セキュリティ対策支援サービス– 事業への「金融機能」組み込みに耐えるセキュリティを、共に設計する –

  • 自社ポイントにチャージ機能を載せたい
  • ウォレットを作りたい
  • 電子マネーを発行したい。

こうした取り組みは、システム改修の延長で扱える範囲を超え、金融事業に踏み込む判断を伴います。資金決済法をはじめとする規制の対象になり、求められるセキュリティ水準もこれまでとは別のものになります。

これまでのセキュリティ対策で足りるのか、既存ベンダーの提案は妥当なのか。社内で判断できる方が、どれだけいらっしゃるでしょうか。

私たちは、証券・FXの基幹システムを24時間365日止めずに動かしてきた現場で、セキュリティと向き合ってきました。その経験を、これから「金融機能」を組み込もうとする中堅企業の判断材料としてお使いいただくためのサービスです。

なぜ今、「金融機能」を組み込もうとする事業会社にセキュリティ支援が必要なのか

ポイントへのチャージ機能、自社ウォレットの発行、店舗独自の電子マネー。これらは資金決済法上の前払式支払手段や資金移動業に該当しうる行為であり、これまでの社内ECやポイントシステムとは別水準のセキュリティ統制が求められます。「システムを少し拡張するだけ」という社内の感覚と、規制側の見方には、しばしば隔たりがあります。

小売・流通で進む「金融機能の内製化」

近年、小売・流通の現場から「自社ポイントにチャージ機能を載せたい」「店舗専用のウォレットを作りたい」というご相談が増えています。背景には、決済データを自社で握りたいという経営判断と、外部決済手数料の負担があります。

ただし、ポイントが「金額としてチャージされ、後日商品の支払いに使われる」構造になった瞬間から、それは前払式支払手段という金融機能になります。事業に金融規制が適用される領域が生まれます。

「これまでのシステム開発の延長」では届かない領域

社内ECで実績のあるベンダーが、そのまま金融機能まで担えるとは限りません。金融サービスに求められるのは機能の正しさだけではなく、「止めない」「漏らさない」「説明できる」の三点です。

  • 24時間365日のサービス継続
  • 取引情報・個人情報の保全
  • 監督当局・取引先・顧客への説明責任

これらは個別ツールの導入で揃うものではなく、組織・プロセス・文書の三つを揃えて初めて成立します。

規制側(金融庁・FISC)が見ている観点

金融庁やFISC(金融情報システムセンター)が事業者を見る観点は、「事故が起きないこと」ではなく「事故が起きたときに、どう動ける組織か」です。

「うちはまだ小さいから大丈夫」は通用しません。チャージ残高を一度でも預かった時点で、見られる目線が変わります。

こんな課題を持つ企業を支援しています

私たちが伴走するのは、売上数百億から数千億規模の中堅企業で、自社の事業を金融側に拡張しようとしている、あるいは拡張したあとに「これで大丈夫だろうか」と立ち止まった企業です。業種は金融・流通にとどまらず、事業に「金融機能」を組み込む際の課題に直面している企業であれば業種を問わず対応しています。

なお、セキュリティツールの選定・導入支援は対応できますが、機器のキッティングや端末設定といった個別作業は自社での対応をお願いしています。大手金融機関本体の大規模案件についても、別途ご相談ください。

解決できる課題の例
ケース1:自社ポイントにチャージ機能を載せたい/電子ウォレット的なサービスを作りたい

事業企画は走り出したが、セキュリティ要件を誰に相談すればよいかわからない。このフェーズでの判断ミスは、後から取り戻すコストが大きくなりがちです。後付けで統制を足すのではなく、企画段階で「金融事業として通用する設計」に整えるご支援をします。

ケース2:既存ベンダーに任せきりで、対策の妥当性を判断できない

ベンダーから出てきた提案書を、社内の誰も評価軸を持って読めない。年次の保守費だけが膨らみ、対策の十分性をベンダー自身に確認するしかない。いわゆるベンダーロックインの状態です。私たちは特定製品を売らない第三者として、評価軸をご提供します。

ケース3:金融庁から状況説明やドキュメントの提出を求められた

取引先や監督当局から「対応状況を説明してほしい」と打診された段階で、社内に詳しい人がいないことに気づくケースがあります。短期間でヒアリングに耐える説明資料と組織体制を整えるご支援も対応領域です。

ケース4:CSIRTを作ったが運用が形骸化している

組織図上はCSIRTがある。しかし実態は名ばかりで、いざというときに動ける人がいない。CSIRTは消火活動のプロセスそのものであり、日々の訓練と情報収集なしには機能しません

提供サービス

事業への「金融機能」の組込み対応をするため、私たちは4つの支援領域をご用意しています。単独でも、組み合わせてもご利用いただけます。

① セカンドオピニオン

既存ベンダーの提案、現行のセキュリティ対策、これから始める事業のリスク。それらが妥当な水準にあるかを、特定製品を売らない第三者の立場で評価します。ベンダーロックインを解くための判断軸をご提供します。

主なアウトプット
  • 現行対策の評価レポート
  • ギャップ一覧と優先度付け
  • ベンダー提案の妥当性評価
  • 経営層への説明資料

② FISC安全対策基準 導入支援

FISC安全対策基準は、大手金融機関本体が全項目を厳密に適用する重装備の基準です。私たちは、中堅企業が自社の事業規模に合わせて使いこなせるレベルに翻訳し、導入をご支援します。「全部やる」ではなく「自社の事業リスクに照らして、どこを優先するか」の設計が中心です。

主なアウトプット
  • 適用範囲・優先項目の整理
  • 規程・手順書の整備
  • 内部監査・監督対応の準備

③ 統制・体制構築

ポイントチャージ、電子ウォレット的なサービス、後払い決済。資金決済法・割賦販売法・改正個人情報保護法など、規制が一気にかかる領域です。事業企画のフェーズから関わり、規制対応とビジネススピードの両立を設計します。金融庁ヒアリングの想定問答作成や、監督対応の準備もご支援の範囲です。

④ CSIRT構築・運用高度化

「箱としてのCSIRT」ではなく「動ける組織」を目指します。これまでに運用してきたインハウス経験をベースに、ミッションの言語化、訓練、情報フィルタリングまでを伴走します。

MPSが選ばれる理由

私たちが選ばれているのは、ツールが揃っているからでも、対応範囲が広いからでもありません。金融ITの現場で「止められないサービス」を作り続けてきた人間が、隣に立つこと。それが選ばれる理由です。

「止められないサービス」の実装力

証券・FXのシステムは、メンテナンス時間を除けば24時間365日、停止が許されない世界です。負荷テストでBIOS仕様の穴を発見した経験、地震発生時のDDoS誤検知に向き合った経験。こうした現場の体感が、机上のチェックリストには表れない判断材料になります。

インハウス経験+外部支援実績の両面

セキュリティ部門を社内に持つ立場と、外部から支援する立場では、見えるものが違います。

両方を経験してきたからこそ、現場が回せる粒度で打ち手をご提案できます。

私たちは、外注先ではなく共創パートナーとして隣に立ちます。コーポレートメッセージ「Don’t Stop the Challenge」のとおり、お客様の挑戦を止めないためのセキュリティを、ともに育てます。

ご支援の進め方

最初から大きな契約を結ぶ必要はありません。論点の言語化から始める短期のアセスメントを入口に、必要に応じて支援範囲を広げていく形が一般的です。

STEP
現状ヒアリング/論点の言語化(1〜2週間)

事業計画、現行の対策、既存ベンダーとの関係、社内の体制。お話を伺いながら、論点を一緒に言語化します。

STEP
アセスメント・ギャップ分析(3〜6週間)

論点に沿って、現行水準と目指すべき水準のギャップを評価します。アウトプットはレポートと優先度付きの打ち手一覧です。

STEP
ロードマップ提示(1〜2週間)

事業のスケジュールに合わせ、いつ・誰が・何を進めるかを描きます。ここで支援を一旦終えていただいても構いません。判断材料としてお使いください。

STEP
実装・運用伴走(必要に応じて)

ロードマップに沿った実装、規程整備、CSIRT運用、金融庁ヒアリング対応など、ご要望に応じて伴走します。

よくあるご質問

事業会社の経営層・情シス責任者の方から、実際にいただくご相談です。結論を先にお伝えします。

小売業界で自社ウォレットを作りたい。これまでとは違うセキュリティ対策が必要ですか?

必要です。ウォレットへの入金(チャージ)が発生する時点から、前払式支払手段や資金移動業に該当しうる行為となり、資金決済法を含む金融規制の対象になります。社内ECやポイントシステムで採用していたセキュリティ水準では届かない領域に入るため、早い段階での統制設計をおすすめします。

自社ポイントにチャージ機能を付けると、金融システム扱いになりますか?

なる可能性が高いです。ポイントが「金額としてチャージされ、商品の支払いに使われる」構造をとると、前払式支払手段の発行とみなされ得ます。事業企画の段階で、法務とセキュリティの両面から確認することをおすすめします。

FISC安全対策基準は、全社での導入が必要でしょうか?

一部事業向けの導入も可能です。大手金融機関本体と同じ「全部適用」を目指すのではなく、自社の事業規模・リスクに合わせて適用範囲と優先項目を設計するのが現実解です。私たちはその設計をご支援します。

既存ベンダーの提案が妥当か、チェックしてもらえますか?

はい、セカンドオピニオンとしてのアセスメントは主要サービスの一つです。特定製品に縛られない立場から、提案内容と費用の妥当性、不足している論点を評価します。

汎用的なセキュリティツールの導入支援も依頼できますか?

ツールの選定・導入支援は対応できます。ただし、機器のキッティングや端末設定といった個別作業は自社での対応をお願いしています。統制設計やベンダー提案の評価など、判断が必要な上流工程を中心にご支援する形です。

決済代行会社を使う前提でも相談できますか?

可能です。決済代行会社の選定段階から、選定後の統制設計まで、事業会社側の立場でご支援します。決済代行会社とは異なる、中立的なポジションでの判断材料をご提供します。

お問い合わせ

「自社のフェーズで、何から相談していいか分からない」。その状態のままで構いません。論点の言語化から、一緒に進めます。以下のフォームから、ご連絡をお待ちしています。

メールマガジン「セキュリティレポート」

最新のセキュリティ情報について、無料のメールマガジン「セキュリティレポート」を配信しています。金融ITの現場で分析した内容を定期的にお届けします。以下のフォームからご購読ください。