変革を進めるも、セキュリティ面で数々の課題に直面
業務変革のために様々な施策に挑戦してきたPayPay銀行だが、推進の中で数々のセキュリティにおける課題に直面した。その実態について、岩本氏は以下のように解説する。なお、Web会議システムとテレワークの実施にあたっては、ITだけでなく、人事・労務面でのリスク整理にも取り組んだという。
RPA
PayPay銀行では、デスクトップ型のRPAツールを導入している。導入を始めた2012年当時は、参照できるガイドが存在しなかったため、独自にリスク分析を行わなくてはならなかった。そこで様々なリスクシナリオと、それに応じたリスク低減策を複数考案。また、開発品質の確保も同様に、リリース前のチェックリストを独自に作成し、現在もブラッシュアップを続けている。
ビジネスチャット
導入にあたり4ツールを検証したが、セキュリティに関してはいずれの候補も要件を満たしていたという。そこで、通信の安全性やアクセス制御、信頼性の高いIaaS基盤を利用しているか。また、国際的なセキュリティ基準による厳格なデータ管理を実施しているかなどを評価した。
Web会議システム
情報漏洩の観点を中心にセキュリティ評価を実施。「特に重視した項目は、会議参加者の特定、ファイル添付の制御、会議録画機能の制御だった」と岩本氏は振り返る。インシデント対応の効率化も考慮して導入を進めたが、最終的な選定の決め手は直感的な操作が可能かどうかであったという。
モバイルワーク
BYOD(Bring Your Own Device)での運用を想定していたため、社内で配布する端末以上にセキュリティ対策を徹底する必要があった。たとえば、盗難や紛失のリスクに備えるため、端末内に情報を残さない仕組みにするなどである。加えて、第三者による不正アクセスへの対策も実施した。
テレワーク
「システムと利用端末の両方に着目し、リスクを整理する必要がある」と岩本氏は訴える。システムに関しては、ワンタイムパスワード利用、そしてHTTPS通信を利用した仕組みを採用。VPNではないため、大勢が同時に使っても重くならず、快適性を維持できるという。利用端末の側面に関しては、顧客情報の参照権限を返上することを条件に、テレワークを許可する運用方針を定めた。
