この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
AWS Security Roadshow Japan 2021 の下記セッションのレポートです。
金融機関が感じているクラウド利用に対する懸念とその対応
金融機関におけるクラウドの利用は、デジタル・トランスフォーメーションやデータ分析を始め、勘定系といった領域においても導入が進むなど、その利活用が年々増えてきています。一方で、クラウドには興味があるものの漠然とした不安や懸念があると答える金融機関も多くあります。本セッションでは、クラウド利活用に対するこれらの不安や懸念と、その解決策を深堀します。
アマゾン ウェブ サービス ジャパン合同会社 金融事業開発本部 コンプライアンス スペシャリスト 高野 敦史
レポート
- 登壇者の高野 敦史さんはコンプライアンス・スペシャリストの方
- 金融庁調査の「クラウド利用に対する懸念」のレポートに関するセッション
- 2020年から2021年にかけて全体的に懸念が増えている
- 2021年に「クラウド特有の技術の習得及び最新技術への対応」「マルチクラウドによる管理レベルの差」が懸念として追加
- 2021年 1位の「セキュリティ事故発生時の対応」は 85行 → 91行 に増加
- 本セッションは「クラウド利用に対する懸念」の中でもガバナンスにフォーカス
- ガバナンスに関する懸念の分類
- 組織
- コスト管理
- 契約
- 人材・教育
- 管理・評価
契約
- 金融機関向けの契約書類(例)
- カスタマーアグリーメント
- サービス内容
- セキュリティ、データプライバシー
- サービスへの責任
- 料金、支払い
- サービスの停止、契約の解除 など
- エンタープライズアグリーメント
- 金融機関のお客様のニーズに対応した位置づけ
- NDA締結前提
- カスタマーアグリーメント
- 準拠法、裁判管轄
- セルフサービスでAWSカスタマーアグリーメントの準拠法を日本に変更可能
- グローバルのクラウド規制の理解と対応として情報提供
- グローバル58カ国の規制情報
- クラウドにかかる規制とクラウド利用可否
- クラウド利用時の規制当局への届け出有無、必要書類情報 など
クラウド事業者、コスト管理
- ロックインと Switching Cost
- 技術的要素等のメリットがあるためクラウドを利用するが、ベンダロックインが心配との声もある
- 将来変更するときの Switching Cost が高くならないことを念頭におく
- Switching Costが高くなければロックインとは言えないのではないか
- そのためには、ポータビリティを高める
- マイクロサービス、コンテナ、疎結合なアーキテクチャ
- データ/アプリのポータビリティ
クラウド人材の育成
- AWS認定者に関するサーベイ結果
- 社内でクラウドのスキルギャップはあるか
- 資格認定者が少ないとギャップがあるとの回答が多い傾向
- 資格認定者が多いとギャップがあるとの回答が少ない傾向
- 認定者がいることでセキュリティレベルが向上したかのサーベイ結果 → 86% が Agree
- 認定者がいることでトラブルシューティングに貢献したかのサーベイ結果 → 89% が Agree
- 認定者がいると将来の競争力向上につながるかのサーベイ結果 → 97% が Yes
- 社内でクラウドのスキルギャップはあるか
- クラウド技術の習得
- AWSトレーニングと認定
- まずはクラウド技術に精通した社内人材の育成に注力する
- 人材育成を着実にしつつ、マルチクラウド戦略等も検討して管理レベルの差を少なくする
クラウド管理と評価
- 秘匿性の高いデータセンター
- AWSが監査法人に監査を依頼
- 結果はSOCレポートなどにまとめられている
- クラウド事業者の評価・監査については
- 第三者保証の報告書(SOCレポート等)を確認
- クラウド事業者のホワイトペーパーを確認
- クラウドのリスク評価
- AWSは「AWS FISCリファレンス」を公表
- 「AWS FISCリファレンス・コンソーシアム」も活動中
- AWSのサービスに係るリスク評価
- 「サービスリンク評価共同化ワーキンググループ」が活動中
- AWSは「AWS FISCリファレンス」を公表
まとめ
- クラウドに懸念があると回答する金融機関は多い
- クラウド事業者は金融機関のお客様がクラウドを利用するために必要な情報、ツール、サービスを提供
- 不明点がある場合はクラウド事象者やパートナーに質問して「実は知らなかった」を減らして、真に必要なことに注力
感想
「クラウド利用に対する懸念」への対応方法がまとまっており、ためになるセッションでした。