しんきん情報システムセンター 様
| お客様 |
お客様サポート統括本部 サイバーセキュリティセンター センター長 中島 様 お客様サポート統括本部 サイバーセキュリティセンター 中野 様 お客様サポート統括本部 サイバーセキュリティセンター 林 様 お客様サポート統括本部 サイバーセキュリティセンター 藤森 様 |
|---|---|
| ニュートン・コンサルティング |
アソシエイトシニアコンサルタント 井本 龍彦 チーフコンサルタント 山中 祥央 コンサルタント 千葉 悠椰 |
1985年、信用金庫業界のシステム中枢センターとして設立されたしんきん情報システムセンター様。「信用金庫を一つのネットワークで結び、信用金庫にふさわしいバンキングシステム基盤を構築する。」を使命に掲げ、日本各地の信用金庫や、その先の顧客に向けて幅広い金融系システムサービスを提供されています。
このたび、ニュートン・コンサルティングの「サイバー攻撃対応演習・訓練コンサルティングサービス」、およびBCP・サイバー訓練ツール「dan-lo」をご利用いただいた経緯や成果について、お客様サポート統括本部 サイバーセキュリティセンターの中島 様、中野 様、林 様にお話をうかがいました。
中島:当社の役割は大きく二つに分けられます。一つは、全国信用金庫データ通信システムやCDオンライン提携システムといった、信用金庫業界全体を支える基盤ネットワークシステムを開発・運用すること。もう一つは、しんきんインターネットバンキングシステムや投信窓販共同システムなど、それぞれの信用金庫における業務を支援するサービスを提供することです。
人口減少、サイバー攻撃や自然災害などの脅威の増大、DX普及に伴う顧客ニーズの変化など、信用金庫業界をとりまく環境は大きく変化してきています。そこで、当社はより安心・安全なシステムサービスの構築・提供に努め、業界内外と連携しながら、業界における課題解決に向けた施策にも取り組んでいます。
中島:サイバーインシデントの脅威が高まるなか、信用金庫における対応力強化は喫緊の課題となっています。金融庁は2015年に公表した「金融機関におけるサイバーセキュリティ強化に向けた取組方針」に基づき、2016年から「Delta Wall」という大規模演習を主催しています。しかし、裾野の広い金融業界では信用金庫が参加できる枠に限りがあるのが現状です。そこで当社は、2018年からDelta Wallの考え方を取り入れつつ、信用金庫向けに独自の業界総合演習を実施してきました。その支援は今まで、Delta Wallの支援実績をもつベンダーに依頼していました。
中島:毎年同じベンダーから支援を受けることで、スムーズに運営することができていたものの、演習内容がマンネリ化する懸念もありました。そこで、2024年度の演習を設計するにあたっては「これまでとは違う会社に依頼することで、視点を変えてみよう」と考えました。
中野:SIerとも比較した上で、ニュートンさんへの依頼を決めた理由はいくつかあるのですが、まずは、リスクマネジメントのコンサルティング会社として、官公庁や金融業界で多数の支援実績を持っていることです。また、演習実施にあたってはシステムを利用することが必須要件でした。そのため、ニュートンさんのBCP・サイバー訓練ツール「dan-lo」もポイントとなりました。
中島:当社が提供する基盤システムを使う信用金庫は、自社内でシステムを直接運用しているわけではありません。システムに何か問題が発生した場合、自分たちで対応するのではなく当社に問い合わせることになります。つまり、サイバーインシデントが起きたときに信用金庫が向き合うのは、「機械」ではなく「業務への影響」です。従来の演習はシステム操作や運用対応に終始していたのですが、信用金庫に本当に必要なのは業務にフォーカスした演習であることに気が付きました。そのため、信用金庫向けサイバー演習の支援を担う立場としては、ベンダーよりもコンサル会社のほうが適していると判断しました。この点も、私たちがニュートンさんへの依頼を決めた理由の一つです。
中野:今回の信用金庫向け総合サイバー演習には業界の過半数が参加し、自社のシステムがランサムウェアに感染したというシナリオに基づき、対応を検討しました。各社のサイバー対応力の強みと課題を把握してもらうことを目的としています。
演習設計でこだわったのは、IT部門だけでなく、経営層や広報、法務といった非IT部門も巻き込んだ組織横断型の演習にすることです。ニュートンさんと議論しながら、「技術的な対応力」だけでなく、経営判断や情報共有といった「組織の総合力」が問われるリアルなシナリオを準備しました。具体的には、①インシデント対応体制の連携②ステークホルダーへの迅速な対応③復旧計画の立案とサービス再開の判断④調査・分析の実施⑤被害拡大を防ぐ暫定処置の実施、という5つのポイントがクリアできているかどうかを検証する演習内容を構築しました。
当日、参加組織の皆さんには、ニュートン・コンサルティングのBCP・サイバー訓練ツール「dan-lo」を用いて、PC画面に表示されるシナリオ(自組織のシステムがランサムウェアに感染したことを検知してから、再発防止策を取るまでの一連の流れ)に基づき、机上演習に取り組んでもらいました。各参加者が自ら考えるプロセスを重視すべく、演習では検討事項を自由に記述する形式を採用しました。これによって、各参加組織における部門内・部門間の活発な議論が促されました。演習終了後は、各組織に対する個別の評価書だけでなく、演習に参加した全信用金庫の評価結果の一覧もレポートにまとめました。このことで、各金庫が自社の立ち位置や強み・弱みを客観的に把握できるようにしました。演習後のアンケートでは、参加組織のうち92%が「満足した」と回答しました。
当社としても、信用金庫業界全体と個社の両方における実態を把握することができ、今後の参考になりました。
中島:参加組織全体の評価結果に基づくと、信用金庫業界の現状としては、検証したポイントのうち「インシデント対応体制の連携」「ステークホルダーへの対応」「調査・分析の実施」に強みを持つ一方で、「被害拡大防止・暫定処置の実施」や「復旧計画の立案とサービス再開の判断」には改善の余地があることが明らかになりました。これを踏まえて現在は、課題となった部分を払しょくできるように、引き続きニュートンさんに支援いただきながら2025年度の演習を準備しているところです。
林:当社のプロジェクトメンバーは、若手社員が中心となっています。私自身も入社3年目で、演習に携わったのは今回が初めてでした。「このシナリオの文章で、全ての参加者に意味は伝わるのか?」といった推敲も含めて難しさを感じる場面が多々ありました。
中島からは、「この演習を通して、信用金庫の皆さんに何を学んでほしいのかというゴールを明確にすることが大切だ」というアドバイスを受けていました。プロジェクト中は都度、この原点に立ち返り、ニュートンさんとも相談しながら進めていきました。
中野:計画策定から当日の運営、評価書の作成まで、ニュートンさんには一気通貫で伴走していただきました。演習の準備にあたっては、こちらの要望に応える案を複数用意して提示してくださりありがたかったです。リスクマネジメントを専門とし、なおかつ金融業界を含む幅広い業界への支援実績を持つニュートンさんにサポートいただいたからこそ、演習シナリオもリアルなものに仕上がりました。今回は大規模な演習でしたが、「dan-lo」を用いることでシナリオ付与や集計もスムーズに行うことができたと思います。
そして、コンサルタントの皆さんは日頃からレスポンスがとても速いですね。定例会でお願いした作業は、数日後には作業を終えてくださることが多く、助かりました。
中島:当社は信用金庫を監督・指導する立場にはありません。そのため、私たちが提供する演習も、あくまでも参加組織に「今の自社に何が足りないのか」という発見を与える場となっています。もちろん質問・相談があれば対応しますが、実際に演習から学んだことを社内でどのように生かすのかは各信用金庫の行動次第なのです。難易度が低すぎると、信用金庫の皆さんの新たな気づきやアクションにもつながらないと思いますので、その点も踏まえながら、今後も参加組織の役に立つ演習設計を心がけたいと思います。
※取材は2025年9月に実施。記事内の所属先および役職名は、プロジェクト当時のものです。
| 名称 | 株式会社しんきん情報システムセンター |
|---|---|
| 所在地 | 東京都中央区八重洲1-3-7 八重洲ファーストフィナンシャルビル12階 |
| 設立 | 1985年2月19日 |
| 事業内容 | 日本全国の信用金庫へ金融系システムサービスを提供 |
| 利用サービス | サイバー攻撃対応演習・訓練コンサルティングサービス / BCP・サイバー訓練ツール「dan-lo」 |
アソシエイトシニアコンサルタント
井本 龍彦
業界全体の組織対応力を引き上げる、信用金庫業界の新たな挑戦
信用金庫業界では、サイバーインシデント対応演習を5年以上にわたり継続されています。これまで技術対応力の向上を主眼とされてきた中で、「より組織的な対応力に重きを置いた演習へ進化させたい」という新たな挑戦のパートナーとして、2024年、私達にお声がけいただきました。
私達は、BCP・サイバー訓練ツール「dan-lo」の提供から、業界の過半数となる組織が一斉に参加するための演習全体の設計、そして各組織への個別フィードバックレポートと業界全体の傾向を分析したレポートの作成。演習の振返りとして解説動画コンテンツの作成まで全てを担当しました。
しんきん情報システムセンター様が目指す「演習を通じた業界全体の継続的な学びの機会の創出」という想いを、私達がこれまで培ってきたBCP訓練をはじめとする豊富な演習実績と、大規模演習を支える運営ノウハウやシステムを活かして具体化しました。業界に深く寄り添うしんきん情報システムセンター様とのパートナーシップのもと、金融庁のDelta Wall演習を「追いつけ、追い越せ」の精神で見据えたこの貴重な取り組みを通じ、今後も業界全体のレジリエンス向上に貢献してまいります。
03-3239-9209
