実践訓練を含む伴走型のCSIRT構築支援で体制強化
- さわかみ投信株式会社
情報システム部 部長 江藤様
情報システム部 主査 中島様
情報システム部 主任 尾関様
日本初の独立系運用会社として、富裕層ではなく一般生活者のための投資信託「さわかみファンド」の運用・販売を行うさわかみ投信。GMOサイバーセキュリティ byイエラエではCSIRT構築をお手伝いさせていただきました。今回は当社にご発注をいただいたきっかけや効果について情報システム部の江藤様、中島様、尾関様にお伺いしました。
CSIRT構築支援サービスの必要性を感じたきっかけをお教えください
当社は、さわかみファンドという、たった1本の金融商品を運用・販売している会社です。全国の11万7千名のお客さまとの信頼で成り立っている会社ですので、以前よりサイバー攻撃に対しては適切に対策を行ってまいりました。しかし、昨今のサイバー攻撃事案を見ますと、攻撃量が急増していますし、その手法も高度化しています。金融庁からサイバーセキュリティ対策の強化について注意喚起が行われるなど金融業界全体でセキュリティ意識が高まっている中で、当社としてもセキュリティ強度を一段引き上げたいと感じたのがきっかけです。
今回の実施について懸念や期待はございましたか
日本では投資について必要性を感じる方が多いのにも関わらず、まだまだ一般的にはハードルが高く、利用がなかなか進んでいません。当社のような直販投信会社がこのハードルを下げることが重要だと考え、Webサービスの自社開発など色々チャレンジをしていきたいと思っていますが、そのためにはセキュリティの担保が必要不可欠です。また、コロナウイルス感染拡大によるリモートワークの推進に伴うシステム対策など、社内システムにおいても検討すべき内容がいくつもありました。
どの会社もそうだと思いますが、一般的に情報システム部門はコストがかかる部門のため、経営陣から見ると本当に必要な投資なのかと疑問に思われることも少なくありません。特にリスク対策は効果が見えづらいですし、専門的なのでシステム経験者でないと理解しにくいのだと思います。今回イエラエさんには、外部のセキュリティ専門家として入っていただき、現状の把握と今後のロードマップづくりを伴走していただくことで、経営陣がスムーズに決断し実行できる体制作りを期待しました。外部の方に入っていただくのは初めての試みでしたので何から着手したらいいのか心配でしたが、進め方からリードしていただいたおかげでうまく進めることができたと思います。
弊社をご選定いただけた理由を教えてください
3点あります。1点目はスキルの高さです。以前より脆弱性診断でお世話になっており、ホワイトハッカーの資格を持ったセキュリティエンジニアが多数いらっしゃるスキルの高さを感じていました。2点目は当社の考えを深くご理解いただけた点です。当社社長は「場当たり的な対策ではなく、中長期的に当社があるべきシステムの姿を描いた上で対策を進めたい」という考えの元、当社システムが今後どうあるべきかを共に考えるパートナーを求めていました。イエラエさんの経営層や担当の方とお話しする中で、当社のビジョンをご理解いただいたうえで中長期的な目線でセキュリティ対策を伴走して考えていただけると強く感じました。3点目は今後の関わり方の一致です。今回CSIRT支援に入っていただくことで、将来的にイエラエさんに依存するのもよくないと感じていました。社内にノウハウを蓄積して将来的には必要なときだけピンポイントで支援いただくような体制作りをしたいと考えていたところ、イエラエさんもユーザに対して同様の関わり方の考えを持っていたため、是非一緒に仕事をしたいと思いました。
弊社サービスをご利⽤になられて"効果"はいかがでしたか
社内システム全体のリスクアセスメントを実施し、期待どおり中長期のロードマップを作成することができました。事実と客観的な視点をもとに必要性を明確化でき、当社として妥当な予算、対策を加味したロードマップが作成できたと思います。また、ロードマップができただけではなく、優先順位づけの方法や、具体的にどう動けばよいのかなど、改めてゼロから学び直すことができたため、今後主体的に行動できるようになったと感じています。
長年着手できずにいたサイバー攻撃を想定した訓練では、シナリオ作成からご支援いただきました。この訓練を通じて、対策をとれているつもりでいた部分でも、実践的な攻撃により具体性が欠けていた部分に気づくことができるなど、実際にどう動けばよいかリアリティを持って考えることができました。具体的なプランに落とし込む大切さに気づくことができたため、ロードマップの精度が高まったと感じています。インシデントに対応する手順やフローも明確化できたため、今後の対策がスムーズにできるようになりました。
社内で実施している情報セキュリティ委員会にもご参画いただいておりますが、自社内だけではキャッチアップできない最新のサイバー攻撃情報をご共有いただき非常に参考になっています。経営陣はセキュリティ全般について相談できる相手ができて安心できるとイエラエさんを高く評価しています。
弊社への今後のご期待・ご要望がございましたら、お聞かせください
もともと当社社員のセキュリティ意識は高かったのですが、優先順位とやるべきことが明確になったことで主体的に動けるようになりました。イエラエさんの担当の方がまるで社員の一員のように中に入ってご支援いただけることにとても満足していますので、今後新システムの立ち上げなどの検討時にも同じようにご支援いただくことを期待しています。
お客さまの信頼を大切にするためにはセキュリティは当社にとって重要な経営課題です。1年という短いスパンではなくぜひ中長期的に伴走しながらセキュリティ強化の支援をしていただき、その結果日本に投資文化が根付く一助になっていただくことを願っております。
会社名 | さわかみ投信株式会社 |
事業内容 | 1999年、銀行や証券会社などのグループに属さない日本初の独立系運用会社として、富裕層ではなく一般生活者のための投資信託「さわかみファンド」の運用・直接販売をスタート。現在、11万名超のファンド仲間(お客さま)の資産を預かり、純資産は約3,300億円。国内外の「応援したい企業」に投資し、投資先企業・ファンド仲間・さわかみ投信の三人四脚で、長期投資で世の中をおもしろくしていくことをミッションとする。 |
URL | https://www.sawakami.co.jp/ |