金融庁と日本銀行は2023年4月18日、99の地域銀行に加えて254の信用金庫、145の信用組合を対象に「地域金融機関におけるサイバーセキュリティセルフアセスメントの集計結果(2022年度)」を発表し、多くの地域金融機関では、サイバーセキュリティ人材の確保・育成やサードパーティリスクの管理といった課題を抱えていることが確認された。
金融機関におけるIT投資/サイバーセキュリティの重要性がますます高まる中で、本稿では、同セキュリティに対する意識が非常に高い沖縄銀行と、同セキュリティソリューションをメイン事業としている、株式会社ソフネット・田中代表を中心に、国内金融機関のIT投資とサイバーセキュリティについて取り上げる。
本稿では、株式会社沖縄銀行のシステム部長の砂川氏をメインスピーカーとし、現状の具体的な取り組みやサイバーセキュリティへの考え方、今後の方針、目標を伺った。
1970年2月5日生まれ。1994年3月日本大学文理学部卒業後、1994年4月に沖縄銀行入行。 2014年4月我如古支店長、2016年4月田原支店長、2017年10月普天間支店長、2018年6月デジタル事業部長を経て2021年6月システム部長へ就任し現在に至る。 2021年10月株式会社おきなわフィナンシャルグループ設立に伴い同社のICT統括部長を兼務。
沖縄銀行
沖縄を地盤に半世紀にわたって銀行業を展開する沖縄銀行。2021 年にはグループ 10 社でおきなわフィナンシャルグループを構成し 「金融をコアとする総合サービスグループ」への進化により事業領域を拡大し、地域社会の価値向上と持続的な成長を目指している。
慶應義塾大学を卒業後、福岡銀行に入行。ロンドン勤務などを経て、プルデンシャル生命に転職。2015年からソフネットに関与し、副社長(社外)などを経て、2021年より現職。
株式会社ソフネット
35年を超える実績・経験をもとに、クライアントの問題解決とDX化をサポートする独立系システムソリューション会社。主に金融・医療・電力・交通・公共など、社会を支える業務システムの構築を担い、顧客のニーズに合わせて設計・運用・保守まで行っている。今後は強みである金融システム開発実績をもとに、急速にイノベーションが進むFinTechにも注力、リモートワークやDX化の進展に伴って生じるセキュリティリスクに対しても最適なソリューション提案してサポートし、クラウドの新時代に対応する方針。
”沖縄銀行版ゼロトラスト”の実現のために
株式会社ソフネット(以下、ソフネット): 今年4月に、金融庁と日本銀行から「地域金融機関におけるサイバーセキュリティセルフアセスメントの集計結果(2022年度)」が発表されましたが、そのことについてどのように受け止めていますか。
株式会社沖縄銀行(以下、沖縄銀行):私たちは、このレポートを非常に重視しています。新聞や市場でもサイバーセキュリティやランサムウェアの被害が増えていると報じられており、その危険性が我々の身近に迫ってきていることを実感しています。また、人材の確保やキャリアパスの構築も大きな課題と感じており、サードパーティーリスクの取り組みについても、具体的な対策を検討中です。
ソフネット: 金融庁発表のアセスメントを受け、御行の今後のロードマップがあればお聞かせ下さい。また、外部のコンサルタントやベンダー活用等のご計画があれば併せて教えて頂けますか。
沖縄銀行: ロードマップの立案は弊行内で行っておりますが、セキュリティのアドバイザリー契約を締結している外部企業があり、同社にレビューを頂きながらブラッシュアップを進めております。今後、経営陣に当該ロードマップを報告する予定です。当該ロードマップは向こう3年間を想定しております。保護すべきポイントを明確にし、現状の問題点を特定した後、具体的な解決策を考えていく方針です。特に、これまであまり注目されてこなかった復旧体制やガバナンスに関する要素をきちんと設定することが重要です。また、これまで主に外部からの防御に重きを置いてきましたが、内部からの問題にも対応していきたいと考えています。
ソフネット: なるほど。弊社は日ごろから様々な銀行様とセキュリティに関する会話を行っておりますが、最近、内部不正に対して、「自身でログを貯め、内部不正を遡ることはできる。でも予防は難しい」といった趣旨の話をよく聞きます。この点につき御行はどの様にお考えでしょうか。
沖縄銀行:従来の境界型防御と内部対策を組み合わせながら、最終的にはゼロトラスト(「何も信頼しない」を前提に対策を講じるセキュリティの考え方のこと)を実現したいと考えます。ただし、ゼロトラストはあくまで概念的な言葉と考えており、当社のシステムの基盤や仕組みに有効な対策を着実に進めていく予定です。
ソフネット: ゼロトラストの実現のためにはクリアすべきさまざまな課題があります。特に弊社としては「予防」の観点が非常に難しいと考えておりますがいかがでしょうか。
沖縄銀行: その通りだと思います。すべてのサーバーについて、クラウドにリフト及びセキュリティの最適化を進めることが、ゼロトラストへの移行にとって最短となると考えますが、一方で、多数オンプレミス資産(自社でサーバーなどを保有し運用するシステムの利用形態)を保有している現時点ではその実現は厳しく、相応の時間が必要であると感じています。
ソフネット: そうですね。すぐにゼロトラストへ移行というのも難しいと思うので、まずは予兆検知をする取り組みが重要になっていると思います。 また、一般的に金融機関はクラウドに対して慎重であった一方、金融庁のスタンスの変化もあり、最近では、クラウドのサービスを利用し始めている銀行も増えてきていますが、この点についての御行のお考えがあればお聞かせください。
沖縄銀行: 弊行では、クラウドを非常に積極的に活用しています。特に、PaaS(Platform as a Service)の形態での利用が多いです。具体的には、業務用のアプリやサービスなどを自行で開発し、運用しています。特に、非対面業務に特化したサービスを24時間稼働させるにはクラウドは適していると考えています。
ソフネット: また、御行ではマイクロソフトのAzureやOffice365などの製品を活用しているとのことですが、セキュリティ対策についてはどのように考えていますか。
沖縄銀行: セキュリティについては、都度、最適なものを選択することとしています。全ての製品をマイクロソフト製品に統一するという考えもありますが、当行の要件に合致する製品を選択し、導入するというアプローチが必要との認識です。
ソフネット: 弊社としてもセキュリティはベスト・オブ・ブリード(ベンダーにこだわらず、システムやアプリなどを組み合わせて利用する戦略)の方が良いと考えています。加えて、今後の取り組みについての全体感をお聞かせください。
沖縄銀行: 現在、我々はIT投資を進めております。行内のデジタルトランスフォーメーション(DX)を進めることは必須であり、そのための投資も増えていくと考えています。また、お客様に対するサービスもDXを含め、これからの中心となっていくと思います。今後も経営陣と密に議論し、推進を加速したいと考えております。 ただし、不要なものは排除し、投資を絞っていくことが重要だと考えています。
ソフネット: そのIT投資について、具体的にどのようなものを考えているのでしょうか。
沖縄銀行: 全体のITコストに対して、どの程度のコストが必要なのか、これまで明確になっていなかった部分もあります。今後は、経営陣と共通の認識を持ち、サイバーセキュリティに関するコストや投資がどの程度必要なのかを含めて、しっかりと検討していきたいと考えております。
ソフネット: 御行の取り組みを見ていると、かなり積極的に行動されている印象を受けます。その背景には何かきっかけがあったのでしょうか。
沖縄銀行: 我々は、IT投資という観点から、必要な取り組みを進めてきました。その中で、デジタルトランスフォーメーションやお客様に対するサービス向上が重要であると認識しております。
利便性とセキュリティを両立し、ユーザーに便利かつ安全な環境を提供
ソフネット: 取り組みを進める中での成功事例や、今後特に力を入れたいと考えているポイントについて教えてください。
沖縄銀行: セキュリティの強化は非常に重要であり、デジタルトランスフォーメーションの基盤となります。我々は利便性とセキュリティが相反するものではないという信念に基づき、便利かつ安全な環境を提供することを目指しています。そのために、可能な限り要望に対応し、その結果を社内のデジタルトランスフォーメーション、そして地域社会のデジタルトランスフォーメーションのモデルケースの構築を目指しております。
ソフネット: 現状の銀行業界では セキュリティ人材の育成は非常に困難かと思います。 先程、外部企業との連携を行っているとのことでしたが、現状のお考えをお聞かせ下さい。
沖縄銀行: はい。セキュリティ人材の育成は確かに難しい側面があります。しかし、外部のセキュリティ会社と協力することで、満足度の高いサポートを提供できています。一方で、セキュリティ人材が不足している現状では、自ら人材を育成する必要があるとも考えております。
ソフネット: 弊社も金融機関においてセキュリティ人材の育成が必要不可欠であると考えています。セキュリティ専門の人材が持つべきスキルについて、どのようにお考えですか。
沖縄銀行: セキュリティ人材のスキルにはまだまだ伸びしろがあると思っています。現在は外部の研修を受けながらスキルを磨いていますが、弊行だけでの成長には限界があると感じています。そのため、一部の業務を外部に委託しながら、その専門知識を吸収していきたいと考えています。また、来年度からはセキュリティベンダーから優秀な人材を派遣してもらい、セキュリティに対する考え方の見直しやスキルの向上を図りたいと思っています。
ソフネット: 銀行内において、セキュリティスペシャリストの存在はとても重要です。スペシャリストが一人いるかいないかでその銀行のセキュリティ力は大きく変わってきます。
沖縄銀行: その通りです。セキュリティ人材の確保は非常に重要だと考えています。また、行員のセキュリティリテラシーの向上や訓練も必要だと思います。 また、今年度からは、全体のセキュリティ研修とは別に、メールをよく利用する方向けや、フィッシングが発生した時の対応部署向け、経営向けにサイバーセキュリティに関する研修を行う予定です。
ソフネット: 先ほど、外部のセキュリティ会社との協力について触れましたが、現在のセキュリティオペレーションの運用は、御行内で行っているのですか。それとも外部に委託しているのですか。
沖縄銀行: 現状は、外部のセキュリティ会社に監視を依頼していますが、来年には自社のセキュリティオペレーションセンターを設立し、そこでもノウハウを蓄積しながら、運用することで更なるセキュリティ強化を検討しています。
ソフネット: なるほど、やはり御行の様にセキュリティの内製化への取り組みは銀行業界のトレンドですね。
沖縄銀行: はい。他銀行でも、外部に依頼していたセキュリティが内製化されてきています。その理由としては、外部に委託すると、ノウハウが自社に残らないことや、何かしらのインシデントが発生した際、対応に時間がかかるという問題が挙げられるからです。 もう一つ重要な点として、サプライチェーンの観点から見ても、グループ企業全体のセキュリティを向上させる必要があると考えています。そのためには、社内でのセキュリティ運用能力が必要だと感じています。その観点からも、自社のセキュリティオペレーションセンターの設立が重要だと考えます。
ソフネット: 仰るとおりだと思います。そういった意味でセキュリティの内製化というものは一つの重要なキーワードですね。次に、中期経営計画におけるDXによる利便性の向上について、具体的な構想をお聞かせいただけますか。
沖縄銀行: DXによる利便性向上は、我々がホールディングス化した後に、銀行だけでなくグループ全体で取り組むべき課題です。我々のグループには、IT会社も存在します。そのため、行内でのDX推進とともに、新しい取り組みを展開していきたいと考えています。我々の役割は、セキュアな基盤、つまりプラットフォームを提供することです。関連部署と連携しながら、このプラットフォームを活用して、新しい取り組みを展開していきたいと思っています。
ソフネット: 御行のお話を聞いていると、利便性とセキュリティの両立を目指していることが伺えます。そのスタンスは、非常に素晴らしいと思います。 IT人材育成の取り組みや、今後の展望についてはいかがでしょうか。
沖縄銀行: 人材育成は、我々が直面している大きな課題の一つです。先ほども話したように、我々は他の銀行員と同じキャリアパスを歩んでいますが、専門的なスキルを持つ人材に対しては、異なるキャリアパスを設定することを検討しています。さらに、人材の確保や採用の面でも、新しい取り組みを進めていきたいと考えています。
ソフネット: 具体的に想定している取り組みを教えてください。
沖縄銀行: ITスキルを持つ人材の採用を強化したいと考えています。また、営業や開発、企画などの部門でも、専門的なスキルを持つ人材の確保と育成に力を入れていきたいと思っています。
ソフネット: 今後の銀行業界にとってはITスキルを持つ人材の採用が最重要ですね。
沖縄銀行: はい、その通りです。お客様対応の営業活動や、システム部門での開発や企画など、どの部門でもITスキルは必須となってきています。そのため、これからは銀行業務検定と同等のITスキルを持つことが求められるかもしれません。
ZUU online ユーザーへのメッセージ
沖縄銀行: 私たちは、地域のデジタル化を推進するための活動をグループ全体で取り組んでいます。また、セキュリティの部分についても、しっかりと追求していきたいと思っています。これからも、安全なプラットフォームを提供するために、引き続き努力してまいります。
ソフネット: 沖縄銀行様、本日はお忙しい中、貴重なお話をありがとうございました。これからの取り組みに期待しています。
