セブン銀行が、セキュリティ評価プラットフォーム「Assured」を導入
行内で利用する100以上のクラウドサービスの高精度なセキュリティ評価を実現
セブン銀行は全国に27,000台以上のATMを設置、1日あたり280万件が利用される国内最大規模のプラットフォームを保有し、成長戦略の柱として「ATMプラットフォーム戦略」を掲げています。直近では「ATMが、あらゆる手続き・認証の窓口となる」世界を目指し、ATMの新サービス「+Connect(プラスコネクト)」を発表するなど新たな価値創造に取り組まれています。こうしてDX・デジタル化を推進するなか、社内で利用が拡大するクラウドサービスの安心・安全な利用促進のため、Assuredの導入を決定いただきました。その背景や期待について、リスク統括部 部長 木村様にお話を伺いました。
この度はAssuredをご導入いただき誠にありがとうございます。まず初めに、積極的にDXを推進されている貴行におけるクラウドサービスの活用状況と、それに対するセキュリティの取り組みについてお聞かせください。
木村氏:
当社はコンビニにATMを設置することがまだ一般的ではなかった2001年からサービスを開始し、その後も世の中の動向をいち早く察知しながらイノベーティブな取り組みを行ってきました。ここ数年はフィンテックの台頭など、金融サービスを取り巻く環境が特に著しく変化するなか、当社としても変革を加速していくため、お客さまのニーズに合ったサービスを展開するための様々な取り組みを進めています。社内だけでなくオープンイノベーションによる社外のアイディアやサービスとの協業など、様々な取り組みや体制を強化するなか、2023年には「+Connect(プラスコネクト)」を発表し、世の中に新たな体験と価値を提供するATMサービスプラットフォーム戦略を推進しています。
こうしたDX・デジタル化の取り組みを強化すると同時に、セキュリティに対しても高い水準で取り組んできました。
また、近年は社内でのクラウドサービス利用が急増しており、全体での利用数は100サービスを超えています。これらサービスにおけるセキュリティ対策については、FISC(金融情報システムセンター)安全対策基準に加えて、CIS(Center for Internet Security)Controlsなどのガイドラインを参照して独自に作成したチェックシートに基づきクラウドサービスのリスク評価を行い、私たちリスク統括部が最終的な利用可否の判断を行っていました。
当社はコンビニにATMを設置することがまだ一般的ではなかった2001年からサービスを開始し、その後も世の中の動向をいち早く察知しながらイノベーティブな取り組みを行ってきました。ここ数年はフィンテックの台頭など、金融サービスを取り巻く環境が特に著しく変化するなか、当社としても変革を加速していくため、お客さまのニーズに合ったサービスを展開するための様々な取り組みを進めています。社内だけでなくオープンイノベーションによる社外のアイディアやサービスとの協業など、様々な取り組みや体制を強化するなか、2023年には「+Connect(プラスコネクト)」を発表し、世の中に新たな体験と価値を提供するATMサービスプラットフォーム戦略を推進しています。
こうしたDX・デジタル化の取り組みを強化すると同時に、セキュリティに対しても高い水準で取り組んできました。
また、近年は社内でのクラウドサービス利用が急増しており、全体での利用数は100サービスを超えています。これらサービスにおけるセキュリティ対策については、FISC(金融情報システムセンター)安全対策基準に加えて、CIS(Center for Internet Security)Controlsなどのガイドラインを参照して独自に作成したチェックシートに基づきクラウドサービスのリスク評価を行い、私たちリスク統括部が最終的な利用可否の判断を行っていました。
クラウドサービスのセキュリティ評価に対してどのような課題感をお持ちだったのでしょうか?
木村氏:
新規利用時の評価だけでなく、定期的な評価も実施しており、利用数の増加に伴い対応工数が増加していました。また、クラウドサービス事業者からの回答内容を見極め、適切に評価すること自体も難しく、判断に迷うこともありました。
DX・デジタル化を推進する当社として、チェックシートによる管理から脱却していくと同時に、属人的な判断に頼らない、客観的で高精度な評価を実現するための方法を模索していたところ、Assuredにたどり着きました。
新規利用時の評価だけでなく、定期的な評価も実施しており、利用数の増加に伴い対応工数が増加していました。また、クラウドサービス事業者からの回答内容を見極め、適切に評価すること自体も難しく、判断に迷うこともありました。
DX・デジタル化を推進する当社として、チェックシートによる管理から脱却していくと同時に、属人的な判断に頼らない、客観的で高精度な評価を実現するための方法を模索していたところ、Assuredにたどり着きました。
具体的にはAssuredにどのようなご期待をお持ちいただけたのでしょうか。
1つ目は、高いセキュリティ水準が求められる金融機関にも適した高精度なセキュリティ評価が可能な点です。
先述の通り当社では、FISC安全対策基準に加えて、クラウドサービスを評価するうえで必要な観点も考慮するためCIS Controlsなど複数のガイドラインを参照しながらチェックシートを作成しています。直近ではFFIEC CATの観点も取り入れるなど、最新のセキュリティ情勢に応じて評価項目をアップデートしてきました。しかし、こうした情勢の変化は目まぐるしく、常に対応していくことは簡単なことではありません。また、これらの項目に対する回答内容を適切に見極めるにも、標準化された基準がなく、判断に悩むこともありました。
Assuredでは、セキュリティの専門家が複数のガイドラインに基づいて中立的な調査を実施しており、客観的で高精度な第三者評価に基づいた判断が可能になると期待できました。
先述の通り当社では、FISC安全対策基準に加えて、クラウドサービスを評価するうえで必要な観点も考慮するためCIS Controlsなど複数のガイドラインを参照しながらチェックシートを作成しています。直近ではFFIEC CATの観点も取り入れるなど、最新のセキュリティ情勢に応じて評価項目をアップデートしてきました。しかし、こうした情勢の変化は目まぐるしく、常に対応していくことは簡単なことではありません。また、これらの項目に対する回答内容を適切に見極めるにも、標準化された基準がなく、判断に悩むこともありました。
Assuredでは、セキュリティの専門家が複数のガイドラインに基づいて中立的な調査を実施しており、客観的で高精度な第三者評価に基づいた判断が可能になると期待できました。
Assured独自の調査フォーマットは、セキュリティトレンドに応じて定期的に改定
2つ目は、クラウドサービスのリスク評価にかける対応工数の削減が可能になる点です。
これまでは当社独自のチェックシートを用いてクラウドサービス事業者に回答を依頼し、回答内容に不備があれば再度やり取りが発生するなど、高い負荷がかかっていました。他にも優先度の高い業務があるなか、作業の効率化が求められていました。Assuredを利用することで、こうしたクラウドサービス事業者とのやり取りから解放されると同時に、迅速なクラウド導入を実現できると期待しました。
これまでは当社独自のチェックシートを用いてクラウドサービス事業者に回答を依頼し、回答内容に不備があれば再度やり取りが発生するなど、高い負荷がかかっていました。他にも優先度の高い業務があるなか、作業の効率化が求められていました。Assuredを利用することで、こうしたクラウドサービス事業者とのやり取りから解放されると同時に、迅速なクラウド導入を実現できると期待しました。
高品質なセキュリティ評価と効率性を同時に実現
3つ目に、調査項目が定期的にアップデートされるため、最新の動向を踏まえた評価が可能な点です。Assuredではセキュリティトレンドなどに応じて調査項目を定期的に改訂していると導入前から伺っていました。先述の通り、当社独自のフォーマットに常に最新の動向を取りこむことが難しい面があり、Assuredの利用によって、迅速に最新の動向を踏まえた評価ができると期待できました。直近の改訂では、当社でも利用が進んでいるAIに関する調査項目が追加されており、期待通りアップデートが行われていると感じています。今後も動向やユーザー要望に応じた調査品質の向上を期待しています。
そのようにご期待いただき大変光栄です。今後も貴行の安心・安全なDX推進を支えていけるよう、サービス向上に努めてまいります。
関連記事
CONTACT
資料請求・お問い合わせはこちら
商談やサービス利用のご相談はこちら
サービス概要資料はこちら