ウイングアーク1st 様
FISC安全対策基準に対応
高い顧客満足度を実現、ビジネス拡大へ
ウイングアーク1st様は設立以来、独自のソフトウエア製品とサービスで企業のデータ活用を支援されてきました。主力事業の一つである帳票作成・運用ソフトウエア「SVF」シリーズは2019年2月現在、市場シェア68.3%(※1)を誇り、10年以上にわたってトップシェアを維持されています。いち早く製品のクラウドサービス化を進め、導入件数はさらに伸びています。この度、「SVF Cloud」をはじめとする3つの主力クラウドサービスをFISC安全対策基準(※2)に準拠させるにあたって、ニュートン・コンサルティングのシステム監査サービスをご利用いただきました。今プロジェクトの陣頭指揮を執ったCloud事業部 Cloud技術統括部 統括部長 崎本 高広 様、同部 情報セキュリティマネジメント室 室長 小川 徹生 様にお話を伺いました。
※1 株式会社ミック経済研究所「帳票設計・運用製品の競合調査 2019年度版」(帳票運用製品ベンダー別出荷金額推移)
※2 FISC安全対策基準:公益財団法人「金融情報システムセンター(FISC)」が提示する金融機関等コンピューターシステムの安全対策基準・解説書。金融情報システムの安全性確保のために FISC が発刊する自主基準。
―貴社の事業内容をお聞かせください。
崎本:当社は企業向けのソフトウエア企業で、オンプレミスとクラウドの両方で開発と販売、保守までを一貫して行っております。事業内容では、「SVF」「SPA」に代表される帳票運用ツールなどを開発する事業と、「MotionBoard」に代表される日々蓄積される膨大なデータを正しく活用する仕組みを提供する事業を手掛けており、最近はこれらのクラウドサービス提供を特に力を入れています。
拠点は日本国内では9つ、海外ではアジア太平洋地域を中心に4つ(中国の上海と大連、シンガポール、オーストラリア)構えています。今後は欧米も視野に、グローバル進出を加速させていきます。
―FISC安全対策基準準拠を決めたきっかけを教えてください。
崎本:当社の主力製品である帳票製品については幅広い業界のお客様にご利用いただいているのですが、2年程前(2018年頃)から営業サイドより帳票製品がFISC安全対策基準を満たしているかという問合せが増えました。併せて帳票製品をご利用の金融機関のお客様からも直接、「FISC安全対策基準に準拠して欲しい」とのご要望が増えておりました。背景には、「FISC安全対策基準」の第9版が2018年3月に公開され、新基準ではクラウド固有基準が新設され、金融機関とクラウド事業者、SIerそれぞれの立場で責任が明示されたことなどがあります。
これを受けて、クラウドサービスを提供する当社もFISC安全対策基準に準拠することを決めました。当社クラウドサービスが十分な信頼性と堅牢性を持つと市場に示すことにより、既存のお客様にはよりご安心して、新規のお客様には改めて弊社のクラウドサービスを検討していただけると判断したからです。
小川:情報セキュリティの在り方として、お客様が属する業界の目線に合ったものにしたい、という狙いもありました。一括りに「情報セキュリティの確立」と言っても、金融系や医療系など業界や業種によって何を重視しているかが異なります。金融系のお客様にとっては「FISC」の基準は重要です。お客様が属するフィールドにおいて、重視されているセキュリティ対策の観点を取り入れて、情報セキュリティの体制を盤石にしていく方針です。
進め方と柔軟な対応が決め手
―取り組みにあたってコンサルティング会社を利用した理由を教えてください。
崎本:情報セキュリティの確立や情報資産の適切な管理と保護について、当社は情報セキュリティマネジメントシステム(ISMS)を構築しており、2007年から認証規格「ISO/IEC27001:2013 」および「JIS Q 27001:2014」を取得しています。
しかし、FISC安全対策基準はガイドラインであり、こうした認証取得制度ではないため、一体どのような状態を「準拠した」と対外的に言えるのかがわからず、外部の知見を活用することにしました。
―ニュートン・コンサルティングをお選びいただいた理由は何でしたか。
崎本:当社は既にニュートンさんのご支援の元、企業戦略に沿った方針に基づいてリスクを全社的に管理するERM(エンタープライズ・リスク・マネジメント)の構築をしています。なので、ニュートンさんのことは存じ上げていたのですが、実は今回のプロジェクトについては、情報セキュリティマネジメント室で独自に選定しました。
小川:ニュートンさんと業界大手2社の計3社に声を掛けさせて頂きました。当社の人的・時間的リソースを第一に考え、柔軟に対応するプロジェクトを提案してくれたのがニュートンさんでした。FISC安全対策基準に準拠するとはすなわち、およそ890問の要求事項に立ち向かわなければならないわけで、ともすると気が重くなるような内容ですが、御社に伴走してもらえればゴールできるとの期待がありました。
また、今回は当社の主力製品のうち3つをFISC安全対策基準に準拠させるためのプロジェクトですが、今後はその他の製品やソリューションも順次対応させていきたいと考えており、そこについては社内で自走化したいと考えていました。なので、ご支援の過程で私へのスキルトランスファーも要望していたのですが、そこも快諾いただけました。
担当コンサルタントの星野さんは、金融機関向けのTAM(テクニカルアカウントマネージャー)やシステム監査の経験・実績があるとお聞きしましたので、それも選定理由の一つでした。
―プロジェクトの概要を教えてください。
崎本:FISCの安全対策基準は、金融機関向けのガイドラインだけあって、その基準は厳格かつ膨大な数の設問があります。中には当社には当てはまらない設問もあるわけですが、そこの見極めも私たちだけでは難しいところでした。
そのため、まずは当社が該当するクラウドサービス事業者にとって対応すべき箇所の絞り込みをニュートンさんに行っていただきました。その後、文書確認による監査を経て、現場へのインタビューによる監査という流れにしました。最初にニュートンさんに設問をふるいにかけていただけたことで、無駄な労力を省き、効率的に進められました。
文書評価では、組織としての運用がルール化されているかを確認した上で、確認するべき優先箇所を中心に、2時間枠のインタビューを20回ほど実施しました。その結果、いくつかの指摘ならびに改善の推奨が必要な部分が見つかりましたが、その対処方法も具体的に指南いただいたので、やるべきことが明確になり、粛々と現場で改善を進めることができました。要求事項の内容で言えば、運用されてはいたけれど文書化されていなかった事象や、属人的だった部分をこの機会に文書化できました。最後は、フォローアップ監査で改善結果を確認いただきました。
小川:このプロジェクトの肝であり個人的には最大の難関になるだろうと踏んでいたのが、私個人へのスキルトランスファーです。ISMSでも私が事務局を担当しているので社内の開発部門へのヒアリングや監査は経験があるのですが、安全対策基準は初めての取り組みでもありましたし、内容が難解です。それを理解して、現場に効率的な監査をおこなうのは、チャレンジングでした。
具体的には、2時間枠のインタビューでFISC要求事項の確認をできるのは、多くて20問程度です。開発現場の担当者と理解のすり合わせに失敗すれば、20問はおろか10問も進められない可能性もあります。いかにして確認したい要点をピンポイントで相手が理解でき、かつ答えやすいように質問できるか。インタビュアーとしての力量が問われるシーンで、同じ会社のエンジニアを相手にしているにも関わらず、緊張感がありました。その際にもニュートンさんは的確に、かといって出しゃばることなく、私をフォローしてくれました。インタビュー対応や監査結果の決定、改善推奨事項の提示まで、懇切丁寧なOJTを何度も経験しました。
また、インタビューシートや監査手引書なども用意していただいたので、今後は、自分たち自身が主体になってシステム監査を進めていきます。
―今回のプロジェクトの成果はいかがでしたか。
小川:2020年3月13日にホームページで上記3つのサービスがFISC安全対策基準のガイドラインに対応したと発表できました。同時にエビデンスとして「FISC安全対策基準 第9版改訂版 対外公開ドキュメント」と題したPDFファイルを公開できました。このダウンロード可能なPDFファイルの作成もニュートンさんのご支援により実現したのですが、FISCの基準を満たしたこの取り組みを積極的に公開したいという我々のニーズを丸ごと満たしてくれました。内容の精度の高さも含めて高く評価しています。
崎本:例えば「対応したその取り組みについてはお問い合わせください」というアナウンスでは営業力が弱いですよね。今回、ダウンロードできるファイルに仕上げたことで強力にアピールできていると評価しています。
また、顧客対応の品質向上にもつながりました。当社の製品は金融機関にご利用いただいているので、半年あるいは年に1回程度、当社オフィスに視察にいらっしゃるのですが、当社製品の安全性をご理解頂くうえで、FISC安全対策基準に準拠しているということは大きな安心感につながります。監査報告もしやすくなると思われます。
小川:これは副次的な効果かもしれないのですが、今回このプロジェクトに携わることで、金融業界特有の要求事項について理解が深まったことは、翻って製品開発の現場にもフィードバックできていると感じています。
今回ガイドラインの理解を促進するために、コンサルタントの星野さんから、その背景にあるもの、業界特有の事情や慣行などについても解説をしていただきました。そうしたことがわかると、細部まで理解が進みます。監査の際にそうした情報を現場の開発者たちにも伝えることで、現場の意欲醸成に繋げられたと感じています。
現場が疲弊しないスケジューリング
―ニュートンのコンサルティングはいかがでしたか。
崎本:ニュートンさんはチームワークが素晴らしく、皆さん、真摯によくやっていただきました。
プロジェクト開始当初、このスケジュールで本当に進むのか、現場にしわ寄せがいくのではないかと半信半疑だったのですが、きっちり予定通りに完了し感心しました。我々の力量に沿って、時には盛り立て、時にはハッパをかけて頂きながら進めて頂いたおかげでプロジェクトメンバーが疲弊せずに完遂できました。その見通しや段取り、総じて柔軟な対応が素晴らしかったです。
―本日は誠にありがとうございました。
利用サービス
プロジェクトメンバー
お客様 |
---|
Cloud事業部 Cloud技術統括部 統括部長 崎本 高広 様 |
Cloud事業部 Cloud技術統括部 情報セキュリティマネジメント室室長 小川 徹生 様 |
ニュートン・コンサルティング |
---|
執行役員 兼 プリンシパルコンサルタント 内海 良 |
エグゼクティブコンサルタント 星野 靖 |
アソシエイトシニアコンサルタント 廣田 哲弥 |
担当の声
エグゼクティブコンサルタント 星野 靖
セキュリティ意識の高いプロ集団、これぞあるべき姿
監査の対象はクラウドサービスを提供するエンジニアの方々で、その現場は泥臭い部分も多く、タフな仕事であるのは間違いありません。業務でご多忙な折に、そんなつもりはなくても鋭い突っ込みになってしまい、エンジニアの皆様にはご負担をおかけすることが多々あったかと思います。そんな中でも、紳士的に対応いただき、監査が非常にスムーズに進みました。
システムやセキュリティの分野は今日素晴らしいレベルにあったとしても、5年後、1年後、もしかすると半年後には時代遅れになってしまう可能性がある、非常に変化が激しい世界です。今後の世の中の動きを意識しつつ、現在の素晴らしいレベルを維持、発展されることを期待しております。