セブン銀行が、セキュリティ評価プラットフォーム「Assured」を導入

Visionalグループの株式会社アシュアード（所在地：東京都渋谷区、代表取締役社長：大森 厚志）は、セキュリティ評価プラットフォーム「Assured（アシュアード）」（https://assured.jp/　以下、Assured）が、株式会社セブン銀行（所在地：東京都千代田区、代表取締役社長：松橋 正明）に導入されたことをお知らせします。

セブン銀行は全国に27,000台以上のATMを設置、1日あたり280万件が利用される国内最大規模のプラットフォームを保有し、成長戦略の柱として「ATMプラットフォーム戦略」を掲げています。直近では「ATMが、あらゆる手続き・認証の窓口となる」世界を目指し、ATMの新サービス「＋Connect（プラスコネクト）」を発表するなど新たな価値創造に取り組まれています。こうしてDX・デジタル化を推進するなか、社内で利用が拡大するクラウドサービスの安心・安全な利用促進のため、Assuredの導入を決定いただきました。その背景や期待について、リスク統括部 部長 木村様にお話を伺いました。

木村氏：

当社はコンビニにATMを設置することがまだ一般的ではなかった2001年からサービスを開始し、その後も世の中の動向をいち早く察知しながらイノベーティブな取り組みを行ってきました。ここ数年はフィンテックの台頭など、金融サービスを取り巻く環境が特に著しく変化するなか、当社としても変革を加速していくため、お客さまのニーズに合ったサービスを展開するための様々な取り組みを進めています。社内だけでなくオープンイノベーションによる社外のアイディアやサービスとの協業など、様々な取り組みや体制を強化するなか、2023年には｢＋Connect（プラスコネクト）｣を発表し、世の中に新たな体験と価値を提供するATMサービスプラットフォーム戦略を推進しています。

こうしたDX・デジタル化の取り組みを強化すると同時に、セキュリティに対しても高い水準で取り組んできました。

また、近年は社内でのクラウドサービス利用が急増しており、全体での利用数は100サービスを超えています。これらサービスにおけるセキュリティ対策については、FISC（金融情報システムセンター）安全対策基準に加えて、CIS（Center for Internet Security）Controlsなどのガイドラインを参照して独自に作成したチェックシートに基づきクラウドサービスのリスク評価を行い、私たちリスク統括部が最終的な利用可否の判断を行っていました。

木村氏：

新規利用時の評価だけでなく、定期的な評価も実施しており、利用数の増加に伴い対応工数が増加していました。また、クラウドサービス事業者からの回答内容を見極め、適切に評価すること自体も難しく、判断に迷うこともありました。

DX・デジタル化を推進する当社として、チェックシートによる管理から脱却していくと同時に、属人的な判断に頼らない、客観的で高精度な評価を実現するための方法を模索していたところ、Assuredにたどり着きました。

1つ目は、高いセキュリティ水準が求められる金融機関にも適した高精度なセキュリティ評価が可能な点です。

先述の通り当社では、FISC安全対策基準に加えて、クラウドサービスを評価するうえで必要な観点も考慮するためCIS Controlsなど複数のガイドラインを参照しながらチェックシートを作成しています。直近ではFFIEC CATの観点も取り入れるなど、最新のセキュリティ情勢に応じて評価項目をアップデートしてきました。しかし、こうした情勢の変化は目まぐるしく、常に対応していくことは簡単なことではありません。また、これらの項目に対する回答内容を適切に見極めるにも、標準化された基準がなく、判断に悩むこともありました。

Assuredでは、セキュリティの専門家が複数のガイドラインに基づいて中立的な調査を実施しており、客観的で高精度な第三者評価に基づいた判断が可能になると期待できました。

2つ目は、クラウドサービスのリスク評価にかける対応工数の削減が可能になる点です。

これまでは当社独自のチェックシートを用いてクラウドサービス事業者に回答を依頼し、回答内容に不備があれば再度やり取りが発生するなど、高い負荷がかかっていました。他にも優先度の高い業務があるなか、作業の効率化が求められていました。Assuredを利用することで、こうしたクラウドサービス事業者とのやり取りから解放されると同時に、迅速なクラウド導入を実現できると期待しました。

3つ目に、調査項目が定期的にアップデートされるため、最新の動向を踏まえた評価が可能な点です。Assuredではセキュリティトレンドなどに応じて調査項目を定期的に改訂していると導入前から伺っていました。先述の通り、当社独自のフォーマットに常に最新の動向を取りこむことが難しい面があり、Assuredの利用によって、迅速に最新の動向を踏まえた評価ができると期待できました。直近の改訂では、当社でも利用が進んでいるAIに関する調査項目が追加されており、期待通りアップデートが行われていると感じています。今後も動向やユーザー要望に応じた調査品質の向上を期待しています。

【セキュリティ評価プラットフォーム「Assured（アシュアード）」について】

Assuredは、SaaS/ASPなどのクラウドサービスの安全性を可視化するプラットフォームです。専門知識を有するセキュリティ評価チームが、主要なガイドラインやフレームワークに基づき、クラウドサービスのセキュリティ対策状況を調査し、その評価結果をデータベースに集約することで、効率的かつ高精度なセキュリティ評価を実現します。また、クラウドサービス事業者は、Assuredによるセキュリティ評価情報を用いて自社サービスの安全性を示すことができ、利用企業・事業者双方を繋ぐ役割として、企業の安全なクラウド活用、そして社会全体のDX推進を支えます。

URL：https://assured.jp/

X：https://twitter.com/AssuredJP

◆タクシーCM放映中◆

【Visionalについて】

「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション（DX）を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人的資本データプラットフォームの構築を目指す。また、M&A、物流Tech、サイバーセキュリティの領域においても、新規事業を次々に立ち上げている。

URL：https://www.visional.inc/