[レポート]基調講演３: 金融機関のクラウド利用におけるリスク管理 日本銀行- AWS Security Roadshow Japan 2021 #awscloud #AWSSecurityRoadshow

こんにちは、岩城です。

本日はAWS Security Roadshow Japan 2021で行われた以下の講演のレポートです。

基調講演３: 金融機関のクラウド利用におけるリスク管理

わが国の金融機関において、クラウドはデジタル技術活用の重要な選択肢であり、経営陣もクラウドの知見を有することが必要になっている。日本銀行は昨年 11 月にレポートを公表し、セキュリティ管理、可用性、委託先管理等の重要事項や、クラウドのメリットを享受するためのコスト管理等の管理項目および取組事例を取り纏めた。本セッションでは、同レポートに沿って、金融機関におけるクラウドのリスク管理について解説します。

日本銀行 金融機構局 上席考査役　野々口 秀樹 氏

レポート

日本銀行の考査とクラウドのリスク管理

• コロナ禍である2021年度は全てリモートで考査を実施
• リスクベース考査という考え方で考査を実施
• 最近増々重要になっているのがサイバーリスクであり、ITシステムに対するリスクを管理しているかという点
• 2021年度の考査実施方針を毎年公開している
• サイバーセキュリティ管理体制の整備・強化のポイント
  • コロナ禍を受けたリモートワークの拡大状況などを踏まえる
  • 金融機関の重要データにアクセスし得るグループ会社や業務委託先などの管理体制について点検
  • 大手金融機関のサイバーセキュリティ管理体制については、金融庁と連携しつつ、オフサイトモニタリングの一環として水平レビューを行う
• システムリスク管理体制の整備・強化のポイント
  • 重要なシステム構築や顧客データの分析等でクラウド利用している場合、ユーザーとして適切な管理を行っているか点検
• これらクラウドのリスク管理は2年前から考査実施方針に含んでいる

クラウドサービス利用におけるリスク管理上の留意点

• 金融機関は、国内預金業務の低収益性に対処すべく業務改革に取り組んでいる
• デジタル技術拡張の機運が高まる中で、クラウドの活用は有力な選択肢
• クラウドのメリット
  • 導入期間の短縮
  • 運用・管理負担の軽減
  • コスト抑制
  • 拡張性、柔軟性の教授
  • AIや機械学習をはじめとした先端技術の活用
  • セキュリティレベルの向上
• FICSによる金融機関アンケートによるクラウドの利用状況
  • 都市銀行、信託銀行はすべて利用
  • 地方銀行は8割以上利用
  • 信用金庫は3割利用
• 日銀考査で掛かる金融機関の中には、気密性が高く重要性が高いシステムでクラウドを利用しているケースもある

クラウド利用に関する金融機関の懸念

• 経営陣はシステム担当でなくとも業務改善・改革のためにクラウドについて一定の知見を有することが必要
• クラウド利用に対する金融機関が抱く懸念
  • ネットワーク経由の利用と機密性
  • システム資源の共有と可用性
  • 監査の受け入れと委託先管理

クラウド利用のリスク管理のポイント

• セキュリティ管理
• 可用性管理・レジリエンス
• 委託先管理
• コスト管理
• 開発体制・人材確保
• 利用方針の作成

セキュリティ管理

• クラウド求められるセキュリティ管理はオンプレと同様
• 責任共有モデルの下で、委託先管理の枠組みで確認すべき範囲と金融機関自ら運用・管理すべき範囲に分かれる点が重要
• 過去のクラウドの不正アクスや情報漏えいの多くは、アクセス権限やネットワークなどに関する利用者側の設定ミスで発生
  • 本番時より管理がゆるくなりがちな開発環境構築時やクラウドへの移行においてその傾向が強い
• 金融機関は自らクラウドを適切に関する必要がある
  • 特にコロナ禍での短期間での在宅環境構築は要注意
• アクセス管理
  • アクセス権の範囲を最小権限
  • 多要素認証の活用
  • 管理コンソールの厳格な管理
• ネットワーク・セキュリティ FWやVPNの設定の見直し
• セキュリティパッチの適用
  • 脆弱性に関する情報収集
  • セキュリティパッチの適用、定期的な診断
• サービス導入後の機能追加に伴って、責任共有モデルの範囲が変わっていないか定期的に確認する
• 管理コンソールにアクセスできるIPをホワイトリスト
• 通信に異常がないか一定の監視をする
• 金融機関内部も含めた不適切なアクセスの防止
  • 管理コンソール、仮想マシン、コンテナ、データへのアクセス権は最小権限の原則に沿って付与する
  • 不必要なIDはすぐに削除し、定期的に棚卸しする
• データの保護
  • コンテナに保持するものを含めて、データのリージョン単位の所在地を管理し定期的に点検する
  • 暗号化鍵の生成、利用、廃棄までのライフサイクルを管理する
• セキュリティ対策の実効性確保
  • 設定変更を検知して、設定を戻す仕組みを用意する
  • 不正操作が行われていないかサービスを用いて監視する
  • ユーザーが点検すべき項目をより簡便にモニターしたり設定できるツールの提供をクラウド事業者にお願いしたい
• 暗号鍵の管理の仕方、DevOps環境でのID管理の仕方、ゼロトラストセキュリティといった技術が進化しているため、クラウドのベストプラクティスをアップデートしていく

可用性・レジリエンス

• 勘定系や基幹系システムは非常にに高い可用性が求められる
• 現在の日本ではクラウドを採用しているのは限られる
• 地方銀行や信用銀行はこれまで共用システムセンターを利用するケースが多かった
• 従来型のコストや管理負担、API連携などの金融サービスの将来的な拡張を考えるとクラウドの活用や選択肢にあがる
• クラウドではメンテナンスや障害情報の通知は管理コンソールに通知されるだけの場合が多いため、金融機関から主体的なメンテナンス情報の収集が必要
• クラウドが停止した場合を想定したレジリエンス確保も重要
• 実務レベルで見た取り組み事例（可用性）
  • 運用管理に必要なログを収集しモニタリングしていること
  • サービス変更や廃止を早期に把握する仕組みを有していること
  • システム性能の確保するため、机上試算を行いシステム性能を把握していること
  • リソース使用率を監視していること
  • 適時適切にシステム性能を拡張すること
  • ゾーンやリージョンの組み合わせにより冗長性を確保していること
• 実務レベルで見た取り組み事例（レジリエンス）
  • 障害を早期に検知できる仕組みや体制を整備していること
  • クラウド事業者との間で障害対応に関するサポートサービスを決めていること
  • 障害発生時の影響範囲の確認や復旧対応について、役割分担を委託先と定めておく
  • 障害対応手順の用意と訓練を定期的に行い実効性を確保していること

委託先管理

• サービスの改定頻度が高いので留意すること
• クラウドに対する監査はSOC2レポート等を活用することをよく伝えている
  • しかしSOC2レポートを読みこなして評価する人材の確保が課題
  • 重大インシデントに備えた自らの監査剣の確保
• 委託先がクラウドを利用しているケースもあり、リスク管理の点検が必要

コスト管理

• コスト抑制のためには適切なコスト管理が必要
  • リスク料計算や決算処理などの事務料の変動が大きい業務に対しクラウドのコスト抑制効果は得やすい
• 事前のコストシミュレーションやクラウド移行後の想定外コスト上振れを防ぐモニタリングが必要

開発体制・人材確保

• サービスなどの頻繁な仕様変更に対応できる開発体制も重要
  • 利用するクラウドのサービス内容や技術に精通した人材の確保
  • 金融機関内部部門のクラウドに対する理解も必要

利用方針の策定

• クラウド導入に合わせた枠組みを予め用意しておく
  • システムごとにオンプレで構築する場合と比較して移行可否を判断
• 導入に合わせクラウドに合わせてリスク管理体制を用意する
• SLAを確認する
• クラウドサービス提供廃止の場合の移行方式の策定する
• メンテナンスの事前報告、停止時間の調整を補足しておく
• 金融機関内部の管理基準の策定
• 管理対象から外れるクラウドの利用を防ぐためにも枠組みが必要

おわりに

• DX進展に伴う環境変化への対応は金融機関経営の重要課題
• クラウド利用について枠組みを用意して適切に管理すれば、必ずしもオンプレと比べリスクが高いわけではない
• 金融機関とクラウド事業者の責任範囲を明らかしておくことなど、基本的な点を把握すれば決してハードの高いものではない
• 一律の取り組みではなく、リスクベースで対応することが必要

感想

金融機関でのクラウド活用がより一層進んでいることを確認することができたセッションでした。 金融機関だから特別なことを対応をしているわけではなく、すべてのクラウド利用者が考えるべき点をがまとめられています。 改めて勉強になりました。

本エントリがどなたかのお役に立てれば幸いです。