MS&ADシステムズは、世界トップ水準の保険・金融グループを目指すMS&ADインシュアランスグループをITシステムの企画・開発・運用面で支え、事業会社各社の目標実現を支援し、デジタル技術をベースにした新たな保険商品やサービスをタイムリーに提供してグループ全体の価値を高めていこうとしています。
同時に、グループ全体で数百万件にも及ぶ顧客の個人情報を預かることから、それらの保護も重要なミッションと位置づけてきました。国内はもちろん、GDPR(EU一般データ保護規則)をはじめとする海外の各種法規制が求める水準を満たすセキュリティ対策を実施しています。
MS&ADインシュアランスグループのシステムは、MS&ADシステムズが開発する「全社システム」と、保険事業会社の各事業部門が、より現場のニーズに則する形でスピードも重視しながら開発する「部門システム」に大別されます。いずれも、実装段階でのセキュアプログラミングや、リリース前の検証段階でのセキュリティ診断という形で、システム開発工程の後半でセキュリティ対策を実施していたため、いくつかの課題が浮上していました。
システム開発工程の前半ではどのようなシステムを作るかに集中しがちで、セキュリティは後半の実装やテスト段階で担保すればいいという雰囲気が感じられるケースもありました。そのため、リリース直前のセキュリティ診断で不備が発覚することによりリリース期限を守れなくなったり、セキュリティ不備を修正することによりコストが増加するといったリスクを認識していました。
「部門システム」の開発においては、セキュリティやシステムが専門ではない事業部門が直接外部委託を行うことが多いため、これらのリスクを排除するには、事業部門の担当者のセキュリティにかかる専門知識のレベルに依存せず、必要とされるレベルのセキュリティを確保するスキームの構築の必要性を感じていました。
システム開発の後半ではなく早い段階から守るべきデータを特定して十分なセキュリティを施した設計ができれば、リリース遅延や追加コスト発生といったリスクを抑えられるのではないか——。こんな問題意識に答え、最適なアプローチとして「シフトレフト」「セキュリティ・バイ・デザイン」といった考え方をNRIセキュアテクノロジーズ(以下、NRIセキュア)から提案されました。
従来、NRIセキュアとはセキュリティ診断などをお願いする関係でしたが、それ以外の場面でも常日頃からセキュリティに関する提言を受けており、会社としての知見やノウハウだけでなく、サービスをデリバリしてくれる「人」への信頼関係がありました。
提案を受けた際に重視したのが、MS&ADシステムズでシステムリスクを担当するメンバーの知見・スキルの向上です。「これを作ってください、お願いします」とNRIセキュアに丸投げして終わるのではなく、ともに検討し、主体的に作り上げていきたいという思いを持っていました。
そこで、過去のセキュリティ診断から得られた知見や最新のセキュリティリスクの動向や対策、金融庁をはじめとする監督官庁のガイドラインやグローバルな動向など、NRIセキュアが持っている専門的な知見を提供してもらいました。これらのインプットをもとに一緒に考え、MS&ADシステムズらしいセキュリティ・バイ・デザインのあり方を作り上げていきました。NRIセキュアという会社だけでなく、担当していただいた方たちのヒューマンバリューも大きかったと考えています。
新スキームでは、保険事業会社が新たな部門システムの企画を立てて、外部パートナーにRFPを提示する際、「どんなシステムを作りたいか」だけでなく、システム内のどこにどのような重要な情報があり、どのようなネットワークでつながり、どんなフローで処理されるため、どういった対策を講じる必要があるか、といった事柄を「セキュリティ対策充足確認資料の記載要領」としてガイド化し、伝えてもらうようにしました。その後、外部パートナーから提案書とともに受け取った「セキュリティ設計資料」を確認すれば、自然とセキュリティ要件に漏れがないかを確認できる仕組みを作りました。
当初は、いわゆる「チェックリスト」による確認も検討しましたが、それだけではセキュリティ意識が定着せず、形骸化の恐れがあると判断しました。
いくつかのプロジェクトでこのスキームを試行し、2022年10月から本格運用を開始しています。セキュリティ品質が向上し、検査段階で不備が発覚することによるリリース期日の遅れや、追加の改修に要するコスト増大のリスクを減らすことができたと感じています。試行プロジェクトでは、「このオープンソースソフトウェアはバージョンが古く、脆弱性の問題があるのではないか」といった指摘が現に挙がりました。早い段階でセキュリティリスクをつぶすことができ、「このスキームならうまくいける」と確信しています。
部門システムの開発主体である保険事業会社側に新たな負担をかけることなく、セキュリティ要件を満たしているかどうかを自然と確認できる環境が整ったこともポイントです。事業部門の担当者の専門知識のレベルに依存せず、一定のセキュリティを施したシステムの提案をいただけるようになっています。
「セキュリティ対策充足確認資料の記載要領」によって、守るべきデータがどこにあるかを可視化し意識することで、保険事業会社内ではどこか遠い世界の話と受け取られがちだったサイバー攻撃についても、「もしかするとうちの部門システムに関係があるかもしれない」といったセキュリティ対策意識を高く持つモチベーションも生まれ始めました。
今回のプロジェクトでは、提案段階でセキュリティ要件を確認するセキュリティ・バイ・デザインのスキームを整備し、問題意識を具体的な形に落とし込むことができました。ただ、今後も世界情勢の変動などを背景に新たな脅威が到来することは間違いありません。それに備え、運用局面の中で定期的に点検していく方針です。
具体的には、部門システムだけでなく全社システムも含め、グループ全体で効率よくセキュリティの要件を満たし、定期的に確認して漏れのないようにしていくプロセスを作っていきたいと考えています。引き続きNRIセキュアに伴走してもらいながら、高い知見やノウハウをいただき一緒に考えていきたいと思います。
また、損害保険業界全体のトレンドでもある、ドローンやドライブレコーダーといったさまざまな「モノ」をつなぐ、IoTを活用したサービス領域での導入も視野に入れています。今後はそれらから得られるデータのセキュリティについても、セキュリティ・バイ・デザインの考え方をベースに取り組んでいく方針です。
最後に、セキュリティはチェックリストに印を付ければOKというものではありません。「これは自分たちのシステムなんだ」というオーナーシップを保険事業会社及びMS&ADシステムズのメンバーが持ち、さらに、「ここに守らなければならないデータがあるから、このような対策を施していかなくてはだめなんだ」と腹落ちした形で対策をしていかなければならないと思います。システムオーナーとしてのモチベーションをグループ内で高めつつ、セキュリティを担保するスキームの整備に引き続き取り組んでいきます。
※本文中の組織名、職名、概要図は2023年3月時点のものです。