CSBのセキュリティ体制はどうなっている?
2023.12.07
生命保険協会による、保険代理店の業務品質評価。
その評価項目の4大要件の一つが「個人情報保護」。個人情報保護法など関連法令に即した運用を行っているか?といった評価観点の他、個人情報を管理するシステムは安全性が担保されたものか?(外部の顧客管理システムを導入している場合も含め)についても、かなり細かい基準が設けられています。
参考:業務品質評価基準(2023年度はNo.91~125までが対象)
https://www.seiho.or.jp/quality/pdf/kijun.pdf
こうした状況を受けて、ユーザー様やCSBをご検討中の方から「CSBのセキュリティ体制はどうなっているの?」と言うご質問を、多数いただくようになりました。
そこでこのコラムでは、CSBのセキュリティ体制を全部で5つのポイントに沿ってご紹介いたします!
▼こんな方におススメです!▼
・業務品質評価の認定を目指される方
・保険代理店に求められる個人情報保護体制のレベル感を知りたい方
・CSBのセキュリティ体制について知りたい方
目次
セキュリティ体制のポイント1:クラウド対応
Amazon社が提供するクラウドサービス「AWS:Amazon Web Services」を利用し、世界基準のセキュリティレベルでデータ管理を行っています。・常に最新技術を用いた機能の利用が可能!
・セキュリティ面でのコンプライアンス要件に対応できる!
・物理サーバと異なり、自然災害にも強いシステム体制!
・バックアップ体制が容易に構築でき、災害時にも素早い復旧を実現可能!
セキュリティ体制のポイント2:定期的なサイト診断
年に一度、外部機関に依頼して、CSBサイトのサイバー攻撃に対する耐久度を診断するペネトレーションテストを実施しています。テストの結果、脆弱性が発見された場合は、随時改修を行って常にセキュアな状態を保てるようにしています。
▼ペネトレーションテストとは?
ペネトレーションテストとは、インターネットなどのネットワークに接続されているシステムに対して、実際に起こりうるサイバー攻撃のシナリオに沿って疑似攻撃を実施する手法のことを指します。日本語では「侵入実験」や「侵入テスト」とも呼ばれることがあります。
引用:サイバーセキュリティ.com「ペネトレーションテストとは?脆弱性診断との違いを徹底解説」
https://cybersecurity-jp.com/security-measures/31895
ペネトレーションテストとは、インターネットなどのネットワークに接続されているシステムに対して、実際に起こりうるサイバー攻撃のシナリオに沿って疑似攻撃を実施する手法のことを指します。日本語では「侵入実験」や「侵入テスト」とも呼ばれることがあります。
引用:サイバーセキュリティ.com「ペネトレーションテストとは?脆弱性診断との違いを徹底解説」
https://cybersecurity-jp.com/security-measures/31895
セキュリティ体制のポイント3:“3種の神器”で防御
ネットワークやサーバへの不正な侵入等を検知し、遮断する対策やウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するため各種アプリケーションを搭載し、セキュリティを確保しています。1.防火壁の意味を持つ「ファイアウォール」
ネットワークの入口で対策を取り、サイバー攻撃自体をはじく。
2.不正アクセスを防御!「IPS」
「Intrusion Prevention System:不正侵入防止システム」の頭文字をとった用語。ネットワークやサーバーを監視し、不正なアクセスを検知して通信を遮断する。近いシステムとして「IDS:不正侵入検知システム」があるが、こちらは不正な通信を検知するところまでなので、IPSはIDSよりセキュリティレベルが高いと言える。
3.脆弱性を悪用した攻撃から守る「WAF」
ネットワーク内に侵入されても情報を持ち出されないよう、攻撃者を出られなくする。
防御システムについて、詳しくはこちらのコラムも併せてご覧ください。
https://hoken-system.com/column/2022_0916/
CSBのアクセスの安全性のポイント1:二要素認証
CSBは、次の二つの要素をクリアすることで初めてログイン・ご利用が可能です。要素1)専用の電子証明書(クライアント証明書)がインストールされた端末であること
CSBでは、国内シェアNo.1のグローバルサイン社の電子証明書(クライアント証明書)を採用しており、その証明書がインストールされた端末(パソコン、スマートフォン、タブレット等)でのみログインすることができます。
▼電子証明書(クライアント証明書)とは?
クライアント証明書とは、個人や組織を認証し発行される電子証明書のことです。システムやサービス、メールを利用するユーザのデバイスに証明書をインストールし、そのユーザが正規の利用者であることを認証します。いわば運転免許証やパスポートのような身分証明書を想像すると理解しやすいです。
引用:GMOグローバルサイン株式会社「クライアント証明書とは?必要性や仕組みを解説」
https://jp.globalsign.com/managed-pki/about_clientcert.html
クライアント証明書とは、個人や組織を認証し発行される電子証明書のことです。システムやサービス、メールを利用するユーザのデバイスに証明書をインストールし、そのユーザが正規の利用者であることを認証します。いわば運転免許証やパスポートのような身分証明書を想像すると理解しやすいです。
引用:GMOグローバルサイン株式会社「クライアント証明書とは?必要性や仕組みを解説」
https://jp.globalsign.com/managed-pki/about_clientcert.html
要素2)正しいユーザーIDとパスワードが入力されていること
各保険代理店様専用のCSBのログイン画面に、自身のID・パスワードを入力し、正しいものであると確認が取れた場合のみログインができます。
パスワードは
・10文字以上(英数記号混在)
・90日間の有効期限
と定めています。
また、同じパスワードは使えませんので「90日毎に2種類のパスワードを使い回す・・・」といったことも出来なくしており、定期的なパスワード変更により外部からの侵入リスクを下げることが出来る仕様となっています。
CSBのアクセスの安全性のポイント2:細かい権限分け
CSB内に保管したデータへアクセスできる権限を細かく分けることができます。・顧客情報(個人情報)へのアクセス権限
・個人データ一覧のダウンロード権限
以上の2つのデータについて、役職・部署・個人単位など、保険代理店様の運用に併せて任意で権限を設定できます。例えば、
業務管理責任者→全支店
クラーク→担当支店のみ
募集人→自担当の顧客のみ
といったように、業務上必要な社員のみがアクセス・ダウンロードできるようにすることで、個人情報の管理を適切に行うことができます。
CSBのセキュリティ対策について、より詳しく知りたい!と言う方はお気軽にお問い合わせください。
<お問い合わせはこちら>
また、現在CSBをご利用中の皆様には、業務品質評価項目とCSB機能の対応表(↓)を特別に公開しております!ご要望の方は下記までご連絡ください。
連絡先:LTVマーケティング担当(平日9:00~17:30対応)
電話 03-6234-6392
Mail ltv_mk@holos.jp
お気軽にご相談ください。
エルティヴィーでは保険代理店さまの体制整備から、顧客管理、マーケティングまでトータルで支援しています。
CSBに関するお問合せやご質問などございましたらご相談ください。
03-6234-6392
(受付時間 平日: 9:00〜17:30)