オリコは創業以来、信販業界のパイオニアとして、それぞれの時代のライフスタイルや決済ニーズに合わせたサービスを幅広く展開。多種多様な分野で蓄積してきたノウハウを結集し、さまざまな金融サービスをワンストップで提供しています。長期目線で社会価値と企業価値の両立をめざす「サステナビリティ」を経営の軸に据え、デジタルを一つの切り口としてDXを推進するなど、お客さま起点で価値を創造する新時代の金融サービスグループを目指しています。
この度、リスク評価を適切かつ効率的に行ったうえでより安心安全にクラウド利用を推進するため、Assuredをご導入いただきました。
今回、オリコ IT・システム管理部長の加藤氏、同部で導入をご担当いただいた石田氏にAssuredのご導入に至った背景をお聞きしました。
-
オリコ様は、23年3月に「DX認定事業者」として認定されるなど、DXを積極的に推進していらっしゃいますが、その取り組みや背景についてお聞かせください。
加藤氏:
オリコは、2022年4月にDX戦略を策定し、新たに「デジタル・マーケティンググループ」を新設するとともに、社長が本部長を務めるDX推進本部を立上げ、全社横断的にDX戦略を推進しております。
また、2025年3月期を最終年度とする3カ年の中期経営計画においてDX戦略を策定し、3つの柱として、「デジタル技術を活用した新たなビジネスモデル創出」「既存ビジネスモデルにおけるDXの実践」「DX人材の育成・DXカルチャーの醸成」を掲げています。具体的な取り組みとして、DXに関する教育プログラムを取り入れ、目標としていた正社員のほぼ全員にあたる3,000人がDX推進人材の初級認定を受けるなど、様々な施策を実施しています。
-
グループ全体としてDXを進める中で、どのような課題感をお持ちだったのでしょうか?
石田氏:
DXの推進にクラウドサービスの活用は必要不可欠です。クラウドサービスの導入にあたって、これまでは1サービスごとにセキュリティチェックシートへの回答を求め、その結果を個別に評価していました。セキュリティチェックシートのやりとりには平均23.5営業日かかっており、利用開始までのスピード感に課題を感じていました。
また、DXの加速に伴いクラウドサービスの利用数は300件を超えてなお増加しています。どんなに利用数が増えてもリスク評価を継続する必要があり、評価品質と効率を両立した手法を模索していました。
-
そのなかで、Assuredに感じたメリットをお聞かせください。
石田氏:
まず1つ目に、リスク評価のスピードです。Assuredは、国内外のクラウドサービスのリスク評価情報がデータベース化されているため、登録済みのサービスであれば即座にリスク評価情報を取得でき、これまで平均23.5営業日かかっていたやりとりを大幅に短縮することが可能です。また、未登録のサービスであってもリクエストに応じてリスク調査・評価を代行して頂けます。
Assured導入前はセキュリティチェックシートへの回答依頼、進捗の管理と回答納期のリマインド、回答の精査と不明点の追加確認などを、他業務と並行して実施している状況でした。そのため、対象サービスの増加に伴って煩雑性も増すばかりで、評価結果を得るまでのスピードも低下する傾向にありました。Assuredを導入することで、多くの対応から解放され、本来の目的である導入・利用継続の見極めに集中できることにメリットを感じています。
また、現在、オリコが利用するクラウドサービス全件について、Assuredへの登録を依頼しており、完了の暁には定期的なリスク評価に対しても大幅なスピードアップができると期待しています。
2つ目に、国際基準をベースとしたリスク評価情報が得られる点です。自社でセキュリティチェックシートを作成・見直しする際には、変化するセキュリティ動向に合わせた効果的な評価項目の取込や、納得性のある配点と合格基準の設定に苦労していました。Assuredには、経済産業省や総務省が公開しているガイドライン、金融分野におけるFISC安全対策基準、PCI DSSや、NIST SP800-53、ISO27001、ISO27017等の国際規格に基づいた、100項目以上の評価情報がデータベース化されています。また、セキュリティ専門家により客観的な評価が行われ、公平で納得性の高い評価結果を得ることができます。
3つ目に、Assuredが目指す世界観に共感できたということも大きなポイントでした。クラウドサービスに対するリスク評価においては、サービスを提供するクラウドサービス事業者と、サービスを利用するユーザー企業との間で、それぞれにユニークなセキュリティチェックシートが飛び交う状況が続いています。セキュリティチェックシートを作成する側にも、回答する側にも高い専門性が求められる上、メール等でのコミュニケーションや、回答にかかる対応コストも肥大化する一方であり、社会全体で解決しなければ、いずれは対応しきれなくなると感じていました。
Assuredの「評価結果をクラウド上で共有する」というコンセプトは、この課題の解決策となりうるものであり、導入を決断するポイントとなりました。
-
そのようにご期待いただけて大変光栄です。
引き続き、社会全体でのクラウド活用促進の一助となれるよう精進して参ります。
【クラウドリスク評価「Assured(アシュアード)」について】
Assuredは、国内外のクラウドリスク評価情報を一元化したデータベースです。セキュリティの専門資格を保有するリスク評価チームが、主要なセキュリティガイドラインやフレームワークに基づき調査した最新のセキュリティリスク評価情報を提供します。各社が独自で行ってきたクラウドリスク評価業務を効率化するとともに、シャドーITの検知、利用サービス管理により、リスクの把握から評価、管理の運用をサポートし、企業の安全なクラウド活用を実現します。
【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人材活用・人材戦略(HCM)エコシステムの構築を目指す。また、M&A、物流Tech、サイバーセキュリティ、Sales Techの領域においても、新規事業を次々に立ち上げている。