この記事は2023年12月26日に「The Finance」で公開された「2023年11月16日開催「デジタルトランスフォーメーションとセキュリティの未来~金融機関が目指すべき最適なバランス~」<アフターレポート>」を一部編集し、転載したものです。
2023年11月16日(木)、株式会社アシスト主催によるセミナー「デジタルトランスフォーメーションとセキュリティの未来~金融機関が目指すべき最適なバランス~」が開催された。
近年金融機関はデジタルトランスフォーメーション(DX)の波に乗り、多くのイノベーションを取り入れている。その一方で、サイバーセキュリティの脅威も増大しており、DXを推進しながらいかにセキュリティを確保して顧客の信頼を維持するかは、常に大きな課題として存在している。
本セミナーでは、基調講演に株式会社岩手銀行 常務執行役員 関村氏を招き、昨今の金融業界を取り巻くDX推進、およびサイバーセキュリティの最前線を紹介いただいた。DXとセキュリティ、この二つの要素をどのように組み合わせ最適なバランスを取るのか、その答えを探るセミナーの詳細をレポートする。
地域銀行のDX推進とサイバーセキュリティ
常務執行役員
<新たなビジネスモデル>
地方銀行を取り巻く経営環境は、非常に厳しさを増している。リスクコントロールが難しい環境要因が目立ち、地域銀行は本業赤字という課題、顧客基盤の減少という問題を抱える。地域金融機関にとって収益の柱は「与信」と「フィービジネス」であることに変わりはない。収益低迷からの脱出には、リスクコントロールと新たなビジネスモデルの構築が必要な状況だ。
新たな収益モデルの模索例
新たな収益モデルの模索例は、お客様の動きを銀行がAIで分析することにより、地域の事業者様が最適な広告を行うことを可能にするモデルである。AI分析による地域統合型の新たな広告モデルを実現するためには、最適化した環境整備、システム投資、デジタル戦略が必要だ。
デジタル化のキーワード
あくまで収益モデルが目的であり、デジタル化はその手段だ。キーワードは「Cloud by Default」「Data Driven」「Smart Work」の3つが挙げられる。「Cloud by Default」はすべてのシステム、インターフェースをクラウド前提に構築すること、「Data Driven」はデータの価値や流通を起点にビジネスを組み立てるということ、「Smart Work」は外部組織との連携や技術協力に向けたコミュニケーションの活性化というものだ。
デジタル化への取り組み
デジタル化においては、「つながる」ことが価値を生む。「Cloud by Default」の取り組みは、ビジネス創出はクラウドを優先し、投資や人材など経営資源はクラウドへ集中し、レガシー分野を計画的に縮小することだ。「Data Driven」の取り組みは、データが企業の最重要資源と位置付け、データを集約した集中管理を行い、集約・分析したデータでビジネスを創出していく。「Smart Work」の取り組みは、Eメールからクラウドコミュニケーションへ、クラウド上で外部組織と積極的に連携することで新たなビジネス創出することだと認識している。
デジタル化にあたっての問題点
デジタル化推進においては、二重投資、手段の目的化、人材不足、横並びの4つが問題だ。そこで目的を曖昧にせず、事前に問題点を検証することが必要になる。新たな収益モデル構築に必要となる最優先資源は、人材だ。従来の業務習得型に加えて、若手には能力開発型の育成モデルが必要だと考える。どちらか一方だけではなく、両方バランスよく育成していくことが重要だ。当行ではシステム部へ新入行員を2年連続で配置し、スマホアプリのアジャイル開発やSQLによる情報分析を短期間で習得させている。若手は業務習得が早く、大きなテーマを与えれば自律的に開発を行えるという認識だ。
収益モデル検討のポイント
収益モデルを検討する際に重要になるのは、デジタル戦略ではなく収益戦略だ。具体的にはデジタル化そのものを目的化しないこと、目的を明確化し、実現の手段としてデジタル化を活用すること、費用対効果・法令対応・サイバーセキュリティ・知財管理を一体で考慮すること、KPIは目的に沿ったものを選んで設定することの4つが欠かせないポイントである。中でも費用対効果・法令対応・サイバーセキュリティ・知財管理を一体で考慮することが1番重要だが、費用対効果と業務影響しか考慮していないケースが多いのではないか。
<サイバーセキュリティとDX>
DXのビジネスモデルを考える上で、サイバーセキュリティの知識は不可欠だ。現実に耐えうる堅牢性を確保するためにも、ビジネスモデルにセキュリティを作り込むことが重要になる。サイバーセキュリティやネットワークの知識なしでDXスキームをデザインすることは、非常に危険だ。例えるなら、財務や市場の知識なしで新たな融資スキームをデザインするようなものである。
費用対効果とセキュリティの確保
コスト、導入効果、セキュリティはトレードオフの関係だ。これらを矛盾させずに高度に実現していく場合に、ポイントになるのは「共同化」「他のシステムとの共通化」「運用での巻取」の3つだ。システム投資の効率化につながる共同化は、弊行も北東北共同CSIRT設立という事例がある。現在4行でサイバーセキュリティに対応することで、コスト削減や緊急時の共同対応を実現している。
サイバーセキュリティの基本事項
DXでも既存のシステムでもサイバーセキュリティの基本は変わらないが、クラウド関連のほうが確認項目数が大幅に増加する。例えば業務重要度の把握、認証・閲覧権限の設定、情報の保管場所および経路の把握、継続的リスク管理・脆弱性検証の4つだ。
<境界型セキュリティとLocal Break Out>
従来の境界型セキュリティではクラウドを前提としたビジネスモデルの実現が難しい。社内システムとの連携が非常に難しいために、別途アクセス手段が必要になる。サイバーセキュリティの選択は、ビジネルモデルの選択につながる。ビジネスのデフォルトが対面であれば境界型セキュリティを、インターネット上にビジネスを展開するのであればゼロトラストを選ぶ。ゼロトラストについては、移行するかしないかではなく、いつ移行するのかの問題だと考える。ゼロトラストは様々なサービスや仕組みの組み合わせで実現するために、トータルデザインが重要だ。そこで検討の段階から、信頼できるアドバイザーが必要になる。クラウド上の収益モデルを未だに明確に持てない地方銀行の選択肢として、ゼロトラストの過渡期を低コストでカバーする仕組みが必要になる。そこで弊行ではクラウドサービスと行内システムをつなぐセキュリティとして「Local Break Out」という仕組みを構築し、立ち上げようとしているところだ。ゼロトラストより比較的低コストではあるものの、スクラッチで作るためにある程度の開発負担はかかる。この点が、SalesforceなどのSaaSを早急に利用したい場合にはネックになると考える。
<岩手銀行におけるDXへの取り組み>
弊行は「モバイルワーキング」と「帳票の電子化」に取り組んでいる。業務からのペーパー排除を目的として、モバイルワーキングを導入した。2020年3月、全職員にシンクラPCと業務用スマートフォンを配布した。ノートPCの半数をLTE接続とし、全店に無線LAN環境を整備した上で、固定電話の廃止や座席の割当廃止などの施策を実施した。結果としてワークスペースの創出につながり、関連会社オフィスを銀行本店へ集約するなどの多岐にわたる効果を生み出した。また店舗削減、帳票の電子化により大幅な人件費の削減を実現している。内部事務の廃止に向けて、本部集中とデジタル化を強力に推進している中で、特に営業店端末の印字抑止は効果が大きいと実感しているところだ。営業店端末では極力印字せずに、イメージファイリングシステムに保存する仕組みを導入している。窓口のタブレット化に比べて、即効性と低コストに優れるのが特徴だ。端末を打鍵した後、検印・精査は本部集中、検索する場合も画面検索をして閲覧すれば完結するので、綴込みも廃棄の工程も発生しない。営業店を作業やリスクから解放するという意味で、非常に有効な仕組みだ。他に例がない取り組みであったので手探りで進めてきたが、ようやく技術的な課題を克服して今年の頭から営業店に展開している。タブレット化も並行して進めながら、営業店端末の印字抑止によって早急にペーパーレス化を進めていき費用対効果を確保することを目指す。もし関心があれば、私どもにご連絡をいただければ色々とご案内させていただく。
クラウド型インターネット分離で解決する金融機関の課題~ZoomやTeamsを安全に利用させる方法とは?~
<DX推進とセキュリティ対策の両立>
先ほどの岩手銀行 関村様のセッションでも、DXのビジネスモデルを考える上でサイバーセキュリティの知識は不可欠というお話があった。DXを推進する上で、セキュリティ対策との両立を実現することは非常に重要なポイントになっている。DX推進にあたっては、クラウド活用、ローカルブレイクアウト、リモートワークといった様々なデジタル化が必須だ。セキュリティ対策においても、それらに合った対策が必要になってくる。
DXとセキュリティの両立を実現する考え方
DX推進とセキュリティ対策の双方を天秤に乗せた場合に、両者が釣り合っている状態が理想的だ。しかし現実には、天秤が釣り合った状態を実現することが難しく、どちらかに傾いているケースが多いだろう。例えば、デジタル化を進めたいが、従来の境界型セキュリティ対策では攻撃表面の増加を招いてしまうために思うように進められない。あるいは、従来の境界型セキュリティ対策を踏襲したがために、新しく便利なソリューションを利用しづらい。このような状況を打開し、DXとセキュリティを両立させる考え方の一つが、インターネット分離のソリューションだ。インターネット分離には、アプリケーション仮想化の技術を利用した論理分離やインターネット接続専用端末を使った物理分離など複数のタイプがある。クラウド活用、ローカルブレイクアウト、ゼロトラスト、クラウド型ID管理などの様々な要素が絡んでくる状況では、クラウド型インターネット分離が最適だ。
従来のインターネット分離ソリューションが抱える課題
従来のインターネット分離ソリューションは使い勝手に問題があり、ユーザーの作業効率を低下させるという課題があるため、DX推進を阻害する要因になっている。例えば2つのブラウザを使い分ける必要があるという点が、最も作業効率を落とす原因だ。当然、それを使うためのユーザー教育も必要になるほか、 ブックマークの分離も作業効率の低下につながる。インターネット分離とセットで検討されることが多いファイル無害化のソリューションにおいても、無害化後のファイルを利用するためにファイルサーバを経由する必要がある点で、使い勝手の悪さに拍車をかけている。昨今、利用頻度の高いZoomやTeamsなどのWeb会議ツールは使えるというインターネット分離のソリューションはあるものの、Web会議ツールへのセキュリティ対策は置き去りになっている状況だ。そのため、Web会議ツールから情報漏洩が発生する可能性は制御できていない。こういった課題を解決するために、新しいクラウド型インターネット分離ソリューションである「Ericom Shield Cloud」をご紹介させていただく。
<Ericom Shield Cloud によるインターネット分離>
Ericom Shield Cloudによるインターネット分離の特徴は、3つある。1つめは実際のインターネットサイトの閲覧はEricom Shield Cloudのサービス上で動く仮想ブラウザが行い、この仮想ブラウザが閲覧したデータをイメージデータにレンダリングして、無害化された状態でユーザーの端末に転送する点だ。これによりマルウェア流入をシャットアウトする。2つめは、Webサイトからダウンロードしたファイルに対しても、無害化機能を標準搭載している点だ。従来のように別ツールを組み合わせる必要がなく、ダウンロードされたファイルは無害化された状態で端末に直接保存される。3つめは、専用ソフトの導入・操作説明は不要であり、従来の使い勝手のままでセキュアなブラウジングを実用できる点だ。ユーザーPCに導入されたブラウザをそのまま使えるために、非常に使い勝手が良い。なおEricom Shieldは、SaaSあるいはオンプレミスから選択できる。
要件に合わせたWeb無害化モード選択
Ericom Shieldでは、フレームレンダリング(以下、画像転送)モード、あるいはクリスタルレンダリング(DOM)モードの2つから選択できる。画像転送は金融機関のお客様からのご要望が多いが、ネットワークへの負荷が若干高い。一方、クリスタルレンダリングは、セキュリティリスクの高いJavaScriptのみの描画をレンダリングする。HTMLや画像はレンダリングせずそのまま転送されるために、操作性は高いが表示される画像が崩れる可能性が高い。デフォルトの動作としていずれかのモードを設定することや、ドメイン単位での切り替えができる。
ファイル無害化(CDR)も標準バンドル提供
Ericom Shieldでは、ファイルダウンロードの際にファイル構造を解析し、リスクの余地を全て削除する。例えばExcelファイルであれば、マクロやVBスクリプトなどマルウェアが潜む可能性の高い部分をリスク余地と見なして削除した後、元のファイル形式へ再構成する。これを無害化済みのファイルとしてユーザー端末へダウンロードする流れだ。PDFファイル形式に変換することはないため、ユーザー端末のExcelで開いて編集・加工も可能になる。
世界初 Virtual Meeting Isolation
Web会議ツールを利用する際のセキュリティ対策機能「Virtual Meeting Isolation」については、現状、クラウド版のみでの提供だ。Web会議を実施する際にも、Ericom Shield Cloudを経由して分離され、マイクやカメラは通常と同じように利用できるが、金融機関のお客様からご要望が多い画面共有やチャット機能の使用制限は、Ericom Shield Cloud側で制御される。これにより、Web会議による情報漏洩のリスクをシャットアウトできる。
製品専任エンジニアによる高品質なサポート
アシストではサポートセンターの運営に力を入れており、Ericom Shieldを長年取り扱っている専任エンジニアによるサポートを提供している。2021年は1400件以上のお問い合わせに対応し、顧客満足度は94%であった。サポート専用のWebサイトを立ち上げており、全Ericom製品に関するFAQを900件以上公開している。また、問い合せ回数に制限を設けていないため、年間何度でもサポート利用が可能だ。ワンストップ支援体制を敷いており、製品に関する小さなお困りごとから障害対応までサポートセンターで迅速に対応している。サポートセンターで対応が難しい場合には、技術メンバーがお客様先に訪問し問題の解決にあたるなど、導入後も安心して利用できる高品質なサポート体制を整えている。
