三菱UFJ銀行、クラウドのセキュリティ評価業務に外部サービスを採用

今回は「三菱UFJ銀行、クラウドのセキュリティ評価業務に外部サービスを採用」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　三菱UFJ銀行は、クラウドサービスの利用に際して行っているセキュリティ評価に、アシュアードのセキュリティ評価プラットフォーム「Assured」を採用し、自前のチェックリストによる作業からの効率化を図った。アシュアードが発表した。

　アシュアードによると、同行は、三菱UFJフィナンシャル・グループ独自のセキュリティチェックリストを使って、利用部門とクラウドサービス事業者がリストに記載後、サイバーセキュリティ推進部が確認と評価を行っていた。しかし、クラウド利用の拡大で、この評価方法が関係者にとって大きな負担になったという。このためAssuredを採用し、独自チェックシートによる作業負担の軽減と回答の信ぴょう性および精度の担保に取り組んだ。

　Assuredの採用についてサイバーセキュリティ推進部は、同行のセキュリティ審査プロセスとAssuredのセキュリティ審査プロセスが類似しており、「当行のセキュリティ審査プロセスの全てをAssuredでカバーできるわけではないが、一定以上の水準で代替できることや、一部項目は当行よりも深く確認していることから、導入後すぐに既存のセキュリティ審査プロセスに組み込めると判断した」（同部）という。

　また、同行内の運用では、システムやセキュリティに詳しくない現場担当者とクラウドサービス事業者との間で複数回の確認作業が発生し、現場担当者の作業負担が大きい状況だという。Assuredでは、現場担当者ではなくアシュアードがクラウドサービス事業者との確認を行うため、同部は「評価結果の品質を確保でき、当行の作業負荷軽減と品質確保を両立できることを期待している」とコメントしている。

　サイバーセキュリティ推進部は、Assuredのセキュリティチェック項目の拡張経緯も確認し、顧客の要求への対応頻度なども確認。現状の利用は同行だけだが、「将来的にグループ全体への拡大を計画中で、グループ全体での運用方法の検討といった当行内部作業と並行し、Assured側のチェック項目の拡充やサポートサービス・協業体制の強化などを期待し、両社にとっての最適解を作り上げたいと考えている」（同部）という。