外部のプロ人材の深い知見と実務支援により、安全基準を満たした新システムをタイトなスケジュールでローンチ

今回、社外のプロ人材を活用されるに至った背景についてお聞かせください。
当社は金融領域において、資産運用や投資等をはじめ法人・個人向けのあらゆるサービスを提供しています。
今回、証券会社向けの新サービスを提供するにあたり、外部のプロフェッショナル人材を活用しました。具体的には新サービスのFISC基準（金融機関が情報システムを構築する際の安全対策基準）の対応にかかわる各種確認や基準に則ったマニュアルの整備等です。
システムが万が一停止してしまうと、株式の売りも買いもできないという状態に陥ってしまいます。そんな事態を避けるために設けられているのがFISCのような安全基準やルールです。この基準に基づいて、サービス提供事業者はハードウェアやネットワークの調節、設計、テストを全部実施することが肝心です。

今回、新たなシステム開発にあたり、改めてFISC対応に必要なことの確認や整備すべきマニュアルなどの精査をすることになりました。私自身、若干の勘所もありましたが、改めて自分で基準を読み解いてみたところ、新サービスの提供にあたって、どのようなドキュメントを整備しなくてはいけないのかを明確にするべきだとの結論に至りました。そこで改めて有識者と一緒に新サービスがFISCの安全基準に対して、どういった対応をすべきなのか解釈したいと考えました。

「ビザスクpartner」を活用いただいた理由は何でしょうか。
まずは、社内に有識者がいないか探しましたが、現場対応の経験はあってもFISCの安全基準の解釈に十分な知見を持つ人材がいないことがわかり、ならば外部から有識者を招いた方がいいだろうと考えました。求める人物としては、いわゆるコンサル業の方というよりは、当社と同じような立ち位置での業務経験（金融機関へのアドバイス等）があることを重要視しました。
そこで、過去に取引のあったビザスクに当社の求める知見をお持ちの方がいないか問い合わせました。

今回のアドバイザーに依頼をされた決め手は何でしょうか。
ビザスクから挙がってきた候補者の方々はいずれも当社の要望を満たしておられましたが、今回お願いした竹岡様はその中でもSierとして私共に近しい業務経験があり、深くご理解いただけそうだと思えたところが決め手です。

アドバイザーの支援内容と成果についてお聞かせいただけますか。
約5カ月にわたる支援期間でした。まずは当社内にある知見と解釈できている部分を整理し、当社の不足している部分に関する質問をまとめ、ご意見を伺いました。竹岡様には当社からの見解を添削していただき、不足している内容についてはオンライミーティングも活用しながら深掘りし、我々の知見を深めることができました。
ご支援いただいた結果、安全基準に沿った形で整備すべき一覧が見え、できている部分といない部分が明確になったので、サービスインする前に各種障害対策マニュアルや運用マニュアルを整備できました。これにより、抜け漏れなく、耐障害性に優れた形で無事にサービスインすることができました。

新システムが正常に稼働していることはもちろん、マニュアルや運用が十分整備できたことで、お客様には安心感をもって本サービスをお使いいただけていると思います。

【新サービスに関するプレスリリース】
https://corporate.quick.co.jp/2022/06/news/press/17703/

「ビザスクpartner」をご利用いただいた感想をお聞かせください。
十分な知見を有する方をすぐに紹介いただき、面接までスムーズにセッティングいただいて非常に助かりました。
今回の新システムは約半年というタイトなスケジュールで開発、ローンチする必要がありました。ご支援によって懸念点を払拭でき、FISC基準にきちんと対応した状態で無事稼働することができました。

今後どんなシーンでビザスクをご活用いただけると考えていますか。
今回新サービスの開発において社内に足りない知見をお持ちの方を有効に活用することができたので、こうしたシーンには非常に有益だと考えています。

ここからは支援アドバイザーの竹岡様にもお伺いしてまいります。

アドバイザー　竹岡様

NTTデータにて金融分野で約15年、システムエンジニア（SE）、情報セキュリティ担当として従事。
大規模銀行システムのメインフレームおよびクラサバ系のシステムの開発や内国為替の決済システム（全銀システム）の開発、運用担当を経て、情報セキュリティをメインとした非機能要件の設計、運用整備・維持を担当。
その後フリーランスとして独立し、BSIグループジャパンISO/IEC27001委託審査員などを務めている。

■ビザスクご登録のきっかけと今回の案件をお受けいただいた理由をお聞かせください。
前職のSIerでのシステム開発、PM、情報セキュリティに係る知識と経験を活かした業務支援ができればと思い登録いたしました。
今回の案件は、前職で提供していた金融システムサービスにおいて実際に自身が担った金融機関等コンピュータシステムの安全対策基準（以下FISC）への準拠対応で培った知識、現場レベルでの課題やその解決方法をお伝えすることができると感じたからです。

■ご自身のどんな強みをいかして貢献できると思われましたか。
金融サービスを提供するシステムの信頼性を確保するうえで、業界スタンダードともいわれるFISCへの準拠対応とそれによる管理態勢の強化は重要です。一方、対応にあたっては相当数の要求事項の理解も必要ですし、対応レベルは組織にゆだねられる面もあり、非常に難しいと自身の経験からも感じております。
だからこそ、前職の現場経験に基づく要求事項の解釈、その対応レベルや具体的な方法についてお伝えすることでQUICK様の業務に貢献できると思いました。

■ご支援の際に工夫されたことをご教示ください。
FISCへの準拠ということでスタートしたプロジェクトですが、みなさま経験の浅い領域でした。また、FISCの要求事項は相当数ありますので、スコープ確認によりまずは対象となる要求事項を特定したうえで効率的に推進する工夫をしました。

具体的には以下の流れ
FISC概要の理解（FISCとは、その構成など）
→スコープの確認（当該システムの対象となる要求事項の精査）
→対象となる要求事項に対する対応方針、対策の検討
→文書化

また、ご支援中に要求事項に対するご質問も多くいただきました。その際は具体例などを示しながら説明するよう工夫しました。
FISCは初期の対応だけでなくラーニングにも目を向けて管理する必要があります。システム変更、更改、データセンター移設等、またはFISCの改定など「変化」に着目した運用の管理のポイントもお伝えするよう工夫しました。

■ご支援いただいた感想ややりがいを教えてください。
新しいプロジェクトや課題に対応する際は、ベースラインがないため推進が非常に難しいかと思料いたします。だからこそ現場のレベル感というものが大事だと感じています。どこまで対応できていればOKなのか、正解にはないのですがサービス提供するシステムの特性を考慮し、対応事例などを元に具体的な支援ができたことは大変やりがいがありました。
また、QUICK様からもFISCの理解が進んだ、具体的な対応イメージが湧いたなどのお言葉を支援中に賜ることができました。