企業における様々なセキュリティ対策のうち、インターネット接続においては、ウイルスやスパムの流入阻止、悪質なハッカーによる不正侵入といった「外部からの脅威」と、電子メールやWebメール、オンラインストレージ等を利用した情報漏洩など「内部からの脅威」の両方について、対策が必要です。また、内部統制の観点からは業務外利用の制限や通信ログの長期保存なども重要な施策となっています。

しかし、これらの対策をすべて自社で行おうとした場合、継続的な人員の確保や最新の技術スキルの維持に多大なコストがかかります。そこでNRIセキュアでは、マネージドセキュリティサービスとして、情報セキュリティのプロフェッショナルがお客様の立場になってセキュアなネットワークの設計、構築、運用までを行うフルアウトソーシングサービスを提供しています。サービス導入後も、経験豊富なセキュリティ専門家のアドバイスによるきめ細かいアフターフォローと合わせ、セキュリティ管理者様の負担を大幅に軽減します。

FNCサービスとは、特定のベンダー製品の保守運用を行うサービスではなく、お客様システムの『安全』を最終目標としたサービスです。

• ※ファイアウォールネットワークセンター（FNC）とは、主にインターネットの出入り口のセキュリティを提供する当社のサービスブランドです。

多種多様なセキュリティデバイスを組み合わせ、お客様のニーズに応じた最適なセキュリティ環境をインテグレーションし、その後の継続的な運用管理も行うフルマネージドセキュリティサービスです。インターネット接続時のセキュリティ対策に関するベストプラクティスの提供のほか、イントラネットにおける個別ニーズにも対応可能な非常に柔軟性の高いセキュリティソリューションを提供します。

国内外の高度なセキュリティ資格を有したセキュリティアナリストが、日米２拠点での時差を利用した24時間365日体制でサービスを提供しています。不正アクセスや異常な通信など、危険な兆候が認められた場合には、速やかにお客様に状況をご報告の上、各セキュリティデバイスから出力される様々なログを、セキュリティアナリストの経験を元に原因を特定し、必要な対策を実施します。

お客様自身でサーバやソフトウェア、セキュリティデバイスを購入される場合、保守契約の更新や固定資産管理、製品サポート終了に伴うバージョンアップや代替製品へのリプレース作業など、システム運用における負荷はインシデント対応だけではありません。特に日常的なセキュリティアラート情報のウォッチと、リリースされたパッチの検証や適用作業などセキュリティレベルを高く維持し続けるには本来非常にコストがかかります。これらの問題は専門家にアウトソースすることで大幅に負荷を軽減することが可能です。

FNCサービスをご利用いただいているお客様の環境内で起きたインシデントに対して、まだその事象が発生していない他のお客様の環境にも先回りして対応できるというメリットがあります。多数のお客様へサービスを提供する中で得られる経験とノウハウを生かし、新種のウイルス、急激なトラフィックの増加、セキュリティデバイスの不具合などの問題に対してプロアクティブに対応します。

1. マルチホームインターネット接続環境
   複数の国内大手ISPに広帯域で接続された高信頼マルチホームインターネットバックボーンに接続し、ISP障害時にも継続してサービスの利用が可能です。
2. ファイアウォール
   必要となる通信要件の定義から設定、テストまでをすべて弊社側で実施するため、お客様側で個別の通信ポリシーについて検討、管理する必要はありません。
3. スパム対策
   インターネットから大量に送信されてくるスパムメールに対して、高精度のフィルタリングを行います。また、過去からのトラフィック推移を元にした増強の検討や、他社環境との比較などの分析を行うことにより、常に最良の環境にて運用します。
4. ウイルス対策
   ウイルス感染経路として、メールの添付ファイルだけではなく、Web閲覧時の感染割合が高まってきています。本サービスでは標準でWebアクセス時の通信についてもウイルスチェックを行います。
5. プロキシ管理
   ユーザ認証機能やアクセスログの取得などを行います。また、複数のポートを利用することにより、ユーザ認証バイパス経路、ウイルスチェックバイパス経路、URLフィルタリングバイパス経路などの細かいニーズにも対応可能です。
6. URLフィルタリング
   情報漏洩につながるようなサイトや業務上不要と思われるカテゴリのサイトに対してのアクセスを禁止する機能を提供します。また、書き込みのみ規制やパスワードの入力により一時的に閲覧を許可する機能などもあります。
7. ログ検索、長期保存
   送受信されるすべてのメールについて添付ファイルを含めた形で取得、保存することが可能です。また、プロキシのアクセスログやPOSTログについても同様に取得、保存することが可能です。
8. リモートアクセス
   インターネットVPN（SSL-VPN、IP-Sec VPN）を利用したリモートアクセスの機能を提供します。ワンタイムパスワードと組み合わせることでより安全なリモートアクセス環境を実現可能です。

- 三井住友海上火災保険（以下　三井住友海上）の概要をお聞かせください。

三井住友海上は、2001年に三井海上火災と住友海上火災が合併してできた、総合損害保険会社です。2008年4月には「三井住友海上グループホールディングス株式会社」を設立し、持株会社体制に移行しました。「GK クルマの保険」や「ホームピカイチ 火災保険」などが最近の主な保険商品です。2007年の正味収入保険料（※）は、約1兆5,400億円（連結）。従業員数は約14,000名、代理店数は約47,000店です。

• ※「正味収入保険料とは一般企業における『売上高』に相当する数字です」

- 三井住友海上ではNRIセキュアテクノロジーズ（以下 NRIセキュア）のサービスをどう活用していますか。

三井住友海上では、1997年以来(※1）、従業員の電子メール送受信、社内PCからのWEBアクセスといったインターネット接続環境および、その接点となるネットワーク境界のセキュリティ対策を、すべてNRIセキュアにアウトソースしています（※2）。

2008年現在において、提供を受けているサービス内容は以下の通りです。

• マルチホームインターネット接続環境
• ファイアウォール管理
• ウイルス検査
• URLフィルタリング
• スパム対策
• メール・WEB ログ保存、検索
• 特殊メールドメイン変換
• 各種レポート作成、送付

NRIセキュアには、すでに10年以上アウトソースをしていることになります。セキュリティレベルが高く、安定したインターネット接続環境が継続して提供されており、サービス品質には満足しています。

• ※1 （NRIセキュア 注）：1997年に住友海上火災へのサービスを開始した当時、NRIセキュアはまだNRI（野村総合研究所）の一部門でした。その後2000年8月に、NRIセキュアはNRIから分社独立しました。
• ※2 （三井住友海上 注）：NRIセキュアに委託しているのは「外部」との接続部分だけです。社内でのメール送受信やイントラネットなど「内部」のネット接続については、自社で運用しています。

- 「インターネット接続とセキュリティをNRIセキュアにアウトソースすることの三井住友海上にとっての価値」についてお聞かせください。

NRIセキュアにインターネット接続とセキュリティをアウトソースすることの三井住友海上にとっての価値は以下のとおりです。

1. セキュリティ対策全般を、専門家にまとめて委託できること
2. 大きな指針さえ示せば、個別の具体的な指示は必要がないこと
3. 24時間365日の安定運用の確保（セキュリティ監視、設備の可用性の高さ）
4. ハードウエア、ソフトウエアの資産、保守契約管理が不要になること
5. 「メーカー側の論理」に振り回されにくくなること
6. 各種セキュリティ製品を統合した「全体最適」が確保できること
7. 「他社で実績のある製品、対応手法」を使えることの安心感
8. 三井住友海上独自の個別ニーズへの柔軟な対応

- 順々にお聞きします。セキュリティをアウトソースすることの価値その1、「セキュリティ対策全般を、専門家にまとめて委託できること」とは具体的には。

企業のネットワークセキュリティを高水準で維持するためには、日々発見されるセキュリティホールや、次々に現れる新たな攻撃手法などに関する情報を収集し、リスクや影響度を判断した上で、セキュリティパッチを適用したり、設定変更を行うなどの適切な対処を行う必要があります。

こうした「適切な情報収集と対処作業」を、NRIセキュアというセキュリティ専門企業に、「サービスの購入」という形で委託できることは、三井住友海上のセキュリティを安定的に確保しつづける上で、価値あることといえます。

もし自社で対応しようとした場合には、セキュリティ全般に精通した人材を育成し、また、高度なセキュリティ監視インフラや検証用環境を構築・維持する必要があり、非常に高価になることが想定されます。

- セキュリティをアウトソースすることの価値その2、「大きな指針さえ示せば、個別の具体的な指示は必要がないこと」とは。

これは「全面アウトソース」していることの利点といえます。こちらからは、大きな設計、運用方針を説明すれば、細かい部分の実装は、すべてNRIセキュアの技術者が計画を立案し、実行してくれます。

また月に一度の定例報告の場では、サーバやネットワーク機器の稼働状況、メールやWEBアクセスログ等の統計情報、システム変更、障害、問い合わせ履歴などが、数十頁のレポートで提出されます。

「全面アウトソース」という形は「緊張感の欠如（『なあなあ』）」などの弊害も生じやすいのですが、NRIセキュアは、常に自らに説明責任を課す姿勢を保っており、好感が持てます。

- セキュリティをアウトソースすることの価値その3、「24時間365日の安定運用の確保（セキュリティ監視、設備の可用性の高さ） 」とは。

大量のスパムメール受信や、突発的なネットワークの高負荷状態などのインシデントに確実に対応するには、24時間365日のセキュリティ監視が必要不可欠です。

NRIセキュアへのアウトソースにおいては、その「24時間365日の監視」が高度に遂行されています。例えば電子メールの監視には、「配送遅延状況の監視」なども含まれており、ユーザ視点に立っている点が評価できます。

データセンター自体も、金融機関向けの設備としても十分な機能を有しており、全社員14,000人のインターネット接続環境を託すに足る堅牢な仕様、構成であり、安心感があります。

また、万が一の障害時にも、障害発生の連絡、原因の特定、予備機への交換といった対処など、「やるべきこと」が速やかに行われます。こちらには適宜連絡があり、それを受けるだけで、すべてのトラブル対応が完了します。「フルアウトソース」と呼ぶに足る体制です。

- セキュリティをアウトソースすることの価値その4、「ハードウエア、ソフトウエアの資産、保守契約管理が不要になること」とは。

自社において、様々なセキュリティ・ソフトウエアを、様々なハードウエアに搭載して運用する場合、各ソフトウエア、OS、ハードウエアの、「製品サポート終了に伴うバージョンアップ作業」や、「保守契約切れに対応した代替製品へのリプレース」などが、運用上の負荷となります。特にインターネットとの接続点においては、保守切れによってセキュリティホールへの対応が行えない、といった状況は許容できず、よ り厳密な運用が必要となり、さらに負荷は増します。
しかし、これらの課題は、セキュリティシステムを「資産を保有して自社で運用」するのではなく、「サービスとして外部から購入」することによって解決されます。

また、機器の資産管理や保守契約管理も不要となります。管理しなければならない項目が少しでも減ることで、より優先度の高い業務に時間を割くことが可能になります。

ハードウエア、ソフトウエアの保守管理の負荷から解放されることのメリットは非常に大きいと感じています。

- セキュリティをアウトソースすることの価値その5、「メーカー側の論理に振り回されにくくなること」とは。

セキュリティ製品を、自社で保有・管理している場合、「トラブルが起きたときのメーカーとの折衝」も負荷になります。

トラブル・不具合が生じた場合は、まずは各メーカーに問い合わせを入れますが、いずれのメーカーも初動として、まず「原因の切り分け」を行おうとします。

この「原因の切り分け」では、あえて単純化していうならば、各メーカーが「自分はトラブルの原因でないこと」を証明しようとする行為です。メーカーが、そこに執心する気持ちは理解できなくもありませんが、ユーザの立場からは「原因の切り分けより先に、まずトラブルの収束とシステムの早期復旧に時間と労力を使ってほしい」と考えたくなります。

しかし、NRIセキュアとの関係においては、このような「原因の切り分け」に時間が費やされることはありません。三井住友海上にとっての窓口はNRIセキュア一社だけなので、NRIセキュアは原理的に「責任回避」はできません。

メーカーとの折衝は、NRIセキュアの技術者が専門家として、ログの調査や検証環境での再現結果を基に理論武装した上で、メーカーと折衝してくれます。ユーザ側にとっては「頼もしい味方」です。

- セキュリティをアウトソースすることの価値その6、「各種セキュリティ製品を統合した『全体最適』が確保できること」とは。

セキュリティを高水準で維持するためには、ファイアウォール、ウイルス対策、スパム対策、URLフィルタリング、ログ管理などの各製品を、互いの特性や相性を考慮し、最適な構成として組み上げる必要があります。

製品構成を自社で考えようとした場合、各製品について、市場調査や動作検証などを行わなければなりません。また、各製品間で重複している機能の取捨選択や相互接続まで含めた検証や、不足機能の追加開発までを行うことは、事実上不可能であると予想されます。

製品の最適構成は、セキュリティの専門家に任せた方が良い選択ができると考えます。

- セキュリティをアウトソースすることの価値その7、「『他社で実績のある製品、対応手法』を使えることの安心感」とは。

NRIセキュアは、三井住友海上のほかにも、数多くの会社に対してインターネット接続やセキュリティサービスを提供しています。つまり、NRIセキュアが提案してくるサービスや対応手法は、「他社で実績がある手法」か、「安全性が十分に吟味された手法」のどちらかになります。

通常、SI会社やメーカーから提案を受ける場合、「そのやり方は他社で実績があるのか」が気になりますが、NRIセキュアへのアウトソースにおいては、あまり心配する必要はありません。安心感があります。

- セキュリティをアウトソースすることの価値その8、「三井住友海上の個別ニーズへの柔軟な対応」とは。

「サービス提供」というと各会社に対して画一的なサービスが提供される印象がありますが、NRIセキュアは、これまで様々な場面で、カスタマイズや追加開発に対応してくれました。特にコンプライアンス強化を目的としたレポートの作成などは、要件の大まかなイメージを伝えると、提案書としてまとめてくれるなど柔軟な対応力は評価に値します。

- ここまでは、「NRIセキュアにセキュリティをアウトソースすることの三井住友海上にとっての価値」についてお聞きしました。次に、「NRIセキュアの技術者への評価」について、お聞きしたく思います。

NRIセキュアの技術者は、「広く深い技術知識」、「対応のスピード感」、「セキュリティコンサルタントの役割を果たしてくれること」、「中立性（メーカー色が薄いところ）」などが良いと考えます。

第一の良い点、「広く深い技術知識」について。通常の技術者の多くは、知識が深い人であっても、「自分はネットワークに強い」、「サーバに強い」、「アプリケーションに強い」というように、その知識は自分の専門分野に限定されています。しかしNRIセキュアの技術者は、あらゆる技術についてまんべんなく良く知っています。いままで会話してきた中でNRIセキュアの技術者から「それは自分の専門分野ではないのでわかりません」といった回答が返ってきたことはありません。

第二の良い点、「対応のスピード感」について。NRIセキュアの場合、営業を介さず、専任の技術者と直接メールや電話でやりとりできるので、自ずと対応スピードが早くなります。技術者と会話していて、アイディアが発展したときに、「ではそのアイディアを実現するにはどれぐらい費用がかかるのかを知りたいので、見積もりをください」というように、一気に話を具体化できます。技術者がワンストップ対応してくれるのは、NRIセキュアの良い点です。

第三の良い点、「セキュリティコンサルタントの役割を果たしてくれること」について。セキュリティに関することで何か分からないことが生じたら、まずNRIセキュアの技術者に相談することにしています。最近はブラックベリーについて相談しました。NRIセキュアの技術者は、三井住友海上のセキュリティコンサルタントの役割を果たしてくれています。

第四の良い点、「中立性（メーカー色が薄い点）」について。先ほど述べた、NRIセキュアの技術者の「相談のしやすさ」は、NRIセキュアという会社自体が「特定のメーカーの色がついていない独立系の会社であること」にも依っています。妙な営業をされる心配なしに、純粋に相談ができます。