城南信用金庫様

田島氏)金庫は地域社会に密着した金融機関であり、多くのお客様の情報をお預かりしております。そのため、サイバー攻撃に対する高い認識と対策が不可欠であると考えており、サイバー攻撃の高度化・巧妙化はデータ漏洩やサービス停止など甚大な被害をもたらす可能性があると認識しています。そのような背景において、「情報セキュリティに関する取組みについて」と題したポリシーを掲げ、経営計画にもサイバーセキュリティに関する項目を盛り込み、職員一丸となってサイバーセキュリティ対策の強化を行っています。業界固有に求められる、FISCの安全対策基準や2024年10月に金融庁より発出された「金融分野におけるサイバーセキュリティに関するガイドライン」で求められる対策を実施していくことがよりセキュアな環境を構築することに繋がると捉えています。

星氏)サイバーセキュリティ対応はやることが多くあり、プライオリティ付けが難しく、他部署との連携も求められます。セキュリティ対策のニーズの高まり、経営層のセキュリティに対する認識が高まっている中、金庫単独でセキュリティ対策に取り組んでいくことに限界を感じていました。また、アドバイザリー支援導入検討当時はクラウドサービスを活用した業務の拡大や東京オリンピック・パラリンピック開催を受け、サイバーセキュリティ環境の強化を進めており、更なる強化を目指し、専門的知識と客観的な意見を求めることができるアドバイザリー支援を採用することで、セキュリティ体制や管理方法の見直し等を行いたいと計画していました。前述の通りセキュリティ対策はやるべきことが膨大にあり、どこから手をつければよいか判断が難しく、指南役として導いてくれる専門家の導入を検討しました。

星氏)アドバイザリー支援を活用し様々な改善に関する取り組みを推進しており、一部をご紹介いたします。

■情報セキュリティポリシー策定
金庫として情報セキュリティにかかる各種規定は整備されていたが、最上位のポリシーが策定されておらず、金庫外への公表もされていませんでした。アドバイザリー支援により、経営層の参加するCSIRT会議の場でポリシー策定の必要性や他金融機関の動向、金融庁が求めることなどの推察を専門家の視点から共有いただくことでポリシー策定、開示に至ることができました。

■階層別セキュリティ教育の提言
経営層を含む職員に対してセキュリティ研修を実施することの必要性については認識していたが、どの階層にどのような目的で、どのような内容にするか整理が進んでいませんでした。アドバイザリー支援を通じ、信用金庫としてあるべき人材育成のあり方について提言をもらうことで、各階層別の目的(テーマ）とともに、研修内容を例示いただくことで実施に至ることができました。各階層、研修によりセキュリティに対する理解が深まったと実感しています。

■外部委託先管理手法の強化
外部委託先へのオンサイトでの監査について、どのような項目を設けたらよいかが課題でした。監査項目例の提供を受けることで、重要な情報を取り扱う外部委託先に出向き、是正すべき点を検出できました。効果的な外部委託先管理手法が確立できたと思います。

星氏)アドバイザリー支援を通じて専門家の知見と経験に裏付けされた外部からの客観的な提言を得ることにより、視野を広げることができたと感じています。どのようなことでも相談できること、相談したことに対し専門家でなくてもわかるような表現で丁寧に回答を得られること、クイックなレスポンスで回答が得られることは、セキュリティ対策を進めていく上で役立っています。専門家であり、第三者からの提言であることは、金庫内に対しての説得力・納得感を創出することにつながり、合意形成を円滑化させる観点でも有用です。また、金庫内の文化や体制を把握した上で、アドバイスを求めることができる点は実現性という観点での利点となっています。

田島氏)一歩踏み込んだ内容を的確に伝え、適切な回答が得られる点が役立っています。客観的な意見には重みがあり、関係者にも伝播しています。また、GSXが金庫内に認知されることで、提供される意思決定をサポートするためのデータや資料は、社内協議の際に専門家からの裏付けとして有益な判断材料となっています。外部からのセキュリティ専門人材の登用が難しいなか、ガイドライン対応など専門家にすぐに意見を求めることができる体制があることは安心感にもつながっており、プロジェクトを進めるにあたって大いに役立っています。インシデント最前線の情報提供、セキュリティ対策や技術の最新トレンド、人材育成手法など幅広い支援を受けることで、セキュリティ対策が進めることができています。

中島氏)インシデントハンドリングを経験されている方や規程類整備のスペシャリスト、脆弱性診断の診断経験者、システム監査、各種ITソリューション導入等の実績がある方など、様々な専門家が担当のコンサルタントチームだけでなくKEL及びGSXとして控えているため、セキュリティ全般についての柔軟な対応が可能な体制を敷いていただいています。専門家でありながら分かりやすい言葉で、親切丁寧に対応して頂けるため、よろず相談的に気兼ねなく、セキュリティに関する問合せを行うことができています。また、専門家でありながら分かりやすい言葉であるため、経営層にも響くものだと感じています。

田島氏)KEL及びGSXコンサルタントも参加するCSIRT会議を通じた、経営陣に対する定期的な情報発信や勉強会により、経営陣からセキュリティに関する質問を以前よりも多く受けるなど、セキュリティに関する経営陣の認識が高まり、セキュリティ投資に対する理解も進みました。また、経営陣だけでなく各部門においてもセキュリティ観点での意見を求められるなどセキュリティ意識が高まっています。定期的な情報発信を続けることで、平時からセキュリティに対する意識を持ってもらうよう取り組んでいくことが重要であると考えています。継続的な情報発信は、セキュリティ推進の仲間を増やすことにつながり、セキュリティ態勢を強めていくことへとつながっていきます。

星氏)2024年10月に金融庁より発出された「金融分野におけるサイバーセキュリティに関するガイドライン」を『ガイド』として活用し、整備を進めたいと考えています。現段階は、ガイドラインと当金庫の実情を照らし合わせて改善すべき点を洗い出しています。KEL及びGSXコンサルタントには計画策定を支援いただき、必要に応じて第三者による外部評価を実施する等の検討をしています。手を付けやすく、かつ重要度が高い項目を短期的な計画とし、技術的、また物理的な対策は時間をかけながらソリューションの導入等については中長期的な計画とし、検討していきたいと考えています。