オリックス銀行におけるセキュリティの取り組み
～まもる×成長する～

＜セキュリティへの要求はどこから発生するか？＞

セキュリティへの要求には、外部から発生するものと内部から発生するものがある。外部とはセキュリティ情勢、経済/国際情勢、自然環境/疫病等だ。外部環境・情勢の変化により、当局による金融業界へのセキュリティ要求、具体的には当局の規制や安全基準なども変わってくる。セキュリティ情勢の変化により、お客さまや取引先の要求も変わってくる。内部要因としては、自社の経営戦略やリスク戦略、IT計画・新システムなどがある。

＜オリックス銀行について＞

オリックス銀行は1998年にオリックスグループ入りして以来、既存の銀行のあり方にとらわれずに事業を展開してきた。シンプルでわかりやすい金融商品やサービスを提供し、社会に役立つ銀行として、さらなる成長を目指している。中期的な経営戦略では大きく3点を掲げており、サステナビリティを基準とする経営、資産の質・量の適切なコントロールによるROAの向上、主力分野の投資用不動産ローン事業に加えた新たな成長分野の展開だ。

経営戦略を実現するためのIT中期計画においてはまず事業ビジョンとして、中期経営計画に基づく経営戦略・事業戦略をITを通じて実現するとともに、世の中に遅れることによる事業継続性毀損リスクに対し、危機感を持ってビジネスモデルの変革を促すIT・デジタル戦略の推進を掲げた。具体的には、クラウド化率80%以上の達成とクラウドネイティブ技術の活用、ITを通じたCXやEXの向上、システム開発基盤・手法の変革等だ。

＜セキュリティ情勢の変化＞

セキュリティ情勢において、攻撃者の動機の変化や攻撃手法の増加について日々実感しておられる方も多いだろう。サイバーインシデントのインパクトは強まっており、ランサムウェアによる高額な身代金要求、部品供給や医療の業務停止等がある。CVS決済ではビジネス撤退に至ったケースもあった。

セキュリティへの要求も変化している。レジリエンスや可用性も重視され、自社だけでなくサプライチェーンへの注意や、経営者や取締役の関与も求められている。このようにセキュリティとはただの情報保護ではなく、経営・業務推進を左右する存在と位置づけられている。担い手についてもIT・セキュリティ担当が頑張ればいいものではなく、一般ユーザ・経営層・取引先が一体となって取り組む必要がある。

＜金融におけるセキュリティ要求の例＞

金融庁による「金融分野におけるサイバーセキュリティ強化に向けた取組方針（Ver.3.0）」が公表されている。この中でセキュリティ自己評価と自律的高度化が要求されているほか、外部委託拡大・サプライチェーン複雑化・グローバル化によりリスク管理難度が高まっているとの指摘もある。経営層の積極的な関与やセキュリティ人材の育成も、当局から要望されている事項だ。

＜オリックス銀行におけるセキュリティ対応態勢＞

当社では従来より「守る（機密性）」「正しい（完全性）」「使える（可用性）」を意識しつつ金融機関に必要なセキュリティ水準確保に取り組んできた。加えて「お客さまの期待」「自社の経営戦略」「IT計画・IT環境」の変化への対応、「経済・国際環境」「セキュリティ情勢」の変化、「当局要求・規制・基準」への対応も行ってきた。従来の「情報を守る」「お客さまを守る」に加え「変化に対応」「成長を支える」ことや「使える(可用性)」 「正しい(完全性)」の重要性増大への対応が必要と考えている。

セキュリティ対応態勢の特徴は主に3点であり、サイバーセキュリティ管理とシステムリスク管理を同一部署で担当すること、セキュリティ国際基準のISMSやNIST Cyber Security Frameworkを参考に自己評価を実施して課題を洗い出していること、少人数のチームであることを考慮した対応を行っていること、である。

＜近年の取り組み例①クラウド強化＞

金融業界でもクラウド活用が進んでいるが、クラウド上に構築したWebサービスの安全性、不適切な設定による脆弱性といった課題がある。また、事業部門が主体で推進する場合、管理が不十分な状態が発生してしまうケースもある。当社のIT中期計画においてもクラウド化推進を掲げており、適切な管理が必要である。

クラウド推進の課題や目標に対し、セキュリティ面でも対策を行っている。まず事務部門とリスク部門が連係し、シャドウITの防止に努めている。POCのような取り組みについては、リスクベース判断による早期立ち上げとセキュリティの両立を図る。ライフサイクルの各段階で、サービス・脆弱性・運用等をチェックしている。また、オンプレ水準とクラウド特有リスクの双方を想定したセキュリティ診断も実施している。

＜近年の取り組み例②新技術活用への対応＞

働き方改革、デジタライゼーション、ITを通じたCX・EX向上において、AIをはじめ新技術の活用検討が必要だ。最近では生成AIが話題となっているが、金融機関では従来型AI（識別・判断）を活用されているところも多いだろう。代表例としては文字認識やOCRなどで、業務の自動化や効率化で大きな効果が期待できる。生成AIは新規の文書やプログラムコードの作成省力化に繋がる。従来型AI・生成AIのどちらも銀行業務の遂行に貢献できる一方、リスクの懸念もある。

新技術は「活用しないリスク」「新技術に特有のリスク」「新技術を利用・実装・運用する際のリスク」を考える必要がある。当社では業務特性やPOC/本番の性質を考慮し、データや運用を限定してリスク量を減らしている。また、システムリスク管理ノウハウを活用し、安全なデータ移行や脆弱性対応等に取り組んでいる。セキュリティ担当者の知識向上も必須で、ベンダーを呼んでの社内勉強会や他社情報交換も行っている。

＜近年の取り組み例③コミュニケーション強化＞

金融庁のセキュリティ要求の例として、経営層の積極的な関与、組織全体でサイバーセキュリティの実効性向上、セキュリティ人材の育成がある。これらへの対応として、社内外とのコミュニケーション強化も活用している。外部情報を社内展開し、社員のセキュリティ意識向上や経営層の判断材料にするほか、案件や事例の展開を通じ、若手社員・開発担当の意識をセキュリティに向ける、コミュニティや外部活動を通じた情報入手やIT・セキュリティイメージ発信する、等に努めている。

コミュニケーションの一つとして、毎日の情報分析と結果の展開を実施している。若手中心に毎日30分～1時間かけて、日本語・英語情報を確認し分析する取り組みだ。有識者の支援も得ながら情報展開と対応の要否を判定し、関係部署に発信して対応状況をフォローする。この取り組みは新人や中途採用者等の育成にも有効で、自社ITアーキテクチャの早期把握、セキュリティ判断の基準確立と識別早期化、英語情報の拒否感低減に繋がる。

＜まとめ・今後の取り組み＞

セキュリティ組織は「お客さまの期待」「自社の経営戦略」「IT計画やIT環境変化」と「セキュリティ状況」「要求・規制・基準」の変化に総合的に対応していくことが必要だ。当社はシステムリスク管理とサイバーセキュリティ対策のノウハウを活用し、「新商品・サービス」をセキュアな状態で実現して、お客さまと自社の成長に寄与する。脅威への対応だけでなく、AI等新技術の対応や、経営層の意識向上・人材育成の観点でも、社内外コミュニケーション強化が有効だ。

今後の取り組みとして、国際化・深刻化する脅威や急激なIT技術への対応に不可欠な業界や国境を越えた情報収集と相互理解が重要と認識している。また、成長とセキュリティを両立させる組織に不可欠な「IT・セキュリティ・リスク」「ビジネス」「グローバル」視点を持つことで、セキュリティ組織自体の成長に取り組んでいく。