銀行、証券、保険などを含む金融業は、取り扱う商品やサービスの性質として公共性が極めて高いことから、政府による免許・認可・登録が必要な業態であり、旧来より、高いレベルでのリスクマネジメント、セキュリティ対策が求められてきた。しかし、近年、世界規模で急速に加速している「デジタル化」の潮流は、従来の「金融リスク」とは異なるタイプの「デジタルリスク」を生み出しており、金融業界の企業には、それを適切に把握し、管理していくことが求められてきている。本稿では、デジタル化によって金融業界に起こっている変化と、そこで生じるデジタルリスクの例を概観し、そのうえで、デジタルリスクを適切にマネジメントしていくのに必要な組織としての意識の転換と、それを実現するためにRidgelinezが提供できる支援について紹介する。

目次

• デジタル化で新たな競争環境にさらされるビジネスモデル
• 金融業界のビジネストレンドが内包する新たなリスク
• リスクベースへの転換が課題に
• Ridgelinezにおける「セキュリティ対策」支援の考え方
• 「戦略」「ビジネス」「技術」のすべてを見通してリスクに対処する
• 「デジタルリスクマネジメント」のレベルアップを支援

デジタル化で新たな競争環境にさらされるビジネスモデル

情報インフラとしてのインターネットを中心に、高性能化が進むスマートフォンなどのモバイルデバイス、近年の進歩が目覚ましいIoTやAIといった技術を活用し、新たな製品やサービスを生み出そうとする動きが、業種業界を問わず盛んだ。こうした技術による、新規の製品やサービスが、既存のものに取って代わり、それまでの市場を一変させる状況は「デジタル・ディスラプション」と呼ばれる。金融は、早期からその影響にさらされることが指摘されていた業界であり、実際に劇的な変化のただ中にある。

金融に関わる特定のサービスや機能をネット上で提供する新興“Fintech”企業の台頭に加え、Google、Amazon、Meta（旧Facebook）、AppleといったIT業界のビッグプレーヤー、隣接異業種からの金融事業参入などにより、金融業界のデジタル・ディスラプションは、今後さらに進行していく。金融機関がこれまで構築してきたエコシステムに取って代わる、デジタル時代の新たなエコシステムを前提とした、金融サービスやプラットフォーム化の動向も現れつつある。

さらに、2020年来の「コロナ禍」も、金融業界のデジタル化を加速させる要因のひとつになっている。新型コロナウイルス感染症の拡大は、金融サービスと顧客との接点を大きく変えた。従来の「対面」に代わり、「デジタル」な接点を中核として、顧客との新しいコミュニケーション戦略を組み立てていく必要が生まれている。

こうした背景のもと、金融業界の旧来のビジネスモデルそのものが、新たな競争環境にさらされている。

金融業界のビジネストレンドが内包する新たなリスク

社会のデジタル化に対応していくうえで、金融業界に起こっているビジネス上のトレンドとしては、「Embedded Finance(エンベデッドファイナンス)」「金融サービス以外の新事業への参入」「デジタルサービス開発のLOB（ライン部門）シフト」といったものが挙げられる。これらのトレンドには、それぞれ組織として対応すべき新たな「デジタルリスク」が含まれている。

（1) Embedded Finance

「Embedded Finance」は、非金融事業者が提供するサービスに、決済、融資、預金、保険のような金融サービスを組み込んで提供することを指す。日本語では「組み込み型金融」とも呼ばれる。消費者が日常的に利用するアプリ（あるいはサービス）に、関連した各種の金融サービスを組み込むことで利便性を高め、サービス利用者のUX（ユーザー体験）を向上させる仕組みとして期待が高まっている。

【図1】Embedded Financeの事例

その一方で、Embedded Financeにおいては、従来のような「自社が提供しているサービスの範囲内」だけでなく、それが組み込まれる先を含めた、サービス全体を視野に入れたセキュリティ対策、リスクマネジメントが求められるようになる。

Embedded Financeに内在するリスクが、実際のインシデントに結びついてしまった例としては、2020年に発生した、複数の銀行に対する、デジタルウォレットを介した不正出金事件が挙げられる。非金融事業者と金融事業者の双方が、当初よりサービス連携のリスクを念頭に置いた対策をとることで、こうした犯罪による実被害は、ある程度軽減できたと考えられる。

（2) 金融サービス以外の新事業への参入

デジタル化により、異業種からの金融関連サービスへの参入が増えていることに加え、金融業界の企業が、金融サービス以外の、デジタルを活用した新事業へ参入する動きも加速している。

例えば、三井住友フィナンシャルグループ（SMBC）では、2020年5月に公表した中期経営計画（*）の中で「情報産業化」「プラットフォーマー」「ソリューションプロバイダー」といった事業の方向性を打ち出しており、デジタル化による金融関連サービスの強化、Embedded Financeの推進だけでなく、顧客のライフスタイルに密着した提携・付帯サービスの提供や仲介、デジタル広告ビジネスへの参入など、新規ビジネスへの取り組みも積極的に行うことを表明している。

新事業として、デジタルサービスの開発、提供を行っていく際には、従来の金融サービスとは違った視点での、リスクマネジメント、セキュリティ対策が求められる。

（*）三井住友フィナンシャルグループ 中期経営計画 関連資料（2020年5月公表）
2019年度決算 投資家説明会PDF

（3）デジタルサービス開発のLOBシフト

これは金融業界に限ったことではないが、主に顧客や消費者向けのデジタルサービスを企画、開発するにあたり、その主体が、情報システム部門から、デジタル担当部門（DX推進部等）や、LOBへとシフトする傾向が強まっている。今や、ビジネスにITシステムは不可欠なものであり、特に「攻め」のデジタル化の領域については、ITの専門部署のみで推進するのではなく、組織横断型で、ITとビジネス、双方の知見に基づいたサービス企画、開発を行っていくことが効果的という認識が広まっている。

こうした状況の中で、これまで情報システム部門が、システムの開発運用において堅守してきた、ITガバナンスやデジタルリスクマネジメントのあり方についても、現状に即した形での見直しが必要になってくる。

【図2】SMBCにおけるLOBシフトの例

リスクベースへの転換が課題に

金融業界の企業にとって、今後は「金融リスク」への対応に加え、デジタル化による環境変化で次々と生まれる新しい「デジタルリスク」への対応が、欠かせないものになっていく。その際に、組織として意識すべきなのは「リスクマネジメント」に対する考え方の転換だ。

これまで多くの金融機関では、FISC（公益財団法人金融情報システムセンター）やFFIEC_CAT（Federal Financial Institutions Examination Council Cybersecurity Assessment Tool）などの関係省庁や国際的な機関が定めた監査基準、セキュリティ基準に適合することを主眼に、各種の対応を行っていたのではないだろうか。また、実際の対策についても、過去の事例に基づいた「ベストプラクティス」とされるようなフレームワークに準じて、実施してきた部分が多いだろう。これらはいわば「コンプライアンス」（法令順守）としてのリスク対応と言える。

しかし、現在の金融業界は、過去に例のない大規模な変化の渦中にある。デジタルの領域で次々と生まれる新たなリスクに対応していくためには、業界ルールとしての基準を守ることに主眼を置いた「コンプライアンス」ベースの対策だけでは、十分ではない。

必要となるのは、自分たちが現在行っているビジネス、これから新たに取り組むビジネスのについて詳細に検討し、内在するリスクの性質や重要度を評価して、対応を決め、プロアクティブに対策を実施するという、より自社固有のリスクに対応できる「リスクマネジメント」である。

“守り”の「コンプライアンス」だけでなく、“攻め”のリスクベースのリスクマネジメント、セキュリティ対策ができる組織へと進化していくことが、金融業界でデジタル・トランスフォーメーション（DX）を志向する企業にとって、今後の重要な課題となってくるだろう。

Ridgelinezにおける「セキュリティ対策」支援の考え方

Ridgelinezでは、アーキテクチャ金融業界における「Embedded Finance」のように、新たな領域を開拓し、「攻めの変革」を遂げようとする企業の支援にフォーカスしたサービスを提供している。
その強みは、戦略の策定から、アーキテクチャの設計・開発、エコシステムの構築・運用まで、変革のプロセスをEnd to Endで支援できる点にある。

DXをはじめとする、企業の「攻めの変革」において、デジタルリスクマネジメント、セキュリティ対策は、その根幹を支える重要な柱だ。

「コンプライアンス」をベースとするような「守り」のセキュリティ対策は、すでに成熟しており、その方法論やソリューションは市場に多数存在する。一方で、世界的に「日本のセキュリティ対策は遅れている」と認識されている現実がある。その原因は、手に入るソリューションが古かったり、不足していたりするためではない。むしろ、それらをどのように、過不足なく使うべきかをコントロールする「戦略」や「アーキテクチャ」が、整理されていないことが大きな理由として挙げられる。対策よりも上位のレイヤーにある、戦略、アーキテクチャが未整備であることが、予期せぬセキュリティホールを生み、インシデントの発生リスクを高める。

特にDXを視野に入れた新規事業においては、ビジネス自体のスキームも新しいものであるため、過去の成功事例や、既存のフレームワークに頼ったリスク評価や対策が行えないケースが多い。そのために見落としてしまったリスクが、重大な事故につながり、新規事業そのものが頓挫してしまう例も少なくない。このような新規事業としてのサービス開発においても、リスクを「抜け」や「漏れ」なく見つけ出し、過不足のないセキュリティアーキテクチャを確立することが、DX推進におけるセキュリティ面での課題となる。

「戦略」「ビジネス」「技術」のすべてを見通してリスクに対処する

Ridgelinezでは、こうした企業の課題を解決するため、デジタルリスクマネジメントやセキュリティ対策のサポートにおいても、「戦略」や「ビジネス」といった、より上位のレイヤーを併せて取り扱う。

前述のように、デジタルリスクのマネジメントにおいては、リスク評価の「抜け」や「漏れ」が、最悪の場合、ビジネスにとっての致命傷となりかねない。だからこそ、経営層の判断から、現場のソリューション運用に至るまで、セキュリティ要件のトレーサビリティ（追跡可能性）を担保することが重要となる。Ridgelinezでは、この考えに基づき、戦略立案やガバナンス策定から、具体的なソリューションの導入までを支援できる。つまり、企業がDXを推進していくにあたって必要な、組織全体としてのトランスフォーメーション（変革）を、End to Endでサポートする体制を持っていると言える。

こうした体制があるからこそ提案できる、特長的なソリューションのひとつに、デジタルリスクの評価と対策の「シフトレフト」がある。従来のシステム開発では、業務設計やITアーキテクチャを決定したあとで、必要なセキュリティ対策の検討に入る。この「セキュリティ対策・検討」の工程を、システム開発に入る前の事業構想のフェーズへ組み込んでいくのが、Ridgelinezが考える「シフトレフト」である。

【図3】Ridgelinezが提唱するシフトレフトの位置づけ

Ridgelinezでは、事業の構想段階からプロジェクトに参画し、その時点から、主要なリスクと対応案を洗い出す。「事業構想とシステム要件から、リスクを検討する」のではなく、「リスク検討側から、事業構想側に対して」コストを想定し、過度なリスクの発生を予見してフィードバックを行う。プロジェクトの初期段階から、こうしたプロセスを実施することで、ある程度進行してしまってからの手戻りや見直しを避けることができ、より現実的な開発コストと適切なリスクマネジメントに基づいて、事業構想を固め、実際のサービス開発へと進んでいくことができる。

こうした形での「シフトレフト」は、戦略やビジネスのレイヤーに対応できるノウハウを持ち、なおかつ「実装し、運用した場合にどうなるか」といった、最新のITシステムについての知見も兼ね備えていなければ、実施が難しい。これらをEnd to Endでカバーできる知見と経験を持つコンサルティングファームは、国内に多くない。

「デジタルリスクマネジメント」のレベルアップを支援

Ridgelinezへ実際に相談が持ちかけられるものとしては、ITセキュリティのガバナンス構築を起点とするような、年単位のトランスフォーメーション案件が多い。これらは、従来から、セキュリティ対策に積極的に投資をしてきたものの、次々と登場する新たな脅威に対し、IT部門によるボトムアップで「モグラたたき」的に対応しなければならない状況に限界を感じ、トップダウンによる、より強力なITガバナンスとデジタルリスクマネジメントを導入する必要性を認識しているケースが多い。いわば「ITセキュリティ対策のステージを上げたい」と考える企業の増加を示唆していると言える。

その背景としては、新型コロナウイルス感染症の拡大によるワークスタイルの変化や、それ以前から続いている業務システムのクラウドシフトなど、ITアーキテクチャの分散化・複雑化も、理由として挙げられる。しかし、ここまで述べてきたように、「攻め」のIT投資を成功させるうえで、セキュリティに関わるデジタルリスクを見落とさないようにしながら新規事業を企画し、サービス開発を行える体制が必要だと考える企業が増えていることも、大きな要因となっていると考えられる。

ここまで、特に金融業界で起こっている市場状況の変化とトレンド、それによって高まっている「デジタルリスクマネジメント」の重要性、その課題解決にあたりRidgelinezが支援できるトランスフォーメーションの例について触れてきた。

今後、ますます変化が加速し、競争が激しさを増す金融業界において、デジタル化の潮流に対応すること、そして、競争力を増すための「攻め」のデジタル活用を推進することは、生き残りを果たすために不可欠となる。そうした組織としてのトランスフォーメーションを実現していくにあたり、金融業界での実績も豊富なRidgelinezのノウハウとナレッジの活用を検討いただければ幸いである。

---

執筆者