より高度なセキュリティ対策を目指して。第三者評価が切り拓く、サードパーティリスク管理の進化と展望

大森：
もともとご導入いただいていたクラウドのセキュリティ評価サービスに加えて、このたびは当社が新しくリリースした委託先等を対象とした企業評価サービスをご採択いただき、誠にありがとうございます。
今回は改めて当社のサービスをご導入いただいた背景を伺えればと思うのですが、まずはサードパーティリスクの観点において、どのような課題感をお持ちだったのか教えてください。

末松様：
大きく二つの観点があり、まずひとつは社会的にサイバー攻撃が増えていることが挙げられます。特に生成AIの普及によって言語の壁がなくなり、国境問わずにサイバー攻撃が増えており、いままで以上にサイバー攻撃によるリスク管理が求められていく中、そこに対して十分なリソースを割けないということが課題としてありました。

そして二つ目が、2024年に金融庁から公表された「金融分野におけるサイバーセキュリティに関するガイドライン」を遵守すべく、より強固なサードパーティリスク管理が求められるようになったことです。これらの観点から、最適な方法を探していた中でAssuredが提供するソリューションが良さそうだと思い、導入に至りました。
 

執行役員 兼 IT本部長 兼 IT戦略企画部長 末松 良成 様

勝山様：
私は所属するITガバナンスグループにて外部委託先の管理を行う他、兼任しているITリスク管理チームではセキュリティアセスメントも担当しています。
そしてITリスク管理部門としてセキュリティリスクを説明する中で、現場の方々に理解してもらえるよう専門的な内容をいかにわかりやすく、納得感のある形に説明するか、いわば現場がわかりやすい形に翻訳していくことが求められていました。

ただ、どう伝えるかというのはどうしても説明する担当者によって異なったり、また出すエビデンスも人によって一様ではないなど、属人的な要素があったため、社内からは「それはITリスク管理部門としてのひとつの意見」とも捉えられてしまうことがあり、納得感を持ってもらうことも課題としてありました。

そこで外部のソリューションを導入することで、 “セキュリティ評価に特化した第三者機関がこのように評価している” と客観性を持って伝えられるということがAssuredを導入する価値の一つだと感じています。
実際にAssuredのセキュリティ評価を導入したことで、受け手の理解は変わりますし、信頼してもらいやすくなったと感じています。
 

大森：
セキュリティ評価の機能面だけでなく、その評価情報を第三者情報として活用できるという点も当社の価値だと思っていたため、そこに価値を感じていただけていて、とても嬉しく思います。
そしてこのたび、クラウドのセキュリティ評価だけでなく、委託先等の評価を行う企業評価もご導入いただきましたが、以前まではどのように委託先の評価を行っていたのか教えてください。

アシュアード 代表取締役社長 大森 厚志

勝山様：
まず、入口部分としては取引する委託先と契約書を締結するわけですが、その際に当社が定めるセキュリティ基準を遵守するようお伝えし、その基準内容に合意できなければ契約ができないという形を取っていました。
また、その際に当社で用意したセキュリティチェックシートにも回答いただき、そのシートをベースに、委託先の評価管理を行っていました。

そして契約締結後は定期的にモニタリングを実施し、必要に応じて監査も行ったり、また当社に常駐いただくケースでは、当社社員と同様にセキュリティ教育を受けていただくなど、当社のセキュリティ担保に協力いただく形で進めていき、契約終了後データ破棄の確認などを実施してきました。

大森：
そうした従来までの委託先評価から、Assuredの企業評価へと移行された理由はどういった点にございましたか？

丸茂様：
私はITガバナンスグループの専門課長として、外部委託先の管理を統括しているのですが、今回Assuredの企業評価の導入の背景として一番にあったのは、やはり金融庁から公表された「金融分野におけるサイバーセキュリティに関するガイドライン」でした。
従来までの独自のセキュリティチェックシートによる運営では、脆弱性の対応状況やサイバー攻撃への対策など、ガイドラインの観点から確認が不十分な点があり、見直しを行う必要性があったというのが大きな要因です。

また、過去にインシデントが発生し、委託先自体の見直しも必要なのではといった議論が社内ではありました。しかし、委託先を変えたとしても、委託先評価手法が変わらなければまた同じようなインシデントが発生しかねないため、再発防止のためにもより万全な委託先評価が求められるということで、Assuredの企業評価を導入いたしました。
 

IT本部 IT戦略企画部 ITガバナンスグループ 専門課長 丸茂 順子 様

大森：
Assured以外のソリューションも比較検討されたかとは思うのですが、どういった点がAssuredの企業評価採択の決め手になられたのでしょうか？

勝山様：
やはり、万全な委託先評価を行おうとしたときに、ネックとなるのがリソースの部分です。単にガイドラインを満たすチェックリストを提供するというのは各社行っていますが、実際にはそのチェックリストを委託先へ送付して回答してもらい、その回答を回収するまでを行わなければなりませんが、なかなか期限までに送ってもらえないなど、回答の回収にリソースを割かなければなりません。

そうした中、Assuredは委託先への評価項目の送付から回収まで行い、さらに専門家による具体的なリスク事項の指摘まで対応いただけるという点が非常に魅力的だと感じました。

また、委託先に回答いただく部分に関しても、設問の内容や聞き方などで回答率が変わったり、求めている回答が得られないということもあります。
しかし、企業評価をサービスとして提供するAssuredだからこそ、そうした委託先が適切に回答できるような仕組みに関しても知見があるだろうと期待し、導入させていただきました。
 

IT戦略企画部 ITガバナンスグループ グループ長 兼 ITリスク管理チーム チームリーダー 勝山 貴彦 様

大森：
ありがとうございます。当社としても委託先側の画面を常にアップデートし、わかりづらい部分をなくすなど、より回答しやすいように取り組んでいますので、そうしたご期待に応えられるよう、引き続き改善を進めていければと思います。
なお、企業評価は当社の新しいサービスではありましたが、不安等はございませんでしたか？

末松様：
Assuredのクラウドのセキュリティ評価をすでに利用していたため、Assuredに対する信頼感があり、ご対応はもちろん、サービスの品質に対しても一定の期待値を持っていたので、特段不安というのはありませんでした。

そして広くサードパーティリスク管理を進めていこうとしたときに、複数の外部パートナーへ依頼するとなると、やはりコミュニケーションが煩雑化してしまいかねません。しかし、Assuredに依頼することでクラウドのセキュリティ評価から企業評価までをオールインワンでご対応いただけることも利点だと感じていました。
 

大森：
企業によっては、セキュリティに対する理解が経営層から得られず、当社のようなソリューション導入の承認に苦労されるケースもありますが、貴社ではいかがでしたか？

末松様：
セキュリティに対する感度を日頃から高めていくことが重要であると考えており、私自身もIT部門長として「セキュリティの一環としてこれをやるべき」といったメッセージを伝えることを大切にしてきましたし、たとえばメールにはどういったサイバーリスクが潜んでいるのかを情報発信するなど、リスク管理に関するリテラシーの向上に常日頃から取り組んできました。

また経営層に対してだけでなく、現場メンバーに対しても、なぜ企業にとってセキュリティ対策が重要であるかを経営目線で発信し、セキュリティに関するあらゆる情報を現場に発信していくことで、セキュリティの重要性を理解してもらうよう進めてきました。
そうした取り組みの結果、我々の意思決定を尊重してもらえる下地があり、今回の導入に関してもスムーズに社内での合意形成が図れたと感じています。

勝山様：
セキュリティ対策を強化しようとすると、当然ながら現場にとっては面倒だと思われかねません。しかし、昨今はサードパーティ要因によるサイバー被害を受けた他社事案がニュースでも頻繁に報道されるようになり、サイバー攻撃に対する感度は高まる中で、サードパーティリスク管理も当然のようにやるべきだという意識が醸成されているように感じます。

そのため、今回のAssuredの企業評価の導入に関しても、現場からどう委託先の評価を行うべきかを一緒に考えようといった声が上がるほど協力的で、現場の意識が変化しているのだと実感しています。
 

大森：
こうしたITやセキュリティに関する取り組みというのは、企業によってはトップダウンで推進するケースもあると思います。
一方で、安全性と利便性はトレードオフの関係になりがちで、セキュリティを強化しようとすると他部門にとってはブレーキをかけられているという印象を受けられることもあると思います。

しかし、貴社ではセキュリティに対して対立する議論が生まれなかったのは、日頃からそうしたセキュリティの重要性を発信し、セキュリティ意識をしっかりと醸成されているからこそだとお話を伺って感じました。
 

大森：
あらためて、今後のAssuredに期待していることがあれば教えてください。

末松様：
我々だけでは、サードパーティリスクに関する様々な情報を網羅的に収集することには限界があります。しかし、貴社はサードパーティリスクに特化しているからこそ、専門性のある情報や他社事例含めて様々な情報が入ってくるでしょうから、そうした最新のセキュリティリスクに関する情報のアップデートに期待しています。

そして我々導入企業としては、たとえば70点評価を合格ラインとした場合、合格ラインを上回っているにもかかわらず、インシデントが発生してしまうということは避けたいわけです。しかし、技術の進化や環境変化によって、評価基準というのも常に変わっていくわけですから、Assuredでは評価項目が最新化されておりトレンドに沿った適切な評価情報が出てくるから大丈夫だと自信を持って言えるようなサービスであり続けてほしいと期待しています。

丸茂様：
仮に委託先評価の仕組みを内製でつくっていた場合、社内からは「本当にその仕組みで十分なのか」と疑われかねません。しかし、サードパーティリスクを専門とした企業が提供しているということで、社内からの安心感にも繋がっています。
しかし、こうしたソリューションというのはつくって終わりというものではないと思っています。末松からもあった通り、技術や社会情勢、またガイドラインの改定などに合わせてブラッシュアップしていくことが大切だと思いますので、今後もセキュリティ担保に繋がるソリューションへと進化し続けることに期待しています。

勝山様：
現在、当社ではAssuredのクラウドセキュリティ評価、そして企業評価のソリューションを利用していますが、我々としてはすべて “サードパーティリスク管理” という同じ枠組み。そのため、今後も貴社では新規機能やソリューションをリリースされていくかとは思いますが、様々なサードパーティリスクを一元管理できるような未来をAssuredが実現してくれることに期待しています。

大森：
私たちとしても様々な企業が抱える課題や要望を反映していくことで、サードパーティリスク管理領域でのプラットフォームとして、より良いソリューションを目指して改善を進めてまいります。このたびは貴重なお話を伺うことができ、非常に感謝しております。本日は誠にありがとうございました。