東北銀行は1950年、岩手県商工会議所連合会など地元経済界の要望を受けて誕生した、戦後第一号の地方銀行だ。創業以来、「地域金融機関として地域社会の発展に尽くし共に栄える」という理念のもと、地元企業や個人のお客さまの事業と生活を支え続けてきた。人口減少が進み、複数の銀行や信用金庫がひしめく岩手県において、「お客さまの資産と信用を守り抜くことは、同行にとって最も重要な使命の一つ」である。
近年はサイバー攻撃の高度化・巧妙化に加え、2024年10月に「金融分野におけるサイバーセキュリティに関するガイドライン」が改正されるなど、金融機関に求められる水準は一段と高まっている。東北銀行は、自己評価や既存規程だけでは見えづらいリスクを把握し、「有事」を前提にレジリエンスを高めるため、ブロードバンドセキュリティ(以下、BBSec)のプレリミナリーサーベイとアドバイザリサービスを活用した。
本稿では、東北銀行システム統括部でサイバーセキュリティを担う根本一彦氏(副部長)、伊藤博亮氏(調査役)、田山正憲氏(専任指導役)の3名に、背景となった課題、第三者評価をパートナーとして選んだ理由、取り組みの成果と今後の展望を伺った。
【お話をお伺いした方】
(写真左から)
・東北銀行システム統括部 専任指導役
田山 正憲 氏
・東北銀行システム統括部 副部長
根本 一彦 氏
・東北銀行システム統括部 調査役
伊藤 博亮 氏
東北銀行は、岩手県を営業基盤とする地域金融機関として、地場の中小企業や個人のお客さまを主な取引先としている。県内には地方銀行が三行、さらに信用金庫なども存在し、金融機関どうしが切磋琢磨する環境にある。
「『あえて当行を選んでくださっているお客さま』をいかに守るかが、経営の根幹にあります。当行の経営方針の根底には地域社会に貢献するという考え方があり、地場のお客さま、とくに地元の中小企業や個人のお客さまを一番大事にしたいという思いで運営しています」と根本氏は語る。
サイバー攻撃の高度化・巧妙化が進むなか、金融機関に寄せられる期待も高い。「金融機関ならサイバーセキュリティに強いはず」というイメージに応え、インシデントを起こさないことは、同行にとって最重要課題の一つだ。
2024年10月、金融庁は「金融分野におけるサイバーセキュリティに関するガイドライン」を公表し、経営陣の関与やガバナンスの強化、第三者による評価の必要性などをこれまで以上に強く求めた。
「岩手県を地盤とする当行にとっても、ガイドライン改定は大きな転機でした。従来から情報セキュリティの規程は整備していましたが、2017年ごろに作ったものを大きく変えられておらず、昨今の攻撃手法を十分に反映できていないのではないかという問題意識がありました」と根本氏は振り返る。
同行では、改定されたガイドラインと自行の対応状況を照らし合わせてギャップ分析も行った。しかし、サイバー分野の専門人材が潤沢とは言えないなかで、その結果に確信が持てなかった。
「ガイドラインと自分たちの対応を照らし合わせてギャップ分析をしましたが、私たちはいわゆるセキュリティ専門職ではなく、『これで本当に正しいのか』という確信が持てませんでした。文言を読み込んで『たぶんこういうことだろう』と解釈はできても、それが正解かどうか判断する材料が足りなかった」と根本氏は語る。
経営層への説明も悩みの種だった。サイバーセキュリティの重要性そのものは理解されているものの、システムやセキュリティ技術の詳細まで把握しているとは限らない。
「経営層にも関与しなければならないという意識はあるのですが、『判断するに値する材料を出してほしい』と言われることが多くありました。その期待に応えるには、我々の側にも伝え方や資料のつくり方のスキルがまだ足りないと感じていました」と根本氏は語る。
こうしたなかで、東北銀行は自己評価のバイアスを排し、優先順位を整理するためにも外部専門家の支援を受けるべきだと考えるようになった。
「BBSecとの最初の接点は、今回のプレリミナリーサーベイとは別の診断サービスに関するご案内でした」と根本氏は説明する。「ちょうど新しいガイドラインの原案が出てきたタイミングで。オンラインで打ち合わせをする機会があり、その場で『実はこういうところに困っていて……』と当行の課題感を率直にお伝えしました」。
その打ち合わせのなかで、BBSecからはガイドライン対応に関する第三者評価の枠組みだけでなく、他行の取り組み事例や経営層へのアプローチの仕方など、実務に根ざしたアドバイスが示された。
「単にサービスメニューを紹介されるだけではなく、『経営層にはこういう説明の仕方があります』『他行ではこういう考え方で進めています』といった具体的なアドバイスをいただけました。経営判断につながる材料づくりまで含めて伴走してもらえるイメージが湧き、『任せてみよう』と思えたポイントでした」と根本氏は続ける。
最終的に、東北銀行はBBSecによる第三者評価(プレリミナリーサーベイ)とアドバイザリサービスを採用し、ガイドライン対応の現状把握と今後3年程度を見据えたロードマップづくりに着手した。
プレリミナリーサーベイでは、まず東北銀行側がガイドライン項目に基づいて自己評価を行い、その結果をもとにBBSecがヒアリングと確認作業を実施した。単に「できている/できていない」をチェックするのではなく、実際の運用プロセスや体制、関連する活動まで丁寧に掘り下げていったのが特徴だ。
「『規程には書いてあるから対応できている』と考えていた項目が、実際にはプロセスや役割分担が定まっておらず、十分な対応とは言えないことが明らかになったケースもある一方で、当行が自己評価で低く採点していた項目について、実際の活動内容を深掘りすると、ガイドライン上の『望ましい事項』まで満たしていると評価されたケースもありました」と伊藤氏は話す。
「第三者の目線で見てもらうことで、自分たちの思い込みや遠慮があった評価に気づくことができました。規程の有無だけではなく、プロセスや運用の実態まで含めて評価してもらえたのが大きかったです」と根本氏もプレリミナリーサーベイの印象を語る。
サーベイ結果は、ガイドライン項目ごとの達成度や課題、今後の対応方針を整理したレポートとして提供された。そのレポートは単なる診断結果にとどまらず、「今すぐ着手すべきこと」と「中長期的に検討すべきこと」を切り分けたロードマップの土台となり、行内の合意形成に大きく貢献した。
「自分たちの感覚だけではなく、第三者の評価として優先順位が示されたことで、関係部門との調整や社内説明がしやすくなりました」と伊藤氏は語る。
東北銀行では、BBSecの評価レポートをもとにサイバーセキュリティ強化に向けた稟議資料を作成した。サイバーセキュリティ基本法や政府全体の行動計画、その下に位置づけられる金融庁ガイドラインという体系を示したうえで、自行のセルフアセスメント結果と第三者評価を並べて説明したことで、経営層にとっても現在地と課題が具体的にイメージしやすくなったという。
「自分たちだけで評価結果を作って持って行っても、『本当にそうなのか』と見られてしまいます。外部の専門機関による客観的な評価があることで、『ここは足りている、ここは足りていない』という説明が格段にしやすくなりました」と伊藤氏は話す。
このレポートはそのまま監督当局への説明にも活用できる内容になっており、ガバナンスと説明責任の強化にもつながっている。
その結果、この一年ほどでサイバーセキュリティに関する予算取りは以前よりも行いやすくなった。従来は「サイバー対策は直接収益を生まない」という理由から投資の優先順位が下がりがちだったが、ガイドラインや他行の動向、第三者評価の結果を経営層と共有することで、必要な投資として認識されるようになってきた。
「サイバーセキュリティは、何も起こらないことが成果であり、そのためにかけているコストが見えにくい分野です。何も起こっていないから、そこにはコストがかかっていないと思われがちですが、実際には『何も起こらない状態』を維持するために人と時間を割いています。その価値を客観的な資料を通じて伝えられるようになったことは大きな変化でした」と伊藤氏は語る。
サイバー攻撃の技術は日々進化しており、自行だけで最新動向を追い続けるのは容易ではない。東北銀行のシステム統括部では、BBSecをはじめとする専門機関や業界団体、セキュリティベンダーのセミナーなど、外部からの情報を積極的に取り入れる体制を整えている。
「サイバーセキュリティは、スキルよりも情報が重要だと言われることもあります。外部の情報をいかに早く把握するかが鍵だと考えています」と根本氏は語る。
近年では、岩手県内の三つの地方銀行でサイバーセキュリティに関する情報交換会を定期的に開催し、非競争領域として互いの取組状況や課題を共有している。できているところ・できていないところを率直に話し合うことで、地域全体としての底上げを図っているという。
また、専門機関が開催するディスカッション形式のセミナーに、月に一度は誰かが参加することをルール化し、得られた知見を行内に持ち帰って共有する取り組みも行っている。こうした外部ネットワークの活用により、サプライチェーンリスクやサードパーティリスクといった新たなテーマにもいち早く目を向けられるようになってきた。
東北銀行では今後、今回のプレリミナリーサーベイで対象としなかった残りの項目についても評価を進め、ガイドライン全体に対するロードマップを完成させる予定だ。そのうえで、規程類の整理・改定、情報セキュリティ管理体制の整備、インシデント対応体制の強化、行内訓練の充実など、優先度の高い施策から順に実行していく。
これまで業務の変化に合わせて追加・改定を重ねてきた結果、規程類の数は膨大になり、体系としての整合性も揺らぎつつある。「とりあえずマニュアルはあるが、本当にこれでよいのか自信が持てない」「どこを直せば全体として整うのかがわかりづらい」といった課題感が現場にはあった。
サイバーセキュリティのガイドラインでも定期的な見直しが求められる。将来にわたって現実的にメンテナンスしていくためには、できるだけシンプルで、どこを修正すればよいかが一目で分かる構成にしておく必要がある。BBSecのアドバイザリでは、ガイドラインの要求事項を踏まえつつ、どこまで共通化・一本化できるか、どの水準まで定義すべきかといった観点から規程類の整理を支援している。
「マニュアルは有事のためのものなので、いざというとき現場が迷わず動けるレベルまでシンプルでなければ意味がありません。大規模障害やサイバーインシデント時には、その場の判断で動いてしまい、『マニュアルどおりに対応できなかった』ということが起こりがちです。かつて東日本大震災という未曽有の大災害を経験した当行としては、有事の備えの大切さは身に染みています」と田山氏は強調する。
「だからこそ、『本当に使えるマニュアル』を整えることが今後の大きなテーマであり、その点でもBBSecの支援に期待しています」と田山氏は続ける。
「サイバーセキュリティは、『何も起こらない』ことがゴールです。その状態を維持するためには、平時から知見を蓄え、有事を想定した準備を続ける必要があります。もし何かが起きてしまっても、『東北銀行に預けておいてよかった』と思っていただけるよう、誠意を持って対応できる体制を整えていきたいと考えています」と田山氏は語る。
最後に、今回の取り組みを通じて実感したことを根本氏に聞いた。
「『何も起こっていない』状態は、単に運が良かったからではなく、日々の地道な対策と投資の積み重ねによって支えられています。第三者評価とアドバイザリを通じて、そうした見えにくい価値を社内外に丁寧に伝えながら、東北銀行はこれからも地域のお客さまの資産と信用を守り続けていきます」と根本氏は締めくくる。
BBSecによる第三者評価とアドバイザリを活用しながら、有事を前提にしたレジリエンスを高めていく東北銀行。地域の中小企業と個人のお客さまの資産を守る、その静かな覚悟がにじむ取り組みと言えるだろう。
<会社情報>
| 会社名: | 株式会社 東北銀行 |
| URL: | https://www.tohoku-bank.co.jp/ |
| 1950年創業。県民の要望に応える形で岩手県商工会議所連合会が中心となり設立された戦後第一号の地方銀行。 「地域金融機関として地域社会の発展に尽くし共に栄える」という理念のもと、地元企業や個人のお客さまの事業と生活を支え続けている。 |
|
※ 記載の情報は2025年12月現在のものです。
※ 文中の社名、製品名は各社の商標または登録商標です。