SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年夏号(EnterpriseZine Press 2024 Summer)特集『ニューリーダーに訊く──2024年春、CxOに就任した2人が目指す姿とは』

Security Online Press

「クラウド・バイ・デフォルト」を宣言したSOMPOグループ、SaaS導入の審査短縮でさらなる機動性を

SOMPOホールディングスとSOMPOひまわり生命保険に聞く、グループのセキュリティ前線

 サプライチェーンリスクの懸念が高まる中で、グループ会社のセキュリティレベルの向上は大きな課題となっている。約30社のグループ会社を持つSOMPOホールディングスは「クラウド・バイ・デフォルト」を明確に宣言し、SSC(シェアードサービスセンター)を導入。さらに、SaaSのリスク調査・評価を短期間で行う「Assured」も導入している。今回、セキュリティの取り組みについて、SOMPOホールディングス IT企画部 プロジェクトマネージャーの末吉俊博氏、同部 セキュリティエバンジェリストの小中俊典氏、SOMPOひまわり生命保険 情報システム部 システムリスク管理グループ 課長代理の山田翔太氏に話を聞いた。

多彩なグループ会社を擁するSOMPOホールディングス

──まずはSOMPOホールディングスの概要について教えてください。

末吉俊博氏(以下、末吉氏):私たちSOMPOホールディングスは、大きく5つの事業を有しております。まず損保ジャパンを中心とした国内損害保険事業、2つ目がひまわり生命を中心とした国内生命保険事業。3つ目が、国内と同じような保険事業を世界中に展開する海外保険事業、4つ目がSOMPOケアを中核とする介護・シニア事業、そして5つ目がデジタル事業になります。

──皆さんの担当業務を教えていただけますでしょうか。

末吉氏:私は、SOMPOグループの共通化、共同購買、IT業務、ITインフラのシェアードサービス化を担当しています。グループの規模のメリットを活かして、グループ全体でシナジー効果を得るための業務です。

小中俊典氏(以下、小中氏):主にSOMPOグループ全体のセキュリティを担当しています。特にアタックサーフェスと言われている、外部から攻撃を受けるリスクがある資産やアセットへの対策をしていくことが重要になるので、各グループ会社と一緒に守ることが日常の業務です。

山田翔太氏(以下、山田氏):私は第二線としてのリスク管理で、第一線が適切にリスクコントロールをしているかを監視し、必要に応じて追加の対策を検討する部署で、個社のクラウドやサイバー領域を担当しています。

 生命保険業ですので、大切なお客様情報を取り扱っています。特に最近はSaaSの利用が増えていますので、いかにスピード感を落とさずにセキュリティを担保するか。そのバランスを意識しながら業務をしています。

──小中さんはホールディングスとしてグループ全体のセキュリティで共通のものを整理して、各グループ会社に提供しているということですね。

小中氏:私たちは外部、つまりインターネット側から見えているアセット、IT資産やドメインなど、具体的なものや抽象的なサービスを監査し、脆弱なものを検出して守ることに特化しています。そのため、構築した後ではなく要件の検討の段階から参画し、脆弱なシステムや設定を作らせないための取り組みを始めています。

──なるほど、検討段階からチェックするのですね。さて、SOMPOホールディングスが進める「クラウド・バイ・デフォルト」の取り組みやSSCの背景や狙いを教えていただけますでしょうか。

末吉氏:実はSOMPOホールディングスは、もともとクラウド・バイ・デフォルトを掲げていたものの、グループ会社に明確な指示をしていませんでした。しかし2020年上期に、導入やリプレイスの際にはクラウドを前提とするよう明確に宣言したのです。クラウドを選ばない場合は、その理由を説明するようにしました。徐々に浸透はしてきていますので、継続することでグループ全体のクラウドシフトが達成できると考えています。

 SSCの目的は「SOMPOグループ各社がそれぞれの競争領域に対して最大限のリソースを割り当てること」「グループ各社の競争力強化」「SOMPOグループの競争力強化」の3つです。具体的にはITインフラを共通化してグループ全体に展開することを行っています。これにより、グループ各社は競争領域のみにIT投資ができ、よりDXやCX(コーポレートトランスフォーメーション)を推進できるようになると考えています。

画像を説明するテキストなくても可
SOMPOホールディングス IT企画部 プロジェクトマネージャー 末吉俊博氏

──SSCは導入してまだ半年も経っていないところですが、導入後の変化や成果を感じていることはありますか?

末吉氏:前提として、SSCは自社でITインフラを整備するのが難しいグループ会社を対象としています。主要事業会社の損保ジャパンやひまわり生命保険などは自社でITインフラを整備できているので、このレベルに他グループ会社を引き上げることを目的とし、一定の成果を感じております。

小中氏:SOMPOホールディングスは金融機関の中でも先進的だと思いますね。たとえば、シンクライアントはサーバーのリソースに制約が発生し生産性が落ちる可能性があります。そのため、SSCではシンクライアントをやめました。今はエッジの方がかなりのパワーを使えるのでエッジの進化に合わせて生産性も向上します。また、業務システムはクラウドをベースとすることでセキュリティを担保し、生産性と利便性を追求してます。

 マイクロソフトやGoogleといった先進企業と比較しても、遜色のないワークスタイルが実現できていると思いますね。実際、端末もパワフルなものを採用でき生産性が上がっていますし、利便性も高くなっています。

次のページ
ひまわり生命保険の進言でホールディングスがAssuredを導入

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

吉澤 亨史(ヨシザワ コウジ)

元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

小山 奨太(編集部)(コヤマ ショウタ)

EnterpriseZine編集部所属。製造小売業の情報システム部門で運用保守、DX推進などを経験。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/16825 2022/11/01 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング