労働金庫連合会〈以下、労金連〉は、全国13の労働金庫(以下、ろうきん)の中央機関として、共通商品やサービスの開発、ろうきん間の資金需給調整、ろうきんの余裕資金の効率的な運用、統一オンラインシステムの運営などを行う組織だ。その中で、統合リスク管理部は、ろうきんが抱える様々なリスクに対し、検討・提案・啓蒙を行っている部署である。今回は、この統合リスク管理部の中で、サイバーセキュリティを担当してきたメンバーに、セキュリティ対策について、お話をお伺いした。
【お話をお伺いした方】
(写真左から)
統合リスク管理部
・鈴木 萌花 氏
・調査役 西内 良典 氏
・部長 岡部 剛久 氏
施設管理部
・次長 関口 渉 氏
労金連と13のろうきんが、組織横断的にセキュリティ対策に取り組みはじめたのは2015年のことだった。この年5月の大手特殊法人の個人情報漏洩事件をきっかけに、関係者の間で危機意識が強まり、7月には労金連の関連部署の管理職を中心にメンバーを選出して“サイバーセキュリティチーム”を発足させた。
当時、多くの企業がそうであったように、“サイバー”という言葉自体、どこか別の世界で使われている言葉で、ビジネスに直結するリスクにつながるという意識が低い中(岡部氏)、経営者を含む全社員でそのリスクを認識し、今後対策を進めていく上で、リスクを可視化することが早急に求められた。
この判断を受けて、すぐにBBSecによるセキュリティアセスメントが実施された。組織 / IT両側面から組織に内包するリスクを洗い出すこのアセスメントの結果は「まさか、ここまでやらなくてはいけないのか」と思わせるものだった。(関口氏)その中には、一般的なセキュリティ・ソリューションを導入しリスクを軽減する事項だけではなく、自らの組織を改善して組織全体の防衛力を強化していく事項も多く含まれていた。
多くの課題がリストアップされた労金連が、まずとりかかったのは、課題の整理と優先度の設定だった。しかし、これを行うためには、セキュリティに対する専門的な知識と経験が必要であり、自社だけで判断し推進していくことは現実的ではなかったという。そこで労金連は、アセスメントに引き続き、BBSecにそのサポートを求め、協力しながら、その作業を進めていった。
リストアップされた課題の中で最も優先度の高い事項の一つとして挙げられていた「セキュリティ対策専任チーム立ち上げ」は、2016年にサイバーセキュリティ対策グループとして実現した。専任チームを得た労金連は、その後、CSIRT(情報セキュリティを専門に扱う、インシデント対応チーム)立ち上げ、金融ISAC*への加入など、リスク対策を一気に加速させていく。
とはいえ、専任チーム立ち上げ当初のメンバーは、ITに関する知識はあったものの、セキュリティに対する知識が決して高かったわけではなかったという。金融という極めてサイバーリスクが高い事業分野において、配下の13ろうきんを含む大きな組織体のリーダーシップを担う専任チームは、自らスキルアップしていくために、金融ISACに参加して他社の動向を学ぶなどの自助努力をする一方で、BBSecのアドバイスを効率的に利用していった。
BBSecのアドバイスは、経験の浅い専任チームやセキュリティの専門知識が低いろうきんの代表者にもわかる言葉で行われたため、組織のレベルアップに多いに役に立ったという。また、「話しやすい環境を提供し、現場に直結する内容を中心にアドバイスしてくれたため、対策を進める上で大変効果的でした。」と西内氏は語る。
専任チームがたちあがって約3年。労金連を含む組織全体に大きな変化が起きてきているという。
業態のサイバーセキュリティ態勢強化のため、2016年春に“情報セキュリティ部会”を設置し、全13ろうきんと関連団体のコンセンサスをとる場となったが、1つの課題に2時間以上かけて議論するなど、重要なディスカッションの場として活用されている。(岡部氏)
また、各ろうきんでは、以前は、システムの動作保証がすぐに確認できないセキュリティパッチを即座に実施することに難色を示すところも多くあったという。それが現在では“セキュリティパッチを即座に当てる”ことが当然になるなど、情報システムにおけるセキュリティに対する優先度が高まっている。
さらに、労金連幹部からは、気軽にセキュリティの相談がくるようになり、その土壌が、組織のセキュリティ対策の現状を報告しやすい環境を生み出しているという。
加えてユーザー環境では、標的型攻撃メール訓練の効果によりセキュリティ意識が高まっており、リスクの高いメールを開封してしまった場合には、すぐにLANケーブルを抜き、エスカレーションする文化が浸透している。
このようなセキュリティへの意識変化に呼応するように、ウィルス検知率は顕著に減っており、現在はほぼ0に近いところまで、改善している。
多くの企業で標的型攻撃メール訓練を行っているが、労金連では、その結果の評価基準を、開封率ではなく、開けてしまったユーザーのレスポンス率(報告件数)に置いているという。
100%開封しないという現実的ではない結果を求めるのではなく、万が一、開封してしまってもすぐに連絡がくる環境が整えば、リスクは最大限避けられるという考え方には、学ぶべき点が多い。
組織内のセキュリティ対策が、順調にすすんでいる労金連。それでも定期的にアセスメントを行い、課題のブラッシュアップを行っているという。(西内氏)さらに西内氏は「まだやるべきことは山積みです。そのため、BBSecのアドバイスは重要です。」という。この言葉は、何をするべきかを明確に整理できているからこそでてくる言葉であり、専任チームが確実に効果を発揮しているのは疑う余地はない。
“13ろうきんを束ねながらセキュリティ対策を推進する“という難しい課題に対し、短期間で実績をあげている労金連。今後の更なる飛躍を期待したい。
<組織情報>
| 組織名: | 労働金庫連合会(略称:労金連) |
| URL: | http://www.rokinren.com/ |
| 設立: | 1955年3月23日 |
| 所在地: | 東京都千代田区 |
| 出資金: | 1,200億円(2018年7月1日現在) |
| 労金連は、協同組織の福祉金融機関である「労働金庫」を会員とする中央金融機関として1955年に設立、現在、全国13の労働金庫が労金連の会員となっている。 | |
* 一般社団法人金融 ISAC: 国内金融機関の間で、サイバーセキュリティに関する情報の共有・分析、及び安全性の向上のための協働活動を行う組織。
※ 記載の情報は2019年6月現在のものです。
※ 文中の社名、製品名は各社の商標または登録商標です。