導入の背景
サイバーセキュリティへの取り組みを、ステークホルダーにわかりやすく伝えたい
歴史と伝統が息づく街、京都で地域とともに歩み続ける同行。滋賀、大阪、兵庫、奈良、愛知にも展開する広域型地方銀行として、その業績や経営戦略を統合報告書(ディスクロージャー誌)にまとめ、半期ごとに公開しています。
報告書に掲載される各種トピックのなかで、経営基盤を支えるサイバーセキュリティについても触れていますが、透明性の高い情報開示が求められるなか、従前はある課題を抱えていたと、システム部 理事部長の戸田誠二氏は話します。
株式会社京都銀行 システム部 理事部長 戸田 誠二 氏
戸田氏 これまで当行はサイバーセキュリティの状態を確認するために、金融庁の「サイバーセキュリティセルフアセスメント」(CSSA)に基づく自己評価や、セキュリティ専門家を招いた一問一答形式の評価を実施してきました。しかし、高い評価結果が出たとしても「本当にこれでいいのか…他の金融機関と比べてどうなのかを知りたい…」という気持ちが常にありました。
一方で、近年はサイバーセキュリティ対策の重要性がさらに高まっています。当行としては万全の策を講じているという自覚もありますが、そのような取り組みによる確かな安心感を、統合報告書でステークホルダーにわかりやすく伝えたいという思いがありました。
導入の決め手
業界平均と比較した対策状況が、スコアや偏差値で可視化できる
「一定以上のセキュリティ体制を施しているという自覚がある一方で、ステークホルダーに対して証明するため、より客観的な評価を行いたい」
そんな課題を解決すべく同行が採用したのが、Secure SketCHの自社評価向けのプラン(SINGLE PREMIUMプラン)でした。選んだ決め手について、システム部 審議役の矢島茂利氏と、システム部 次長の加野秀幸氏は次のように話します。
株式会社京都銀行 システム部 審議役 矢島 茂利 氏
矢島氏 Secure SketCHは第三者による客観的かつ俯瞰的な評価が得られる、他にはないソリューションだと感じました。評価結果は5段階のランク(S・A~D)やスコア、偏差値で定量的に可視化できるので、社内関係者間でわかりやすく、外部の人が見ても同様であろうと感じました。
統合報告書での掲載を見据えたとき、金融業界の平均との比較を容易に示せる点も選定の重要な決め手になりました。
図. 5段階のランクやスコア、偏差値で自社の対策状況を定量的に可視化できる。金融業界など、同業他社比較も可能
株式会社京都銀行 システム部 次長 加野 秀幸 氏
加野氏 サービス検討を始めたのは2022年3月ごろです。NRIセキュアの担当者に相談したところ、柔軟かつ迅速に対応していただけました。複数回の打ち合わせを重ね、サービス内容についても親切丁寧に説明していただきました。
数社のソリューションで検討を進めましたが、Secure SketCHはすでに多くの金融機関で採用実績があったので、安心して導入を決断することができました。
導入の成果1
導入2か月で評価を実現。統合報告書にSecure SketCHのスコアを掲載できた
同行は2022年4月にSecure SketCHの導入を決定し、導入後2ヶ月で同行のセキュリティ評価を完了しました。導入時の印象を戸田氏は次のように振り返ります。
戸田氏 NRIセキュアさんには迅速に対応していただきました。わずか2ヶ月というスピード感で、他の金融業界との比較を含んだ客観的な評価結果を得られました。当行のセキュリティ対策状況の対外説明に、客観的な評価結果を取り入れることで、これまでと比べ説明内容の質が向上したと思います。後に開催された2022年6月の株主総会の準備にも、評価結果を活かすことができました。
また当行が2022年7月に発行したステークホルダーに向けの統合報告書に、サイバーセキュリティ向上の取り組みとして、評価結果を掲載することができました。セキュリティ対策状況の客観的なエビデンスを社外に開示することで、当行に対する評価の視線の水準がワンステージあがったように感じています。
図. 京都銀行「統合報告書(ディスクロージャー誌)2022」において、Secure SketCHの評価結果を掲載
参照:https://www.kyotobank.co.jp/investor/disc/02disc_2022.html
加野氏 Secure SketCHの利用方法や注意点などもフォローしていただいたので、運用開始もスムーズでした。以前は統合報告書にセキュリティの結果を掲載するために、各部門から資料を集めたり、新たなにエビデンスを収集したりと苦労がありましたが、Secure SketCHの導入により、そうした負担が軽減されました。客観的なスコアの開示を、負荷軽減と共に実現できたので、大変感謝しています。
導入の成果2
自動診断結果を保守ベンダーと共有し強靭な体制を実現できた
同行はSecure SketCHの自動診断機能(SecurityScorecard社のレーティングサービス)で得られた結果を、セキュリティ診断・パッチ適用を実施するベンダーとも共有し、セキュリティ体制の強化ツールの一つとして利用しています。その成果について、戸田氏・加野氏はこう語ります。
戸田氏 Secure SketCHによる当行のセキュリティ評価結果は、業界平均と比較しても高得点でした。以前の自己評価では良い結果が出ても客観性に不安を抱えていましたが、Secure SketCHの自動診断は10種類のカテゴリと約80の診断項目から客観的に評価されるので、「これまでの取り組みは間違っていなかった」と実態をともなう自信をもつことができました。
図. Secure SketCH 自動診断(SecurityScorecard社のレーティングサービス)の結果の例
加野氏 Secure SketCHの評価基準を軸にして、部内のセキュリティ体制や資料管理のあり方を見直しました。これにより、結果として最適な体系構築につながったと思います。
また、自動診断は「評価」という本来の目的にとどまらず、セキュリティ対策の運用強化というより実務的なメリットにもつながったと、矢島氏は話します。
矢島氏 セキュリティ対策に「ここまでやれば完璧」というゴールはなく、我々は攻撃者の脅威と向き合い続けなければなりません。Secure SketCHの自動診断を使うと、評価のたびに回答する手続きは不要で、自動的かつ継続的に評価される点が非常に有用です。自動診断のスコア(ランク)に変動があると、我々と保守ベンダーにメールで通知が届くように設定しているので、即座に連携して具体的な改善アクションを行えるようになりました。
図. 公開情報を基に自動で評価。ランクに変動がある場合はメールで通知が届く
今後の展望
地域金融機関同士の共助体制を構築。業界一丸となってサイバーセキュリティの底上げを目指す
最後に、今後のセキュリティへの取り組みに関する同行の展望やNRIセキュアへの期待を語っていただきました。
戸田氏 Secure SketCHは一度評価して終わりではなく、セキュリティ担当者の負担を抑えながら継続して評価し続けられるところが最大の魅力だと思います。NRIセキュアにはこれからも、Secure SketCHのさらなるサービス向上と末長い支援を期待しています。
Secure SketCH導入後の2023年3月、同行は地銀共同センターに参加する12の銀行とMEJARの参加行が立ち上げたシステム・ワーキンググループの取り組みとして、サイバーセキュリティ分野での連携組織「CMS-CSIRT」を共同で設立しました。金融業界を取り巻くサイバー関連の脅威が増すなか、セキュリティ担当者に向けた勉強会、対応訓練や情報提供などを実施することで、安定した金融インフラの継続的な提供を目指しています。
加野氏 CMS-CSIRTの設立により、他の地域金融機関とのサイバーセキュリティに関する共助体制が整いました。今後は金融業界同士がさらなる連携を強め、セキュリティレベルの向上に努めていきたい。そうした取り組みのなかで、Secure SketCHは共助の観点でも活用の可能性がある有用なソリューションだと感じています。
また、当行としては、セキュリティレベルの向上といった業務インフラの整備を進めながら、地域企業さまの支援などを通じて、引き続き地域社会の継続的な発展のお手伝いをしてまいります。
矢島氏 サイバー攻撃の複雑化、巧妙化が進んだ今、中堅・中小事業者の被害事例も聞こえてきます。事業者の継続的な発展を支援する地方銀行の立場として、NRIセキュアのソリューションが地域企業さまにも浸透し、セキュリティレベルの更なる底上げにつながることを期待しています。
前列左から矢島様、戸田様、加野様(京都銀行)
後列左から瀬戸、足立、薮内(弊社)
※本文中の組織名、職名、概要図は2023年5月時点のものです。
