導入の背景
客観的な実態把握とリスクコミュニケーションのためのツールを求めていた
従前、同社が抱えていたセキュリティ管理に関する課題について、リスク統括部の鶴田貴大氏は次のように話します。
株式会社三菱UFJフィナンシャル・グループ リスク統括部 鶴田 貴大 氏
鶴田氏 MUFGが「金融・デジタルプラットフォーマー」としてビジネス展開を進めるうえで、関係組織との多様かつ非定型なつながりはますます広がっています。こうした状況下でビジネスの成長と顧客保護の双方を実現するためには、自社や関係組織のセキュリティ管理状況の実態を把握することが重要です。
MUFGでは、関係組織のセキュリティ管理状況を確認するために独自のチェックリストを用いた自己問診を実施してきましたが、それに加えて事実や第三者評価といった情報を踏まえた、より客観的な視点での実態把握を実現したいと考えていました。
リスクコミュニケーションにおいて、立場や所管するビジネスが異なると相互理解を深めるのは難しいものです。そこで、国内外を問わず目的や立場の異なるステークホルダーにとって共通認識を図るためのツールを求めていました。
選定のポイント
NRIセキュアの豊富な知識によるサポートと、利用者に配慮したサービスの使いやすさが導入の決め手に
課題解決の手段として、サイバー攻撃への防衛力の格付けを行うセキュリティレーティングサービスの検討をはじめた同社。各社が提供するソリューションの情報を集め、他社の導入実績なども踏まえてNRIセキュアのSecure SketCHを選定しました。その決め手を鶴田氏はこう話します。
鶴田氏 NRIセキュアがセキュリティレーティングサービスやASM(攻撃対象領域管理)についての知識が非常に豊富であったこと、また診断結果の解釈に関するアドバイスを継続的に実施いただけたことが決め手となりました。
加えて、Secure SketCHがツールのインストールが不要で、多言語対応しているため、関係組織に展開しやすいこともポイントになりました。
同社は、Secure SketCHのなかで実装されている自動診断(SecurityScorecardを連携)の活用を企図。本格導入に向けてPoC(概念検証)を実施し、操作性やダッシュボードの見やすさなどを確認しました。そこで改めて感じた手応えについて、鶴田氏は振り返ります。
鶴田氏 Secure SketCHは直感的な操作が可能なうえに、利用ガイドも体系的にまとめられていて自社内部や関係組織でも使いやすいサービスです。世の中全体でセキュリティ人材やグローバル人材の不足が叫ばれる今、高機能なサービスを導入したとしても、使いづらければ現場に浸透していきません。
Secure SketCHは日本語対応している点や、SecurityScorecardによる診断結果にNRIセキュアが専門家の観点から解説や推奨事項を付与している点など、利用者に配慮した工夫がなされていると感じました。
図. SecurityScorecard社と連携した自動診断により、サイバー攻撃視点での客観的な評価を行える
ドメインに紐づくインターネット上のサーバーや、DNS等の公開情報を継続的に収集し、分析・評価している
また、Secure SketCHの自動診断の採用にあたって、リスク統括部は組織内の足並みが乱れないよう、慎重に導入を進めていったようです。
鶴田氏 SecurityScorecardについては、Web上で確認できる国内の導入事例が少なく、自動診断によるサイバー格付け(第三者評価)の結果をどのように受け止めればよいか、その価値について、関係者間で共通認識を持つために苦労しました。
SecurityScorecard社が発信している日経225企業を対象とした診断レポートなどを参考にしながら、自社・関係組織の立ち位置や傾向を相対的に把握し、リスクコミュニケーションにおける自動診断の有用性を訴求していきました。
導入の効果1
客観的な実態把握とリスクコミュニケーションが可能に
同社はSecure SketCHの導入後、現在はMUFGグループやサードパーティを含む100社以上を対象に、Secure SketCHの自動診断によるセキュリティリスクの評価を行っています。その成果について、鶴田氏は次のように語ります。
鶴田氏 従来の自己問診に加えてSecure SketCHの自動診断を活用することで、脆弱性や設定不備などを検出し、実態を把握することが可能になりました。また、スコアや格付けという形で第三者評価の結果が可視化されており、より客観的な視点を持つことができるようになりました。こうした事実に基づく情報があることで、経営層に対するレポーティングや関係組織との協議等、リスクコミュニケーションも行いやすくなりました。
図. Secure SketCH 自動診断のグループ評価イメージ
グループ総合評価を得点やランクで可視化でき、各社の評価結果を横並びで比較が可能
リスク統括部はSecure SketCHの自動診断をもとに作成したベンチマークを、社長や頭取、C-Suiteに共有しました。その反応や評価について、リスク統括部の榊原麗歌氏はこう話します。
株式会社三菱UFJフィナンシャル・グループ リスク統括部 榊原 麗歌 氏
榊原氏 これまでは信用格付けが最もスタンダードな手法でしたが、格付機関によるサイバー格付けサービスへの出資や提携などの動きがみられる昨今、経営層もサイバー格付けサービスに高い関心を持っていただけたかと思います。
Secure SketCHの自動診断の報告は、セキュリティ管理状況が定量的で分かりやすいかたちで可視化されるため、ベンチマークをどのように活用するのかこれまで以上に活発に議論されるようになりました。
今後もこれまでの信用格付けとあわせて、世の中におけるサイバー格付けの動向を継続して見守っていきたいと考えています。
図. サプライチェーン統制にSecure SketCHを活用したリスクコミュニケーションの一般的な流れ
導入の効果2
金融業界の平均や他社のスコアを参照することにより、自社の立ち位置を俯瞰できるように
同社は金融業界のプラットフォーマーとして、顧客や社会からは高い水準のリスク管理が求められる存在です。
鶴田氏 Secure SketCHの自動診断により、金融業界平均のセキュリティスコアとの比較や他社スコアを参照することでのベンチマーク評価も容易になり、俯瞰的に自社の立ち位置を把握できるようになりました。
金融機関は顧客や社会の目線に立ち、高い水準でのリスク管理がなされているのか十分に配慮する必要があります。サイバー観点にとどまらずレピュテーション観点でも、継続的にモニタリングしていく必要性を改めて感じました。
また、Secure SketCHは、日本語の他にも英語、中国語とグローバル対応しているため、今後海外拠点の実態把握やコミュニケーションを行う際のツールとしても、活用できると考えています。
鶴田氏は、Secure SketCHやSecurityScorecardの機能性を評価するとともに、NRIセキュアのサイバーセキュリティに関する専門性に対して次のように語ります。
鶴田氏 製品の仕様や診断結果についての疑問が生じた際は、継続的に情報提供やフォローをしていただき、非常に助かっています。ソリューションを選定するうえで、提供事業者にはセキュリティという専門領域におけるナレッジや、難しい話をかみくだいて翻訳してくれる伴走支援力を求めていたため、その期待に応えていただいているNRIセキュアには感謝しています。
今後の展望
Secure SketCHを継続的に活用し、グループ内外の統制整備を推進
最後に、榊原氏と鶴田氏は、今後のSecure SketCHの活用に関する展望やNRIセキュアへの期待を次のように語りました。
榊原氏 サイバー攻撃への防衛力をスコアリングするサービスの注目度は、今後もさらに高まっていくと考えています。Secure SketCHの導入によりSecurityScorecardによる診断結果が数値で可視化され、グループ内での共有が容易になったことは、オペレーショナルリスクの管理という観点でも重要です。
ただ、診断結果を自社グループや関係組織に対する情報還元・対策提言にどのようにつなげていくのかについては、社内の関係部門と目線を合わせて議論していく必要があります。Secure SketCHを今後も継続的に活用しながら、統制整備に向けた協議を進めていきたいです。
鶴田氏 「金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素」の公表を受け、MUFGにおいてもサードパーティのサイバーリスクに関するモニタリングについて統制策を検討している状況です。
今後は、重要な委託先に対するサイバーリスク観点でのモニタリングに、Secure SketCHの自動診断機能、SecurityScorecardを活用していくことも構想しています。その実現のため、NRIセキュアには引き続き高度なセキュリティ専門性と他社支援実績に基づく支援やセキュリティレーティングサービスに関連する情報提供を期待しています。
前列左から榊原氏、鶴田氏(MUFG様)
後列左から薮内、足立、瀬戸(弊社)
※本文中の組織名、職名、概要図は2024年2月時点のものです。