三井住友海上では、1997年以来※1、従業員の電子メール送受信、社内PCからのWEBアクセスといったインターネット接続環境および、その接点となるネットワーク境界のセキュリティ対策を、すべてNRIセキュアにアウトソースしています※2。
2008年現在において、提供を受けているサービス内容は以下の通りです。
NRIセキュアにインターネット接続とセキュリティをアウトソースすることの三井住友海上にとっての価値は以下のとおりです。
企業のネットワークセキュリティを高水準で維持するためには、日々発見されるセキュリティホールや、次々に現れる新たな攻撃手法などに関する情報を収集し、リスクや影響度を判断した上で、セキュリティパッチを適用したり、設定変更を行うなどの適切な対処を行う必要があります。
こうした「適切な情報収集と対処作業」を、NRIセキュアというセキュリティ専門企業に、「サービスの購入」という形で委託できることは、三井住友海上のセキュリティを安定的に確保しつづける上で、価値あることといえます。
もし自社で対応しようとした場合には、セキュリティ全般に精通した人材を育成し、また、高度なセキュリティ監視インフラや検証用環境を構築・維持する必要があり、非常に高価になることが想定されます。
これは「全面アウトソース」していることの利点といえます。こちらからは、大きな設計、運用方針を説明すれば、細かい部分の実装は、すべてNRIセキュアの技術者が計画を立案し、実行してくれます。
また月に一度の定例報告の場では、サーバやネットワーク機器の稼働状況、メールやWEBアクセスログ等の統計情報、システム変更、障害、問い合わせ履歴などが、数十頁のレポートで提出されます。
「全面アウトソース」という形は「緊張感の欠如(『なあなあ』)」などの弊害も生じやすいのですが、NRIセキュアは、常に自らに説明責任を課す姿勢を保っており、好感が持てます。
大量のスパムメール受信や、突発的なネットワークの高負荷状態などのインシデントに確実に対応するには、24時間365日のセキュリティ監視が必要不可欠です。
NRIセキュアへのアウトソースにおいては、その「24時間365日の監視」が高度に遂行されています。例えば電子メールの監視には、「配送遅延状況の監視」なども含まれており、ユーザ視点に立っている点が評価できます。
データセンター自体も、金融機関向けの設備としても十分な機能を有しており、全社員14,000人のインターネット接続環境を託すに足る堅牢な仕様、構成であり、安心感があります。
また、万が一の障害時にも、障害発生の連絡、原因の特定、予備機への交換といった対処など、「やるべきこと」が速やかに行われます。こちらには適宜連絡があり、それを受けるだけで、すべてのトラブル対応が完了します。「フルアウトソース」と呼ぶに足る体制です。
自社において、様々なセキュリティ・ソフトウエアを、様々なハードウエアに搭載して運用する場合、各ソフトウエア、OS、ハードウエアの、「製品サポート終了に伴うバージョンアップ作業」や、「保守契約切れに対応した代替製品へのリプレース」などが、運用上の負荷となります。特にインターネットとの接続点においては、保守切れによってセキュリティホールへの対応が行えない、といった状況は許容できず、より厳密な運用が必要となり、さらに負荷は増します。
しかし、これらの課題は、セキュリティシステムを「資産を保有して自社で運用」するのではなく、「サービスとして外部から購入」することによって解決されます。
また、機器の資産管理や保守契約管理も不要となります。管理しなければならない項目が少しでも減ることで、より優先度の高い業務に時間を割くことが可能になります。
ハードウエア、ソフトウエアの保守管理の負荷から解放されることのメリットは非常に大きいと感じています。
セキュリティ製品を、自社で保有・管理している場合、「トラブルが起きたときのメーカーとの折衝」も負荷になります。
トラブル・不具合が生じた場合は、まずは各メーカーに問い合わせを入れますが、いずれのメーカーも初動として、まず「原因の切り分け」を行おうとします。
この「原因の切り分け」では、あえて単純化していうならば、各メーカーが「自分はトラブルの原因でないこと」を証明しようとする行為です。メーカーが、そこに執心する気持ちは理解できなくもありませんが、ユーザの立場からは「原因の切り分けより先に、まずトラブルの収束とシステムの早期復旧に時間と労力を使ってほしい」と考えたくなります。
しかし、NRIセキュアとの関係においては、このような「原因の切り分け」に時間が費やされることはありません。三井住友海上にとっての窓口はNRIセキュア一社だけなので、NRIセキュアは原理的に「責任回避」はできません。
メーカーとの折衝は、NRIセキュアの技術者が専門家として、ログの調査や検証環境での再現結果を基に理論武装した上で、メーカーと折衝してくれます。ユーザ側にとっては「頼もしい味方」です。
セキュリティを高水準で維持するためには、ファイアウォール、ウイルス対策、スパム対策、URLフィルタリング、ログ管理などの各製品を、互いの特性や相性を考慮し、最適な構成として組み上げる必要があります。
製品構成を自社で考えようとした場合、各製品について、市場調査や動作検証などを行わなければなりません。また、各製品間で重複している機能の取捨選択や相互接続まで含めた検証や、不足機能の追加開発までを行うことは、事実上不可能であると予想されます。
製品の最適構成は、セキュリティの専門家に任せた方が良い選択ができると考えます。
NRIセキュアは、三井住友海上のほかにも、数多くの会社に対してインターネット接続やセキュリティサービスを提供しています。つまり、NRIセキュアが提案してくるサービスや対応手法は、「他社で実績がある手法」か、「安全性が十分に吟味された手法」のどちらかになります。
通常、SI会社やメーカーから提案を受ける場合、「そのやり方は他社で実績があるのか」が気になりますが、NRIセキュアへのアウトソースにおいては、あまり心配する必要はありません。安心感があります。
「サービス提供」というと各会社に対して画一的なサービスが提供される印象がありますが、NRIセキュアは、これまで様々な場面で、カスタマイズや追加開発に対応してくれました。特にコンプライアンス強化を目的としたレポートの作成などは、要件の大まかなイメージを伝えると、提案書としてまとめてくれるなど柔軟な対応力は評価に値します。
NRIセキュアの技術者は、「広く深い技術知識」、「対応のスピード感」、「セキュリティコンサルタントの役割を果たしてくれること」、「中立性(メーカー色が薄いところ)」などが良いと考えます。
通常の技術者の多くは、知識が深い人であっても、「自分はネットワークに強い」、「サーバに強い」、「アプリケーションに強い」というように、その知識は自分の専門分野に限定されています。しかしNRIセキュアの技術者は、あらゆる技術についてまんべんなく良く知っています。いままで会話してきた中でNRIセキュアの技術者から「それは自分の専門分野ではないのでわかりません」といった回答が返ってきたことはありません。
NRIセキュアの場合、営業を介さず、専任の技術者と直接メールや電話でやりとりできるので、自ずと対応スピードが早くなります。技術者と会話していて、アイディアが発展したときに、「ではそのアイディアを実現するにはどれぐらい費用がかかるのかを知りたいので、見積もりをください」というように、一気に話を具体化できます。技術者がワンストップ対応してくれるのは、NRIセキュアの良い点です。
セキュリティに関することで何か分からないことが生じたら、まずNRIセキュアの技術者に相談することにしています。最近はブラックベリーについて相談しました。NRIセキュアの技術者は、三井住友海上のセキュリティコンサルタントの役割を果たしてくれています。
先ほど述べた、NRIセキュアの技術者の「相談のしやすさ」は、NRIセキュアという会社自体が「特定のメーカーの色がついていない独立系の会社であること」にも依っています。妙な営業をされる心配なしに、純粋に相談ができます。
三井住友海上は、今後もネットワークセキュリティを強化し、内部統制、法令遵守、個人情報保護などの社会的要請に応えていく所存です。NRIセキュアには、今の高い技術力とサービス提供力をさらに向上させ、三井住友海上のセキュリティへの取り組みに倍旧の支援をいただくことを期待します。今後ともよろしくお願いいたします。
※本文中の組織名、職名、概要図は公開当時のものです。(2008年)