ふくおかフィナンシャルグループ様
Assuredへの期待は銀行業界標準の評価サービス。SaaS利用審査を高精度にしながら、業務の約8~9割を削減。
会社名:株式会社ふくおかフィナンシャルグループ
ご所属部門: IT統括部 デジタル基盤グループ
ご担当者様:有働様(左)・熊懐様(中)・松尾様(右)
導入の背景
- クラウドサービス利用におけるセキュリティ評価業務の効率化
- クラウドサービスのセキュリティ評価精度の向上
課題
- クラウドサービス利用の急増により、セキュリティ評価の業務負荷が大きくなっていた
- 従来のチェックシートではサービス提供事業者の回答内容について内容の確認が多く発生し、手間になっていた
導入の効果
- クラウドサービスのセキュリティ評価業務を8~9割削減
- 再確認の必要がほとんどなくなり、スムーズに進められるようになった
- これまで3週間ほどかかっていた評価が1~2週間に短縮
- 従来のチェックシートに比べ、評価精度が向上した
FFGについて
「高い感受性と失敗を恐れない行動力を持ち、未来志向で高品質を追求し、人々の最良な選択を後押しする、すべてのステークホルダーに対し、価値創造を提供する金融グループ目指します。」を経営理念とするFFGは、福岡銀行、熊本銀行、十八親和銀行、福岡中央銀行、そしてデジタルバンクであるみんなの銀行を傘下に持ちます。中期経営計画では、個人バンキングアプリ、法人向けポータルサイトの構築、そして社内の営業推進支援ツールとしてのSFAの導入の3つを掲げ、DX化を積極的に推進しています。
貴社の事業内容とお役割について教えて下さい
熊懐様:
私達は、IT統括部のデジタル基盤グループに所属しています。デジタル基盤グループには約15名がおりまして、FFGのクラウド統制基盤の高度化や運用、管理を行っているCCoEの他、DX案件の推進やゼロトラストセキュリティPCの導入なども担当しています。
私自身は、福岡銀行に入行して3年ほど営業店を経験し、IT部門に異動後は基幹システムの開発を10年ほど担当しました。その後、IT統括・企画・管理など、IT部門の様々な業務を経験して現在に至っており、25年ほどIT領域に関わっています。現在は、グループ長として全体を管理しています。
私達は、IT統括部のデジタル基盤グループに所属しています。デジタル基盤グループには約15名がおりまして、FFGのクラウド統制基盤の高度化や運用、管理を行っているCCoEの他、DX案件の推進やゼロトラストセキュリティPCの導入なども担当しています。
私自身は、福岡銀行に入行して3年ほど営業店を経験し、IT部門に異動後は基幹システムの開発を10年ほど担当しました。その後、IT統括・企画・管理など、IT部門の様々な業務を経験して現在に至っており、25年ほどIT領域に関わっています。現在は、グループ長として全体を管理しています。
有働様:
私は大学卒業後SIerに入社し、インフラエンジニアとして7年間勤務の後、福岡銀行に入行しました。2021年4月よりCloud CoE事務局として、FFGグループのクラウドに関するガバナンス整備、セキュリティ評価、クラウド統制基盤の企画・運用等を担当しています。
松尾様:
私は2019年に福岡銀行に入行し、約2年半店舗で営業業務を担当しました。入行3年目の2021年10月に、IT統括部のCloud CoE事務局に異動しました。
私は大学卒業後SIerに入社し、インフラエンジニアとして7年間勤務の後、福岡銀行に入行しました。2021年4月よりCloud CoE事務局として、FFGグループのクラウドに関するガバナンス整備、セキュリティ評価、クラウド統制基盤の企画・運用等を担当しています。
松尾様:
私は2019年に福岡銀行に入行し、約2年半店舗で営業業務を担当しました。入行3年目の2021年10月に、IT統括部のCloud CoE事務局に異動しました。
2021年頃からクラウド利用が急増、規定による利用評価業務がひっ迫
Assuredを導入する前の課題について教えて下さい
有働様:
クラウドサービスに対するセキュリティ評価は、2019年までは通常のシステムと同様に実施していましたが、2020年1月からは外部のコンサルを入れて作成したチェックシートを利用して対応しています。
FFGのCloud CoEでは、株式会社福岡銀行、株式会社熊本銀行、株式会社十八親和銀行をはじめとしたFFGのグループ会社※が利用するクラウドサービスのセキュリティ評価を行っています。(※「株式会社みんなの銀行」は自社内のCloud CoEで評価)
2021年度からSaaSの利用が急激に増え始め、通常業務に加えてセキュリティ評価業務を行なっていくには、業務負荷が高い状況になりました。松尾さんも異動してきてくれましたが、異動当初はセキュリティ評価に必要な知見は有していなかったため、一人でセキュリティ評価を進めることは難しく、セキュリティ評価のプロセスについて抜本的な見直しが求められていました。
また、クラウドサービスは機能アップデートも頻繁にあるため、年次でセキュリティ評価を見直す規定にしています。そのため、セキュリティ評価対象のクラウドサービス件数は年々増加していきます。例えば新規導入サービスが年間50件ある場合、次年度は前年度に導入した50件に加え、新たに導入予定の50件を加えた計100件のサービスを評価する必要があります。この年次のセキュリティ評価見直しの業務負荷が一番の課題でした。
さらに、チェックシートの作成や評価にもセキュリティやネットワークの知識が必要になりますが、こうしたスキルを持つ人は限られているため、その属人化も危惧していました。こうした背景から、チェック作業における標準化と効率化が必要であるという課題認識を強く持っていました。
クラウドサービスに対するセキュリティ評価は、2019年までは通常のシステムと同様に実施していましたが、2020年1月からは外部のコンサルを入れて作成したチェックシートを利用して対応しています。
FFGのCloud CoEでは、株式会社福岡銀行、株式会社熊本銀行、株式会社十八親和銀行をはじめとしたFFGのグループ会社※が利用するクラウドサービスのセキュリティ評価を行っています。(※「株式会社みんなの銀行」は自社内のCloud CoEで評価)
2021年度からSaaSの利用が急激に増え始め、通常業務に加えてセキュリティ評価業務を行なっていくには、業務負荷が高い状況になりました。松尾さんも異動してきてくれましたが、異動当初はセキュリティ評価に必要な知見は有していなかったため、一人でセキュリティ評価を進めることは難しく、セキュリティ評価のプロセスについて抜本的な見直しが求められていました。
また、クラウドサービスは機能アップデートも頻繁にあるため、年次でセキュリティ評価を見直す規定にしています。そのため、セキュリティ評価対象のクラウドサービス件数は年々増加していきます。例えば新規導入サービスが年間50件ある場合、次年度は前年度に導入した50件に加え、新たに導入予定の50件を加えた計100件のサービスを評価する必要があります。この年次のセキュリティ評価見直しの業務負荷が一番の課題でした。
さらに、チェックシートの作成や評価にもセキュリティやネットワークの知識が必要になりますが、こうしたスキルを持つ人は限られているため、その属人化も危惧していました。こうした背景から、チェック作業における標準化と効率化が必要であるという課題認識を強く持っていました。
申請から導入可否判断までは、どのようなプロセスなのでしょうか?
松尾様:
現在はまず各部門のIT担当者が利用部門からの依頼を受け、そこから私たちに評価の依頼が来る形となります。そして依頼受領後、対象のサービスに対し我々がセキュリティ評価を実施し、評価結果をもとにIT担当者と利用部門が協議して導入を決める、というのが一連のプロセスになります。なおチェックシート自体は我々が用意の上、クラウド事業者様に送付して回答してもらっています。
プロセスそのものは、スムーズに進めばそれほど時間がかかるものではないのですが、例えば回答形式が自由回答(フリーコメント)にしてある設問に対し、こちらが欲しい形で回答が返ってこないことも多々あり、その再確認の負荷が大きい状態でした。
また、回答頂くサービス提供事業者からの回答が遅延したり、回答内容の再確認のために何往復もやりとりを行うこともあるため、評価対応自体に時間がかかってしまうことがある点も問題でした。利用部門から「まだ評価は終わらないのか」と催促され、利用部門側の導入スピードにも悪影響が出てしまうことになるため、従来の業務もある中でその情報収集と評価対応をいかに効率的に行うかが課題でした。
現在はまず各部門のIT担当者が利用部門からの依頼を受け、そこから私たちに評価の依頼が来る形となります。そして依頼受領後、対象のサービスに対し我々がセキュリティ評価を実施し、評価結果をもとにIT担当者と利用部門が協議して導入を決める、というのが一連のプロセスになります。なおチェックシート自体は我々が用意の上、クラウド事業者様に送付して回答してもらっています。
プロセスそのものは、スムーズに進めばそれほど時間がかかるものではないのですが、例えば回答形式が自由回答(フリーコメント)にしてある設問に対し、こちらが欲しい形で回答が返ってこないことも多々あり、その再確認の負荷が大きい状態でした。
また、回答頂くサービス提供事業者からの回答が遅延したり、回答内容の再確認のために何往復もやりとりを行うこともあるため、評価対応自体に時間がかかってしまうことがある点も問題でした。利用部門から「まだ評価は終わらないのか」と催促され、利用部門側の導入スピードにも悪影響が出てしまうことになるため、従来の業務もある中でその情報収集と評価対応をいかに効率的に行うかが課題でした。
企業の健全性を調査できるサービスを調べ、
Assuredを知った
Assuredを知ったきっかけと、導入に至った決め手について教えて下さい
有働様:
委託先管理の最適化に向け、企業の健全性などを調査できるサービスはないかを調べている中で、御社のサービスを知りました。グループ企業である「株式会社みんなの銀行」からも、SaaSのセキュリティ評価サービスとして良さそうなサービスがあるという話を聞き、相談の上導入を検討しました。
熊懐様:
導入検討に際し、従来のセキュリティ評価から評価基準が下がらない様に、我々側で設計していた従来のセキュリティ評価項目と、Assuredの評価項目を比較検証したのですが、Assured側と事前協議をしっかりと行い、必要な内容・項目を追加・修正していただけた為、評価の基準を下げることなく移行できると感じられたことが大きな選定理由でした。なお、それまで使用していたチェックシートを廃止してAssuredに切り替えるように社内規定を改定し、利用部門とクラウド事業者へ通知を行うことで、特に問題なく運用移行できました。
有働様:
以前の私たちのチェックシートは、前述の通り自由回答形式の設問が多かったこともあり、サービス事業者様の回答内容の判断に苦慮することが多くありました。Assuredはサービス事業者様の回答がぶれない様に工夫がされており、短期間で信頼性の高いセキュリティ評価レポートが出てくることを高く評価しています。
委託先管理の最適化に向け、企業の健全性などを調査できるサービスはないかを調べている中で、御社のサービスを知りました。グループ企業である「株式会社みんなの銀行」からも、SaaSのセキュリティ評価サービスとして良さそうなサービスがあるという話を聞き、相談の上導入を検討しました。
熊懐様:
導入検討に際し、従来のセキュリティ評価から評価基準が下がらない様に、我々側で設計していた従来のセキュリティ評価項目と、Assuredの評価項目を比較検証したのですが、Assured側と事前協議をしっかりと行い、必要な内容・項目を追加・修正していただけた為、評価の基準を下げることなく移行できると感じられたことが大きな選定理由でした。なお、それまで使用していたチェックシートを廃止してAssuredに切り替えるように社内規定を改定し、利用部門とクラウド事業者へ通知を行うことで、特に問題なく運用移行できました。
有働様:
以前の私たちのチェックシートは、前述の通り自由回答形式の設問が多かったこともあり、サービス事業者様の回答内容の判断に苦慮することが多くありました。Assuredはサービス事業者様の回答がぶれない様に工夫がされており、短期間で信頼性の高いセキュリティ評価レポートが出てくることを高く評価しています。
Assuredの導入で8~9割の業務負荷を軽減
Assuredを導入したことで、業務負荷はどのくらい減りましたか?
有働様:
実感として8~9割は担当者の作業負荷が削減されていると思います。基本的にサービス事業者様の担当者の連絡先を入力すれば、あとはレポートが納品されるのを待つだけです。特にAssuredのレポートは冒頭にセキュリティ専門家の総合評価が記載されているため、そこを確認するだけでもリスクのポイントが把握できるため助かっています。
それから、事前に設定した任意の項目だけに絞る「組織ポリシー」というフィルター機能も役立っています。FFGでは特に情報漏洩に対する対策について詳しく確認を行っているため、認証、認可に関する項目をフィルターに設定しています。総評とフィルターで絞った項目のみを確認することで、簡単なものだと2~3分で評価が可能です。確認すべきポイントが絞られ、かつ属人的になることもないため、精度を担保しながら非常に早く評価ができています。
また、利用しているクラウドサービスの再評価を行うと、過去調査した評価と比べて変化している項目を簡単に比較確認できるため、気づきにもなります。定期的な確認の重要性を感じるとともに、変化に合わせた対策を講じる必要性を感じます。
松尾様:
以前は平均すると3週間ほどかかっていたのが、Assuredの導入後は業務の効率化を実現しながら2週間ほどに短くなっていると思います。
また、追加実装されたSaaSのサービス台帳機能のおかげで、評価とリンクしながら網羅的に管理ができる様になり、非常に便利で分かりやすくなりました。監査などで現在どのくらいのSaaSサービスを利用しているのかの確認が入った時でも、すぐに一覧を確認することができます。以前は情報をかき集めることに苦労していたので、簡単でいいですね。
実感として8~9割は担当者の作業負荷が削減されていると思います。基本的にサービス事業者様の担当者の連絡先を入力すれば、あとはレポートが納品されるのを待つだけです。特にAssuredのレポートは冒頭にセキュリティ専門家の総合評価が記載されているため、そこを確認するだけでもリスクのポイントが把握できるため助かっています。
それから、事前に設定した任意の項目だけに絞る「組織ポリシー」というフィルター機能も役立っています。FFGでは特に情報漏洩に対する対策について詳しく確認を行っているため、認証、認可に関する項目をフィルターに設定しています。総評とフィルターで絞った項目のみを確認することで、簡単なものだと2~3分で評価が可能です。確認すべきポイントが絞られ、かつ属人的になることもないため、精度を担保しながら非常に早く評価ができています。
また、利用しているクラウドサービスの再評価を行うと、過去調査した評価と比べて変化している項目を簡単に比較確認できるため、気づきにもなります。定期的な確認の重要性を感じるとともに、変化に合わせた対策を講じる必要性を感じます。
松尾様:
以前は平均すると3週間ほどかかっていたのが、Assuredの導入後は業務の効率化を実現しながら2週間ほどに短くなっていると思います。
また、追加実装されたSaaSのサービス台帳機能のおかげで、評価とリンクしながら網羅的に管理ができる様になり、非常に便利で分かりやすくなりました。監査などで現在どのくらいのSaaSサービスを利用しているのかの確認が入った時でも、すぐに一覧を確認することができます。以前は情報をかき集めることに苦労していたので、簡単でいいですね。
未経験者にも予想外の効果、Assuredの利用でセキュリティ意識が向上
松尾様は未経験業務との事でしたが、Assuredはいかがでしたか?
有働様:
松尾さんも、Assuredを利用することで評価業務のかなりの部分を一人で対応できるようになりました。専門性は必要なく、属人化する心配もありません。それどころか、クラウドサービスのセキュリティ評価にも自然と詳しくなっていきます。これは意外な効果でした。
松尾様:
セキュリティの観点を含めたクラウドサービスの評価という業務は初めてでしたが、Assuredを利用することで自然にセキュリティの知識が身に付いています。例えば、先ほど触れられていた通り、Assuredには総評コメントがあり、そのSaaSが100点満点で何点かが記載され、主要なリスクや留意点が箇条書きで書かれています。
利用部門に対してこの総評コメントをベースに、「このサービスはデータが海外に保管されるため、利用可否を確認してください」「このサービスは利用端末が限定されるので銀行からつなぐのはリスクがあります」といったことを伝えられます。利用部門へは具体的かつ的確なアドバイスになりますし、自分の理解も進みます。
また、先ほどあった組織ポリシーという、任意の項目をフィルターする機能のおかげで、
どういった項目を選んでいるのかを知ることで、その重要性を理解できます。
さらに、Assuredには各設問の背景も記載されています。これは、その設問で問題があるとどのようなリスクにつながるのかが詳しく説明されているものです。背景を知ることで、様々なリスクを知ることができますし、関連性も理解できるようになっていきます。こうしたAssuredの機能は非常に勉強になると感じています。
そして、細かい要望は、運用支援頂いているカスタマーサクセス担当の方に伝えていて、すぐに機能追加や運用改善を図ってくれています。また、導入済みサービスの再調査については、100に近い対象数があり進捗管理も煩雑でしたが、こちらも週次で丁寧な管理・報告を頂き大変助かりました。
松尾さんも、Assuredを利用することで評価業務のかなりの部分を一人で対応できるようになりました。専門性は必要なく、属人化する心配もありません。それどころか、クラウドサービスのセキュリティ評価にも自然と詳しくなっていきます。これは意外な効果でした。
松尾様:
セキュリティの観点を含めたクラウドサービスの評価という業務は初めてでしたが、Assuredを利用することで自然にセキュリティの知識が身に付いています。例えば、先ほど触れられていた通り、Assuredには総評コメントがあり、そのSaaSが100点満点で何点かが記載され、主要なリスクや留意点が箇条書きで書かれています。
利用部門に対してこの総評コメントをベースに、「このサービスはデータが海外に保管されるため、利用可否を確認してください」「このサービスは利用端末が限定されるので銀行からつなぐのはリスクがあります」といったことを伝えられます。利用部門へは具体的かつ的確なアドバイスになりますし、自分の理解も進みます。
また、先ほどあった組織ポリシーという、任意の項目をフィルターする機能のおかげで、
どういった項目を選んでいるのかを知ることで、その重要性を理解できます。
さらに、Assuredには各設問の背景も記載されています。これは、その設問で問題があるとどのようなリスクにつながるのかが詳しく説明されているものです。背景を知ることで、様々なリスクを知ることができますし、関連性も理解できるようになっていきます。こうしたAssuredの機能は非常に勉強になると感じています。
そして、細かい要望は、運用支援頂いているカスタマーサクセス担当の方に伝えていて、すぐに機能追加や運用改善を図ってくれています。また、導入済みサービスの再調査については、100に近い対象数があり進捗管理も煩雑でしたが、こちらも週次で丁寧な管理・報告を頂き大変助かりました。
業界のデファクトスタンダードになってほしい
今後さらに実現したいことを教えて下さい
有働様:
Assuredは既に調査したサービスの再評価もできるので、定期調査のタイミングでリスクベースのチェックを行い、健全性を効率的にモニタリングしていきたいですね。また、台帳機能をより活用し、以前に評価したサービスの登録を進めていきたいですね。サービス事業者様の担当者情報や、具体的にどのような業務で利用するサービスであるのか、といった情報を充実させていきたいです。
Assuredは既に調査したサービスの再評価もできるので、定期調査のタイミングでリスクベースのチェックを行い、健全性を効率的にモニタリングしていきたいですね。また、台帳機能をより活用し、以前に評価したサービスの登録を進めていきたいですね。サービス事業者様の担当者情報や、具体的にどのような業務で利用するサービスであるのか、といった情報を充実させていきたいです。
Assuredを勧めるとしたら、どんな会社に勧めたいですか
熊懐様:
Assuredが銀行業界標準の評価サービスになるといいですね。FFG独自の評価項目がAssuredの評価項目に取り込まれたように、そこに他行独自のものも追加されれば、銀行の標準としてみんなで安心して使える評価サービスになると思います。
有働様:
私たちもそうですが、独自のチェックシートの運用に苦労されている企業様には、うってつけのサービスだと思います。調査・評価自体の負荷削減もそうですが、関連法案や規定も定期的に改訂や新設があるため、そういった情報をキャッチアップしてのチェックシート自体の内容の更新をしなくてよくなることは、品質担保・負荷削減という観点で非常に大きいです。完全に評価を委託できるという面で、あらゆる企業様に有効だと思います。
Assuredが銀行業界標準の評価サービスになるといいですね。FFG独自の評価項目がAssuredの評価項目に取り込まれたように、そこに他行独自のものも追加されれば、銀行の標準としてみんなで安心して使える評価サービスになると思います。
有働様:
私たちもそうですが、独自のチェックシートの運用に苦労されている企業様には、うってつけのサービスだと思います。調査・評価自体の負荷削減もそうですが、関連法案や規定も定期的に改訂や新設があるため、そういった情報をキャッチアップしてのチェックシート自体の内容の更新をしなくてよくなることは、品質担保・負荷削減という観点で非常に大きいです。完全に評価を委託できるという面で、あらゆる企業様に有効だと思います。
今後、Assuredに期待することを教えて下さい
有働様:
Assuredを利用することにより、クラウドサービスのセキュリティ評価にかかる負荷は大幅に削減されました。しかし、クラウドサービスの利用は右肩上がりに増加しつつけており、Assuredを利用しても定期的なセキュリティ評価にかかる負荷は少なくありません。
また、現在はAssured独自の評価のみのため、一部評価できないクラウドサービスがあります。そういったサービスはSOC等の外部評価を利用してこちらでセキュリティ評価を行っているため、いずれは外部評価を利用した評価ができるようになることを期待しています。
加えて、Assuredは利用企業が増えるほど、利用企業もサービス事業者様もメリットが出るサービスのため、ますますAssuredの利用企業が増え、クラウドサービス評価のデファクトスタンダードになることを願っています。
Assuredを利用することにより、クラウドサービスのセキュリティ評価にかかる負荷は大幅に削減されました。しかし、クラウドサービスの利用は右肩上がりに増加しつつけており、Assuredを利用しても定期的なセキュリティ評価にかかる負荷は少なくありません。
また、現在はAssured独自の評価のみのため、一部評価できないクラウドサービスがあります。そういったサービスはSOC等の外部評価を利用してこちらでセキュリティ評価を行っているため、いずれは外部評価を利用した評価ができるようになることを期待しています。
加えて、Assuredは利用企業が増えるほど、利用企業もサービス事業者様もメリットが出るサービスのため、ますますAssuredの利用企業が増え、クラウドサービス評価のデファクトスタンダードになることを願っています。
ありがとうございます。引き続き、社会全体でのクラウド活用促進の一助となれるよう精進して参ります。
関連記事
CONTACT
資料請求・お問い合わせはこちら
商談やサービス利用のご相談はこちら
サービス概要資料はこちら
© Assured, Inc. All Rights Reserved.