シンプルフォーム 様
| お客様 |
技術開発本部 セキュリティアーキテクト 長谷川 隆司 様 技術開発本部 セキュリティエンジニア 田中 勇平 様 |
|---|---|
| ニュートン・コンサルティング |
エグゼクティブコンサルタント 星野 靖 チーフコンサルタント 大津 卓人 |
シンプルフォーム様は2020年の設立以来、急成長を続けるSaaS企業です。「全ての法人がフェアに繋がれる世界」の実現を目指し、主に金融機関に向けて、法人審査作業のDX化・生産性向上をサポートするクラウドサービスを提供していらっしゃいます。
このたび、ニュートン・コンサルティングの「金融機関向け(金融サービスプロバイダー含む)システム監査サービス」をご利用いただき、FISC安全対策基準(※)に準拠された経緯や成果などについて、技術開発本部の長谷川 隆司 様、田中 勇平 様にお話をうかがいました。
(※)FISC安全対策基準:正式名は「金融機関等コンピュータシステムの安全対策基準・解説書」。公益財団法人金融情報システムセンター(FISC)が、金融機関が情報システムを構築する際の安全対策基準をガイドライン化したもの。
長谷川:当社は、金融機関をはじめとした企業の皆様に向けて、取引の開始・継続の判断に欠かせない法人審査をサポートするクラウドサービスを提供しています。
金融機関は法人との取引において、「登録住所に本当に会社が存在しているのか」「何を生業としているのか」「犯罪組織ではないか」といった点を詳細に審査します。従来、この作業には膨大な時間と手間がかかるという課題がありました。そこで当社は、「法人審査のDX化・最適化を支援し、金融機関の事業成長を後押ししたい」という考えのもと、2020年に事業をスタートしました。
当社の代表的なクラウドサービスは2つあります。1つ目は、法人名を入力するだけで、該当企業の実態を含めた定性情報を30秒でレポーティングできる「SimpleCheck」です。2つ目は、法人リスク情報の重要な変化を自動で検知し、通知する「SimpleMonitor」で、こちらは法人との取引継続を判断する際に役立ちます。これらのソリューションの強みは、当社のエキスパートチームによる実態調査で得られた独自データを蓄積・クラウド化している点です。Web検索などだけでは限界のある、中小・新興法人を含めた全国500万社のデータが反映されています。
長谷川:当社のプロダクトでは利用者のメールアドレスや、金融機関ごとの調査履歴など、個人情報や機微な情報を多く取り扱っています。そのため、強固な情報セキュリティの確保は事業運営の前提と考え、設立1年目の段階からISMSの適用やPマークの取得などを着実に進めてきました。さらに、2024年にはセキュリティ専門のチームも立ち上げ、体制面の強化にも取り組みました。
長谷川:私は、セキュリティ専門チームを設立するタイミングで中途入社しました。セキュリティのさらなる強化に向けて、チームとして何から取り組むかを検討する中で、私たちが着目したのがFISC安全対策基準(以下、「FISC基準」)です。
というのも、これまで金融機関のお客様からFISC基準への準拠を求められたことはなかったものの、「この項目には対応できていますか?」とFISC基準についての質問をいただく機会は多く、その重要性を感じていました。国内には、金融庁の「金融分野における個人情報保護に関するガイドライン」をはじめ、さまざまな指針がありますが、FISC基準はやはり長年にわたって定着しており、多くの金融機関が重視しています。そこで、お客様の信頼にお応えし、一層のセキュリティ強化を図るべく、FISC基準の準拠に取り組むことにしました。
長谷川:FISC基準は外部監査を必須としていませんので、自社で準拠対応を完結させることも可能です。ただ、当社としてはコンサルティング会社に支援いただき、当社が基準に準拠できているかを客観的にチェックしていただきたいという思いがありました。
セキュリティ専門のコンサルティング会社と比較・検討する中で、ニュートンさんが際立ったのが「圧倒的なスピード感」です。契約前のご相談段階から、コンサルタントの星野さんが迅速に対応してくださいました。当社も、少数精鋭の企業ということもあり、素早い意思決定を日頃から重視しています。ニュートンさんの姿勢は私たちのカルチャーともフィットしていると感じて、今回のプロジェクトの支援を依頼しました。
長谷川:今回のプロジェクトは2025年中にFISC基準第12版の監査を実施し、レポートを公表することを目的として、2025年2月に開始しました。
第一段階(Phase1)では、FISC基準第12版をもとにニュートンさんに監査を行っていただきました。FISC基準には約300の項目があるのですが、まずはそのうち当社が責任をもつべき110項目をニュートンさんに抽出していただきました。この監査では、規程やルールが整っているかを確認する「整備状況評価」と、実際の運用状況をインタビューで確認する「運用状況評価」の2つの側面から総合的に評価し、監査結果を作成しました。当社はまだ小さな会社なので、セキュリティ担当の私と、インフラシステムサービス開発担当の社員の2名で調査に対応できます。2時間あたり約35項目のペースで、合計6時間ほどかけて、コンサルタントの大津さんによるインタビューを受けました。その結果、「日々のセキュリティ対策・対応は実践できている一方で、それらが規程として整備されていない」という課題が明らかになりました。
そこで、第二段階(Phase2)ではそれらの課題を解決するための対応を実施。特に、マニュアルやルールの文書化、そして対応体制の強化に注力することで、FISCが求める水準まで改善することができました。その結果、シンプルフォームのサービスに対するFISC公開レポートが完成。これにより、今後取引を行う金融機関に対し、当社のセキュリティ状況を客観的に示せるようになりました。
田中:Phase1での監査の結果、「対策・対応は実施できているが、ルールや文書のかたちに落とし込めていない」という現状が明らかになりましたが、これは個人的にも感じていた課題でした。私はPhase2からプロジェクトに参加し、文書やルールの構築を担当したのですが、BCPやコンティンジェンシープラン、セキュリティ規程類など、幅広く整備・見直しを実施しました。
特に、インシデント対応の流れをあらためて整備することができたのは大きな進歩だと思います。もちろんインシデントは発生しないことが一番ですが、「もしものことが起きたら、どのように対応するか」ということを全社に提示したことで、現場のメンバーもより安心して業務に取り組めるようになったと感じます。
長谷川:Phase1でのインタビューで難しかったのは、FISCが前提としている会社環境と、当社の実際の環境に隔たりがあった点です。例えば、FISCの基準はITシステムを自社で保有して構築・運用していることを想定していますが、当社はクラウド上でサービスを開発・提供しているため、前提条件が異なります。ただ、相違があるからといって質問事項に回答しなかった場合、監査の意味がありませんので、コンサルタントの大津さんとも相談し、基準内容を当社の状況に合わせて適宜読み替えながら進めていきました。
一方で、当社は日々、お客様から送られてくるセキュリティチェックシートに回答するなど、セキュリティ対応を継続的に行ってきました。そのため、全体としては基準にも概ね適合しており、これまでの取り組みが正しかったことを確認できたことが大きな安心につながりました。
田中:私はPhase2でBCPとコンティンジェンシープランの構築を担当したのですが、これまでセキュリティベンダーで働いていたので、ベースとなる知識は理解できていたものの、計画類を自分でつくり上げたことはありませんでした。なおかつ、BCPとコンティンジェンシープランには共通点も多く、それぞれに何をどこまで盛り込むべきか判断に迷う場面もありました。そんな時には、コンサルタントの大津さんが当社の状況に合わせて「最低限、このポイントは押さえましょう」と柔軟かつ的確にアドバイスしてくださり、大変助かりましたね。
そして、依頼の決め手にもなったとおり、やはりニュートンさんのスピーディな対応は素晴らしいと思います。プロジェクトはスケジュール通りに進めてくださいましたし、そのマネジメント力は社内でも評判でした。
長谷川:さらなる事業成長を見据えて当社の従業員数はどんどん増えており、セキュリティ人材の採用も積極的に進めているところです。サービス開発でAIが占める重要性も高まるため、今後はAIのセキュリティ強化も必要だと思っています。引き続きお客様に安心して当社サービスをご利用いただけるよう、これからもさまざまな取り組みを続けてまいります。
※取材は2025年9月に実施。記事内の所属先および役職名は、プロジェクト当時のものです。
| 名称 | シンプルフォーム株式会社 |
|---|---|
| 所在地 | 東京都目黒区大橋一丁目5番1号 クロスエアタワー8F |
| 設立 | 2020年10月1日 |
| 事業内容 | 法人取引における審査体制の構築、運用支援 |
| 利用サービス | 金融機関向け(金融サービスプロバイダー含む)システム監査サービス |
チーフコンサルタント
大津 卓人
金融ビジネスに信頼をもたらすFISC準拠の証明
「2025年中に、FISC安全対策基準第12版の監査を実施し、ギャップ箇所を解消して対外的にFISC対応している旨を公表したい」というご要望から、シンプルフォーム様を支援させていただきました。
今回のプロジェクトで特に印象的だったのは、シンプルフォーム様の改善スピードの速さと高いセキュリティ意識です。支援当初は、ベンチャー企業であることから、FISCの要求事項は少しレベルが高いのではないかと懸念しておりました。しかし、いざ蓋を開けてみると会社のコアであるシステムを中心に素晴らしい運用がなされており、大変感銘を受けました。支援を続けていくうちに、担当者の皆様はもちろんのこと、会社の風土として「改善スピードの速さ」と「高いセキュリティ意識」が深く浸透していることを感じました。支援においても、これらの強みがあったからこそFISCの要求事項への準拠が非常にスムーズに推進することができました。
サプライチェーンリスクが注目される現代において、金融機関とビジネスを行うには、委託先やクラウドサービス事業者にも同等のセキュリティレベルが求められます。シンプルフォーム様は、まさにその要件を満たす素晴らしい企業です。
今後も新たなサービスを開発し、セキュリティを高いレベルで維持・向上していくとのこと。さらなる事業の発展を期待しております。
03-3239-9209
