いできますでしょうか。
吉井氏:
私たちシステムリスク管理の課は6名体制ですが、企画業務を担っているのは私と橋本を含めた3名です。
私たちシステムリスク管理の課は6名体制ですが、企画業務を担っているのは私と橋本を含めた3名です。
行内で利用されるクラウドサービスのセキュリティ対策についてはどのような課題感をお持ちだったのでしょうか?
橋本氏:
当行では、「DHD(Digital-Human-Digital)」モデルを掲げており、タッチポイントをデジタル、ソリューションはヒューマン、オペレーションはデジタル、といったかたちで、デジタル化の施策を打っているなか、クラウドサービスの活用も推進しています。
当行では、「DHD(Digital-Human-Digital)」モデルを掲げており、タッチポイントをデジタル、ソリューションはヒューマン、オペレーションはデジタル、といったかたちで、デジタル化の施策を打っているなか、クラウドサービスの活用も推進しています。
DHDモデル全体像 ※伊予銀行「2024 年度中期経営計画」より抜粋
その一方で、セキュリティの向上は金融庁からも求められている重要なテーマです。
ただ行内のクラウド利用が拡大するなかで、私たちシステムリスク管理部門の限られた人員でクラウド導入時や導入後の定期的なセキュリティ評価の精度を向上していくには限界があると感じていました。
吉井氏:
具体的には、2021年度の中期経営計画でクラウドファースト戦略を掲げ、なかでも、「SaaSクラウドファースト」をテーマに、SaaSの活用を促進していく方針が定まりました。
セキュリティ評価に用いるチェックシートは、外部コンサルの支援を受け作成し、クラウドサービスの新規利用開始時と、年1回の定期チェックを開始しました。ただ、ヒアリングベースのチェックシートは、事務負担が大きいだけでなく、取得する情報の信ぴょう性に不安がありました。また、チェック項目の何が◯なら利用可とし、✕なら利用不可とするのか、明確な判断基準もない状態でした。そこで、客観的な評価情報の活用が不可欠であるとの想いから、CASBを利用することになったのです。
ただ、CASBは期待値が大きかったものの、ヒット率が悪く、国内サービスの情報がなかったり、日本企業が確認したい内容が評価項目で網羅されていなかったりなどの理由でCASBのみで評価を完結することは難しく、あくまでセキュリティチェックシートの補完的な役割で、SaaSの新規導入時は、CASBの点数は確認しつつも、セキュリティチェックシートによる評価も続けていました。また、定期的なセキュリティ評価においては、CASBの点数が悪くなっていなければ、定期評価は省略してよいというルールを設けるなど、評価事務負担の省力化も実践しました。
しかしながら、セキュリティチェックシートに関しては、先ほどもお伝えしたとおり、ヒアリング内容が必ずしも正しいとは限らず、信ぴょう性に不安があり、私たち評価部門も、回答内容を確認はするものの、運用面に懸念があるだけでなく、セキュリティにかかる情報がアップデートされることに対応した「チェックシート(チェック項目)」のアップデートの必要性にも迫られていました。
そこで、客観性、網羅性、効率性においてサポートをしてもらえるサービスはないかと探していたなか、たまたま目に入ったAssured主催のセミナーをきっかけにAssuredを知りました。
ただ行内のクラウド利用が拡大するなかで、私たちシステムリスク管理部門の限られた人員でクラウド導入時や導入後の定期的なセキュリティ評価の精度を向上していくには限界があると感じていました。
吉井氏:
具体的には、2021年度の中期経営計画でクラウドファースト戦略を掲げ、なかでも、「SaaSクラウドファースト」をテーマに、SaaSの活用を促進していく方針が定まりました。
セキュリティ評価に用いるチェックシートは、外部コンサルの支援を受け作成し、クラウドサービスの新規利用開始時と、年1回の定期チェックを開始しました。ただ、ヒアリングベースのチェックシートは、事務負担が大きいだけでなく、取得する情報の信ぴょう性に不安がありました。また、チェック項目の何が◯なら利用可とし、✕なら利用不可とするのか、明確な判断基準もない状態でした。そこで、客観的な評価情報の活用が不可欠であるとの想いから、CASBを利用することになったのです。
ただ、CASBは期待値が大きかったものの、ヒット率が悪く、国内サービスの情報がなかったり、日本企業が確認したい内容が評価項目で網羅されていなかったりなどの理由でCASBのみで評価を完結することは難しく、あくまでセキュリティチェックシートの補完的な役割で、SaaSの新規導入時は、CASBの点数は確認しつつも、セキュリティチェックシートによる評価も続けていました。また、定期的なセキュリティ評価においては、CASBの点数が悪くなっていなければ、定期評価は省略してよいというルールを設けるなど、評価事務負担の省力化も実践しました。
しかしながら、セキュリティチェックシートに関しては、先ほどもお伝えしたとおり、ヒアリング内容が必ずしも正しいとは限らず、信ぴょう性に不安があり、私たち評価部門も、回答内容を確認はするものの、運用面に懸念があるだけでなく、セキュリティにかかる情報がアップデートされることに対応した「チェックシート(チェック項目)」のアップデートの必要性にも迫られていました。
そこで、客観性、網羅性、効率性においてサポートをしてもらえるサービスはないかと探していたなか、たまたま目に入ったAssured主催のセミナーをきっかけにAssuredを知りました。
高精度・継続性・工数削減によるスピード向上をすべて実現できる方法を模索
セキュリティチェックシートの信ぴょう性にご不安があったということですが、他に客観性を求められた理由はありますか?
橋本氏:
最近では、金融庁のセルフアセスメントでも「評価サービスの活用有無」を聞かれる機会が出てきていることも挙げられます。
私たちとしても、何をもって利用を許可、不可にするのか自信をもって回答することが難しく、判断の拠りどころが欲しかったという背景もあります。
吉井氏:
将来的な継続性という観点もありますね。例えば、Aさんが対応していた際はしっかり判断出来ていたが、担当がBさんに代わった途端、判断基準が変わってしまった、等ということは避けなくてはなりません。担当者が変わっても同じ品質で評価をし続けるためにも、客観性が重要でした。
もう1つは、様々な事務負担を軽減したうえで、評価精度を上げるためにも、外部の力を借りたいと考えました。チェックシートの作成、項目のメンテナンス、利用部門によるチェックシートの記入、クラウドサービス事業者の方々による記入、戻ってきた回答内容の精査、と、私たち評価部門だけでなく、各所で様々な事務負担が強いられており、これらを出来るだけ精度を落とさず、効果的に楽にできないかという想いがありました。こうした属人的な対応から脱却していかないと、私たちも人事異動ができませんし、引き継ぐ者も大変になります。属人性を排除し、精度の高い評価を継続的に行っていく体制構築の必要性を感じていたことも、客観性を求めていた背景です。
最近では、金融庁のセルフアセスメントでも「評価サービスの活用有無」を聞かれる機会が出てきていることも挙げられます。
私たちとしても、何をもって利用を許可、不可にするのか自信をもって回答することが難しく、判断の拠りどころが欲しかったという背景もあります。
吉井氏:
将来的な継続性という観点もありますね。例えば、Aさんが対応していた際はしっかり判断出来ていたが、担当がBさんに代わった途端、判断基準が変わってしまった、等ということは避けなくてはなりません。担当者が変わっても同じ品質で評価をし続けるためにも、客観性が重要でした。
もう1つは、様々な事務負担を軽減したうえで、評価精度を上げるためにも、外部の力を借りたいと考えました。チェックシートの作成、項目のメンテナンス、利用部門によるチェックシートの記入、クラウドサービス事業者の方々による記入、戻ってきた回答内容の精査、と、私たち評価部門だけでなく、各所で様々な事務負担が強いられており、これらを出来るだけ精度を落とさず、効果的に楽にできないかという想いがありました。こうした属人的な対応から脱却していかないと、私たちも人事異動ができませんし、引き継ぐ者も大変になります。属人性を排除し、精度の高い評価を継続的に行っていく体制構築の必要性を感じていたことも、客観性を求めていた背景です。
Assuredの金融業界内での導入の広がり、第三者の専門家による最新トレンドに応じた評価に期待
そのようななか、Assuredを活用できると思っていただけた背景、導入の決め手はどのような点にあったのでしょうか?
橋本氏:
他の金融機関でも広く導入されている点が大きな決め手でした。
他の金融機関でも広く導入されている点が大きな決め手でした。
(参考:「ニッキン」に掲載されました)
5社ほどヒアリングさせていただいたところ、同様の課題をお持ちだったことを受け、同じ目的を持った金融機関同士で情報交換しながら活用をしていけるイメージを持つことができました。
また、金融機関に限らず他の導入事例もすべて読みましたが、ほとんどの企業で工数削減やスピード向上に繋がっているというのを拝見し、評価の精度を上げながら使いたいサービスをより早く導入できるという点がいいなと思いました。
私たち評価部門だけでなく、実際にクラウドサービスを利用する部門も、約130項目あるセキュリティチェックシートの回答を埋めるため、ベンダーとのやり取りで疲弊しています。
更に、不明点があれば利用部門から私たちに問い合わせがきて、その都度、私たちが調べて対応を行う必要があります。それらをすべてAssuredにお任せできる点が導入の決め手となりました。
吉井氏:
Assuredは帝国データバンクのクラウドサービス版だと捉えています。第三者に評価してもらうことで、利用可否の判断も明確にでき、これまで対応にかけてきた時間と工数を削減しながら、精度を高められるため、Assuredを導入すれば、従来のクラウドに関するセキュリティチェックシート対応をやめられるなと思いました。
また、金融機関に限らず他の導入事例もすべて読みましたが、ほとんどの企業で工数削減やスピード向上に繋がっているというのを拝見し、評価の精度を上げながら使いたいサービスをより早く導入できるという点がいいなと思いました。
私たち評価部門だけでなく、実際にクラウドサービスを利用する部門も、約130項目あるセキュリティチェックシートの回答を埋めるため、ベンダーとのやり取りで疲弊しています。
更に、不明点があれば利用部門から私たちに問い合わせがきて、その都度、私たちが調べて対応を行う必要があります。それらをすべてAssuredにお任せできる点が導入の決め手となりました。
吉井氏:
Assuredは帝国データバンクのクラウドサービス版だと捉えています。第三者に評価してもらうことで、利用可否の判断も明確にでき、これまで対応にかけてきた時間と工数を削減しながら、精度を高められるため、Assuredを導入すれば、従来のクラウドに関するセキュリティチェックシート対応をやめられるなと思いました。
評価の精度を高めるという観点では、どのような点にご期待いただけたのでしょうか?
橋本氏:
ヒアリング精度の高さです。大手のクラウドサービス事業者も、Assuredを利用してセキュリティチェックシートの統一化を目指しているという事例があることも信頼できるポイントでした。
また、セキュリティの専門家によるレポートにより、利用において気をつけるべきポイントが明確になる点もよいと感じました。
ヒアリング精度の高さです。大手のクラウドサービス事業者も、Assuredを利用してセキュリティチェックシートの統一化を目指しているという事例があることも信頼できるポイントでした。
また、セキュリティの専門家によるレポートにより、利用において気をつけるべきポイントが明確になる点もよいと感じました。
Assured独自の質問表(120項目)を元に、専門資格を保有するセキュリティコンサル・監査経験者がリスクを評価したレポート
吉井氏:
Assuredによるヒアリング内容の信ぴょう性に期待が持てました。当行はこれまで、チェックシートへの記載を利用部門に委ねていたので、クラウドサービス事業者に確認して記載したのか、利用部門の担当者の判断で記載したのか分かりかねる状況でした。
一方Assuredは、セキュリティの専門家による調査を行ってくれるので、信頼できると感じました。さらに、Assuredがより多くの企業に広まれば広まるほど、Assuredに世の中のクラウドサービスのセキュリティ情報が集まるという仕組みにも期待できると感じました。
また、チェックシートの項目を常に最新のガイドラインや情勢に応じて更新されている点も大きなポイントです。私たちだけで昨今のセキュリティ情勢やトレンドを情報収集し、その内容を理解したうえで項目をアップデートしていくのはなかなか難しく、その都度外部の知見を借りるとなると大きな負担になります。Assuredの場合、定期的にメンテナンスされたチェック項目によって調査した評価情報を得られるという点で安心できると感じました。
Assuredによるヒアリング内容の信ぴょう性に期待が持てました。当行はこれまで、チェックシートへの記載を利用部門に委ねていたので、クラウドサービス事業者に確認して記載したのか、利用部門の担当者の判断で記載したのか分かりかねる状況でした。
一方Assuredは、セキュリティの専門家による調査を行ってくれるので、信頼できると感じました。さらに、Assuredがより多くの企業に広まれば広まるほど、Assuredに世の中のクラウドサービスのセキュリティ情報が集まるという仕組みにも期待できると感じました。
また、チェックシートの項目を常に最新のガイドラインや情勢に応じて更新されている点も大きなポイントです。私たちだけで昨今のセキュリティ情勢やトレンドを情報収集し、その内容を理解したうえで項目をアップデートしていくのはなかなか難しく、その都度外部の知見を借りるとなると大きな負担になります。Assuredの場合、定期的にメンテナンスされたチェック項目によって調査した評価情報を得られるという点で安心できると感じました。
クラウド利用にあたってセキュリティの重要性を説明し合意形成。今後の課題はシャドーIT検知やIT資産管理も含めた体制構築
多くのお客様が、セキュリティに対する予算確保に苦慮されていらっしゃいます。そうしたなか、Assuredをご導入いただく際の経営への合意形成はどのように進めていただいたのでしょうか。
吉井氏:
クラウドサービスは手軽に利用できる分、油断すると簡単に足元をすくわれることから、セキュリティはしっかりみていかないといけないというのが基本的な考え方です。特にSaaSの場合は自分たちの意志に関わらず事業者側で仕様等が変更されるため、変更点を随時見ていかないといけません。そのため、新規導入時だけでなく、定期的な確認が必要であるということは経営にも理解してもらっています。
クラウドサービスは手軽に利用できる分、油断すると簡単に足元をすくわれることから、セキュリティはしっかりみていかないといけないというのが基本的な考え方です。特にSaaSの場合は自分たちの意志に関わらず事業者側で仕様等が変更されるため、変更点を随時見ていかないといけません。そのため、新規導入時だけでなく、定期的な確認が必要であるということは経営にも理解してもらっています。
今後、Assuredを活用して解決していきたい課題や、Assuredへのご期待についてお聞かせください。
吉井氏:
今後の課題としては、Assuredを活用した事務取扱を現場に浸透させ、期待した効果を最大限に引き出すことです。
また、シャドーITの検知・制御は次の課題だと考えています。
組織全体として認可しているSaaSクラウドを正しく認識し、認可しているすべてのサービスをAssuredで漏れなく評価し、リスクの高いサービスの利用停止や、利用していないサービスで料金を払い続けているサービスの廃止等のIT資産管理も合わせて対応をしていくことが必要だと感じています。AssuredではシャドーIT検知機能も提供しているということなので期待しています。
加えて、定期評価を年1回ではなく、常時監視し、利用しているサービスの評点が一定レベル以上低下した場合はアラート通知してくれる機能があれば理想です。数年前であれば定期評価は年1回でも良かったのかもしれませんが、セキュリティ情勢が目まぐるしく変化しているなかで、定期評価の頻度は上げていくべきだと私は考えています。例えば、業務継続に影響がある重要なサービスや、情報漏えいに繋がるような重要度の高いサービスは頻度を上げて評価するなどの対応が必要だと思いますし、そこまで徹底することで当局の指針にも適合し、安心・安全な事業運営、サービス提供ができると考えています。独自に利用サービスの状態変化を常に確認することは難しいため、Assuredを通じて各サービスの変化に気付けるようになることは大きなメリットだと考えています。
橋本氏:
今後、Assuredのユーザーが更に増えて、データベースに登録されているクラウドサービスのカバー率が高まり、セキュリティ評価情報の取得スピードが早まっていくと嬉しいですね。利用部門からは、早くサービスを導入したいという声をもらうこともありますので、期待しています。
今後の課題としては、Assuredを活用した事務取扱を現場に浸透させ、期待した効果を最大限に引き出すことです。
また、シャドーITの検知・制御は次の課題だと考えています。
組織全体として認可しているSaaSクラウドを正しく認識し、認可しているすべてのサービスをAssuredで漏れなく評価し、リスクの高いサービスの利用停止や、利用していないサービスで料金を払い続けているサービスの廃止等のIT資産管理も合わせて対応をしていくことが必要だと感じています。AssuredではシャドーIT検知機能も提供しているということなので期待しています。
加えて、定期評価を年1回ではなく、常時監視し、利用しているサービスの評点が一定レベル以上低下した場合はアラート通知してくれる機能があれば理想です。数年前であれば定期評価は年1回でも良かったのかもしれませんが、セキュリティ情勢が目まぐるしく変化しているなかで、定期評価の頻度は上げていくべきだと私は考えています。例えば、業務継続に影響がある重要なサービスや、情報漏えいに繋がるような重要度の高いサービスは頻度を上げて評価するなどの対応が必要だと思いますし、そこまで徹底することで当局の指針にも適合し、安心・安全な事業運営、サービス提供ができると考えています。独自に利用サービスの状態変化を常に確認することは難しいため、Assuredを通じて各サービスの変化に気付けるようになることは大きなメリットだと考えています。
橋本氏:
今後、Assuredのユーザーが更に増えて、データベースに登録されているクラウドサービスのカバー率が高まり、セキュリティ評価情報の取得スピードが早まっていくと嬉しいですね。利用部門からは、早くサービスを導入したいという声をもらうこともありますので、期待しています。
貴重なご意見をくださり感謝申し上げます。ご期待、ご要望に応えられるよう、サービス向上に努めてまいります。
関連記事
CONTACT
資料請求・お問い合わせはこちら
商談やサービス利用のご相談はこちら
サービス概要資料はこちら