[レポート]【K-2】Keynote クラウドリスク管理の進展、金融業界における教訓と、現時点で責任者が認識すべきこと – AWS Security and Risk Management Forum

こんにちは、臼田です。

みなさん、リスクマネジメントしてますか？(挨拶

今回はAWS Security and Risk Management Forum 〜公共・金融DXの大前提、AWSセキュリティの理解と実践〜に参加しているのでそのセッションレポートです。

セッション概要

金融機関のクラウド活用は、基幹システムに広がってきている。だが、リスク管理部門や内部監査部門では、いまだに不安や懸念が根強い。本講演では、日本において金融当局、金融機関、事業者が連携してクラウドリスク管理の基盤を整備してきた経緯を説明し、現時点で責任者が採用すべき考え方やフレームワークについて解説する。

有限責任監査法人トーマツ リスクアドバイザリー事業本部 アシュアランス マネージングディレクター 片寄 早百合 氏

レポート

• 86%という数字
  • 金融のクラウド利用率
• しかし懸念もある
  • どうやって解決してきたか
• 金融機関とクラウドサービスの出会い
  • 利用契約から
  • フレキシブルな利用が可能
  • 設備投資が不要
  • テストに使える
  • 使いたい！
  • でも外部委託管理できるんだっけ？データってどこに保管されるんだっけ？
• 金融情報システムには金融監督指針やFISC安全対策基準で高い信頼性とセキュリティが求められている
  • システムリスクでは顧客の重要情報を網羅的に洗い出して把握、管理しているか
  • 外部委託管理では監査権限、再委託手続き、提供されるサービス水準が定められているか
  • FIDC安全対策基準では設備基準でコンピューターセンターの安全対策など
  • これらができるのか？
• 金融機関は監督当局の監督指針やFISCの安全対策基準とクラウドサービス事業者の提供サービスの間で関係者とあるべき姿について粘り強く検討した
• クラウドサービス事業者も必要性を理解し、日本の利用者に対応した
  • クラウドサービス事業者
    • データ保存の国が選択できる
    • SOC2レポート等の開示
    • マルチリージョン(国内)
    • FISC安全対策基準対策のリファレンス公表
  • FISC
    • クラウド固有のリスク管理策のクラウド固有基準を認定
  • めでたしめでたし？
• クラウドサービス利用者側によるリスク管理
  • 責任共有モデルを正しく理解した上でやる
  • 従来のIT規定では充足できない
  • セキュリティ管理についてクラウド利用に関する十分な知識・技術が必要
  • ガバナンスが整備されないまま利用されると問題が発生する
  • 大事なのは現状認識をしてリスクの識別と対応策の検討
• 主要な課題と対策
  • 本来は事前に把握して対策できること
  • 「クラウドガバナンス」で検索すると詳細でてくる
  • 思ったよりもお金かかる
    • 使ってないリソースをそのまま放置しちゃう
    • システム利用状況を分析する仕組みが必要
  • 不適切なセキュリティ設定
    • 色んな使い方ができるのでうっかりミスをする
    • 監視ツールや監査をする
    • 使い方を整備する
• リスクの種類
  • アプリケーション
  • インフラ
  • ガバナンス
  • データ管理
  • 回復性
  • 監視
  • アクセス管理
  • それぞれアセスメントをしていく
  • アプリケーションでは拡張性のある構成をしているか
  • インフラでは脆弱性の管理や多層防御ができているか
  • ガバナンスでは運用体制があるか、クラウド特有のセキュリティの確認ができるか
  • データの管理は識別ができるか
  • 回復性では障害発生時の運用体制が整っているか
  • 監視では自分たちで集約して見ることができるか
  • アクセス管理ではアカウントのライフサイクルの仕組みを管理
• まとめ
  • 提供されるサービスと自社の利用のギャップを確認
  • ガバナンスを整備していく

まとめ

適切にクラウドを利用していくための整備は必須ですね。