【PR】アシュアードの大森厚志社長に聞く　金融庁ガイドラインで求められる「サードパーティリスク管理」への対応

即戦力人材と企業をつなぐ転職サイト「ビズリーチ」などを展開するVisionalグループ。その中で、サイバーセキュリティ領域を担うのがアシュアードだ。クラウドサービス（SaaS）のセキュリティ評価を行う「Assured」（アシュアード）を提供している。2022年1月のサービス開始から約3年半で、金融界ではメガバンクや地方銀行など約160機関が利用。2025年6月11日からは「サードパーティ（委託先企業）」のセキュリティ対策状況を評価する「Assured企業評価」を始めた。大森厚志代表取締役社長に新サービスを始めた背景、サービスの強みや今後の展望などを聞いた。

金融庁ガイドラインに「サードパーティリスク管理」

――企業評価サービスを始めるに至った背景は？
　サードパーティを狙ったサイバー攻撃が多発していることです。国内では委託先の印刷業者がマルウェアに感染したことで委託元の顧客情報が漏えいする事件が起き、金融機関も含めた多数の委託元企業が預託していた個人情報が漏洩するなどの被害が報告されています。こうした事例もあり、金融庁は2024年10月4日、「金融分野に関するサイバーセキュリティに関するガイドライン」を公表し、「サードパーティリスク管理」の項目が明記されました。それを機にAssuredを利用するお客様においても従来の委託先管理・評価の在り方を見直し、高度化を目指したいとの強い要望をいただき、それが企業評価サービスの開発のきっかけとなりました。

――ガイドラインのポイントは？
　サードパーティリスク管理に関しては、「自組織業務における役割や重要性、重要情報の取扱い有無に応じたサードパーティに対するリスク評価とリスク対応の実施」などが推奨されています。また、委託元から委託先、再委託先などのサードパーティ全体のリスク管理が、国内外の複数のフレームワークやガイドラインでも言及されており、金融機関では従来よりも高度な委託先管理を求められています。

――サードパーティのセキュリティリスク評価の手法や課題はどのようなものですか？
　チェックシートを用いて、従業員教育の実施状況、VPN機器の認証方式、ドキュメントの運用管理、マルウェア対策などを委託先に直接確認し、リスク評価を行うことが一般的です。しかし、チェックシートの運用においては構造的な問題があります。委託元は「回答の妥当性の確認や評価ができていない」「改善対応や評価項目のアップデートまで手が回らない」、委託先は、「様々な委託元から個別にチェックシート依頼があり回答に負荷がかかる」、「回答を踏まえた改善対応が不明」など、様々な課題を抱えています。

65の大項目で専門家が評価し、データベース化

――貴社の企業評価サービスの特徴は？
　ISO27001（情報セキュリティマネジメントシステムに関する国際規格）や金融庁の「金融分野におけるサイバーセキュリティに関するガイドライン」をはじめとする国内外のガイドライン、フレームワークを参考に作成された65の大項目を用いて、Assuredのセキュリティ専門チームが委託先のセキュリティ対策状況を評価します。専門家による詳細な評価情報をレポートとして提供することで、委託先のセキュリティ対策状況や具体的なリスクを客観的かつ網羅的に把握できます。また、評価情報はプラットフォーム上にデータベース化して掲載されるため、虚偽や誇張回答などの不正が行われにくい仕組みとなっています。委託先は、委託元からの同じ設問への回答を再利用することで業務負荷を軽減できます。

――費用は？
　閲覧するレポート件数に応じて金額が変わります。地方銀行様の場合は、年間数百万程度となることが多いです。

1年で20機関導入を目指す

――今後の展望は？
　6月11日のサービス開始から1年で20金融機関への導入を目指したいです。既に伊予銀行様やニッセイ・ウェルス生命保険様など複数の金融機関様で先行導入いただいています。初期機能として「セキュリティ評価機能」を提供し、順次管理機能を拡充させていく予定です。客観的な評価情報があることで、企業の信頼保証としての活用や、評価に基づき自律的な改善が促されるなど、社会全体のセキュリティ水準向上にもつながると考えています。

詳細は、セミナーでご案内いたします。

株式会社アシュアード
代表取締役社長　大森　厚志（おおもり　あつし）
株式会社ビズリーチに新卒入社後、ビズリーチ事業のマーケティング部、事業企画部を経て地域活性事業、セールステック事業を立ち上げ。その後、クラウドサービスのセキュリティ評価を行う「Assured」を企画・立案し事業化。事業部長として同事業を牽引した後、2022年8月から現職。