導入事例

セキュリティ監視・SOC(FNCサービス) セキュアインターネット接続サービス 導入事例三井住友海上火災保険株式会社 様

三井住友海上では、社員14000人のインターネット接続とセキュリティを、1997年以来、NRIセキュアテクノロジーズにアウトソースしています

「三井住友海上では、社員14000人のインターネット接続とセキュリティを、1997年以来、NRIセキュアテクノロジーズにアウトソースしています」 三井住友海上システムズ 猪塚千明氏 高田浩平氏 石井勝紀氏
三井住友海上火災保険株式会社

総合損害保険会社、三井住友海上火災保険株式会社の情報システムを構築・運用しているグループ会社、三井住友海上システムズ株式会社 システム運用部 高田浩平 氏(写真中央)、石井勝紀 氏(写真右)、営業支援システム部 猪塚千明 氏(写真左)にNRIセキュアテクノロジーズへの評価について詳しく聞いた。

三井住友海上火災保険の概要

三井住友海上は、2001年に三井海上火災と住友海上火災が合併してできた、総合損害保険会社です。2008年4月には「三井住友海上グループホールディングス株式会社」を設立し、持株会社体制に移行しました。「GKクルマの保険」や「ホームピカイチ火災保険」などが最近の主な保険商品です。2007年の正味収入保険料(※)は、約1兆5,400億円(連結)。従業員数は約14,000名、代理店数は約47,000店です。

※「正味収入保険料とは一般企業における『売上高』に相当する数字です」

三井住友海上はNRIセキュアテクノロジーズをどう活用しているか

三井住友海上では、1997年以来(※1)、従業員の電子メール送受信、社内PCからのWEBアクセスといったインターネット接続環境および、その接点となるネットワーク境界のセキュリティ対策を、すべてNRIセキュアにアウトソースしています(※2)。

2008年現在において、提供を受けているサービス内容は以下の通りです。

  • マルチホームインターネット接続環境
  • ファイアウォール管理
  • ウイルス検査
  • URLフィルタリング
  • スパム対策
  • メール・WEB ログ保存、検索
  • 特殊メールドメイン変換
  • 各種レポート作成、送付

NRIセキュアには、すでに10年以上アウトソースをしていることになります。セキュリティレベルが高く、安定したインターネット接続環境が継続して提供されており、サービス品質には満足しています。

  • ※1 (NRIセキュア 注):1997年に住友海上火災へのサービスを開始した当時、NRIセキュアはまだNRI(野村総合研究所)の一部門でした。その後2000年8月に、NRIセキュアはNRIから分社独立しました。
  • ※2 (三井住友海上 注):NRIセキュアに委託しているのは「外部」との接続部分だけです。社内でのメール送受信やイントラネットなど「内部」のネット接続については、自社で運用しています。

NRIセキュアにインターネット接続とセキュリティをアウトソースすることの価値

NRIセキュアにインターネット接続とセキュリティをアウトソースすることの三井住友海上にとっての価値は以下のとおりです。

  1. セキュリティ対策全般を、専門家にまとめて委託できること
  2. 大きな指針さえ示せば、個別の具体的な指示は必要がないこと
  3. 24時間365日の安定運用の確保(セキュリティ監視、設備の可用性の高さ)
  4. ハードウエア、ソフトウエアの資産、保守契約管理が不要になること
  5. 「メーカー側の論理」に振り回されにくくなること
  6. 各種セキュリティ製品を統合した「全体最適」が確保できること
  7. 「他社で実績のある製品、対応手法」を使えることの安心感
  8. 三井住友海上独自の個別ニーズへの柔軟な対応

価値その1.「セキュリティ対策全般を、専門家にまとめて委託できる」

企業のネットワークセキュリティを高水準で維持するためには、日々発見されるセキュリティホールや、次々に現れる新たな攻撃手法などに関する情報を収集し、リスクや影響度を判断した上で、セキュリティパッチを適用したり、設定変更を行うなどの適切な対処を行う必要があります。

こうした「適切な情報収集と対処作業」を、NRIセキュアというセキュリティ専門企業に、「サービスの購入」という形で委託できることは、三井住友海上のセキュリティを安定的に確保しつづける上で、価値あることといえます。

もし自社で対応しようとした場合には、セキュリティ全般に精通した人材を育成し、また、高度なセキュリティ監視インフラや検証用環境を構築・維持する必要があり、非常に高価になることが想定されます。

価値その2.「大きな指針さえ示せば、個別の具体的な指示は必要ない」

これは「全面アウトソース」していることの利点といえます。こちらからは、大きな設計、運用方針を説明すれば、細かい部分の実装は、すべてNRIセキュアの技術者が計画を立案し、実行してくれます。

また月に一度の定例報告の場では、サーバやネットワーク機器の稼働状況、メールやWEBアクセスログ等の統計情報、システム変更、障害、問い合わせ履歴などが、数十頁のレポートで提出されます。

「全面アウトソース」という形は「緊張感の欠如(『なあなあ』)」などの弊害も生じやすいのですが、NRIセキュアは、常に自らに説明責任を課す姿勢を保っており、好感が持てます。

価値その3.「24時間365日の安定運用の確保」

大量のスパムメール受信や、突発的なネットワークの高負荷状態などのインシデントに確実に対応するには、24時間365日のセキュリティ監視が必要不可欠です。

NRIセキュアへのアウトソースにおいては、その「24時間365日の監視」が高度に遂行されています。例えば電子メールの監視には、「配送遅延状況の監視」なども含まれており、ユーザ視点に立っている点が評価できます。

データセンター自体も、金融機関向けの設備としても十分な機能を有しており、全社員14,000人のインターネット接続環境を託すに足る堅牢な仕様、構成であり、安心感があります。

また、万が一の障害時にも、障害発生の連絡、原因の特定、予備機への交換といった対処など、「やるべきこと」が速やかに行われます。こちらには適宜連絡があり、それを受けるだけで、すべてのトラブル対応が完了します。「フルアウトソース」と呼ぶに足る体制です。

価値その4.「ハードウエア、ソフトウエアの資産、保守契約管理が不要」

- セキュリティをアウトソースすることの価値その4、「ハードウエア、ソフトウエアの資産、保守契約管理が不要になること」とは。

自社において、様々なセキュリティ・ソフトウエアを、様々なハードウエアに搭載して運用する場合、各ソフトウエア、OS、ハードウエアの、「製品サポート終了に伴うバージョンアップ作業」や、「保守契約切れに対応した代替製品へのリプレース」などが、運用上の負荷となります。特にインターネットとの接続点においては、保守切れによってセキュリティホールへの対応が行えない、といった状況は許容できず、より厳密な運用が必要となり、さらに負荷は増します。
しかし、これらの課題は、セキュリティシステムを「資産を保有して自社で運用」するのではなく、「サービスとして外部から購入」することによって解決されます。

また、機器の資産管理や保守契約管理も不要となります。管理しなければならない項目が少しでも減ることで、より優先度の高い業務に時間を割くことが可能になります。

ハードウエア、ソフトウエアの保守管理の負荷から解放されることのメリットは非常に大きいと感じています。

価値その5.「メーカー側の論理に振り回されにくくなる」

- セキュリティをアウトソースすることの価値その5、「メーカー側の論理に振り回されにくくなること」とは。

セキュリティ製品を、自社で保有・管理している場合、「トラブルが起きたときのメーカーとの折衝」も負荷になります。

トラブル・不具合が生じた場合は、まずは各メーカーに問い合わせを入れますが、いずれのメーカーも初動として、まず「原因の切り分け」を行おうとします。

この「原因の切り分け」では、あえて単純化していうならば、各メーカーが「自分はトラブルの原因でないこと」を証明しようとする行為です。メーカーが、そこに執心する気持ちは理解できなくもありませんが、ユーザの立場からは「原因の切り分けより先に、まずトラブルの収束とシステムの早期復旧に時間と労力を使ってほしい」と考えたくなります。

しかし、NRIセキュアとの関係においては、このような「原因の切り分け」に時間が費やされることはありません。三井住友海上にとっての窓口はNRIセキュア一社だけなので、NRIセキュアは原理的に「責任回避」はできません。

メーカーとの折衝は、NRIセキュアの技術者が専門家として、ログの調査や検証環境での再現結果を基に理論武装した上で、メーカーと折衝してくれます。ユーザ側にとっては「頼もしい味方」です。

価値その6.「各種セキュリティ製品を統合した『全体最適』が確保できる」

- セキュリティをアウトソースすることの価値その6、「各種セキュリティ製品を統合した『全体最適』が確保できること」とは。

セキュリティを高水準で維持するためには、ファイアウォール、ウイルス対策、スパム対策、URLフィルタリング、ログ管理などの各製品を、互いの特性や相性を考慮し、最適な構成として組み上げる必要があります。

製品構成を自社で考えようとした場合、各製品について、市場調査や動作検証などを行わなければなりません。また、各製品間で重複している機能の取捨選択や相互接続まで含めた検証や、不足機能の追加開発までを行うことは、事実上不可能であると予想されます。

製品の最適構成は、セキュリティの専門家に任せた方が良い選択ができると考えます。

価値その7.「『他社で実績のある製品、対応手法』を使えることの安心感」

- セキュリティをアウトソースすることの価値その7、「『他社で実績のある製品、対応手法』を使えることの安心感」とは。

NRIセキュアは、三井住友海上のほかにも、数多くの会社に対してインターネット接続やセキュリティサービスを提供しています。つまり、NRIセキュアが提案してくるサービスや対応手法は、「他社で実績がある手法」か、「安全性が十分に吟味された手法」のどちらかになります。

通常、SI会社やメーカーから提案を受ける場合、「そのやり方は他社で実績があるのか」が気になりますが、NRIセキュアへのアウトソースにおいては、あまり心配する必要はありません。安心感があります。

価値その8.「三井住友海上の個別ニーズへの柔軟な対応」

- セキュリティをアウトソースすることの価値その8、「三井住友海上の個別ニーズへの柔軟な対応」とは。

「サービス提供」というと各会社に対して画一的なサービスが提供される印象がありますが、NRIセキュアは、これまで様々な場面で、カスタマイズや追加開発に対応してくれました。特にコンプライアンス強化を目的としたレポートの作成などは、要件の大まかなイメージを伝えると、提案書としてまとめてくれるなど柔軟な対応力は評価に値します。

NRIセキュアの技術者への評価

NRIセキュアの技術者は、「広く深い技術知識」、「対応のスピード感」、「セキュリティコンサルタントの役割を果たしてくれること」、「中立性(メーカー色が薄いところ)」などが良いと考えます。

第一の良い点、「広く深い技術知識」について。通常の技術者の多くは、知識が深い人であっても、「自分はネットワークに強い」、「サーバに強い」、「アプリケーションに強い」というように、その知識は自分の専門分野に限定されています。しかしNRIセキュアの技術者は、あらゆる技術についてまんべんなく良く知っています。いままで会話してきた中でNRIセキュアの技術者から「それは自分の専門分野ではないのでわかりません」といった回答が返ってきたことはありません。

第二の良い点、「対応のスピード感」について。NRIセキュアの場合、営業を介さず、専任の技術者と直接メールや電話でやりとりできるので、自ずと対応スピードが早くなります。技術者と会話していて、アイディアが発展したときに、「ではそのアイディアを実現するにはどれぐらい費用がかかるのかを知りたいので、見積もりをください」というように、一気に話を具体化できます。技術者がワンストップ対応してくれるのは、NRIセキュアの良い点です。

第三の良い点、「セキュリティコンサルタントの役割を果たしてくれること」について。セキュリティに関することで何か分からないことが生じたら、まずNRIセキュアの技術者に相談することにしています。最近はブラックベリーについて相談しました。NRIセキュアの技術者は、三井住友海上のセキュリティコンサルタントの役割を果たしてくれています。

第四の良い点、「中立性(メーカー色が薄い点)」について。先ほど述べた、NRIセキュアの技術者の「相談のしやすさ」は、NRIセキュアという会社自体が「特定のメーカーの色がついていない独立系の会社であること」にも依っています。妙な営業をされる心配なしに、純粋に相談ができます。

今後の期待

三井住友海上は、今後もネットワークセキュリティを強化し、内部統制、法令遵守、個人情報保護などの社会的要請に応えていく所存です。NRIセキュアには、今の高い技術力とサービス提供力をさらに向上させ、三井住友海上のセキュリティへの取り組みに倍旧の支援をいただくことを期待します。今後ともよろしくお願いいたします。

※本文中の組織名、職名、概要図は公開当時のものです。(2008年)