【レポート】クラウドサービスの利用に関するリスク管理のあり方/AWS Solution Days 2017 ~セキュリティ&コンプライアンス~

臼田佳祐

2017.08.10

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、臼田です。

2017年08月09日(水)に、秋葉原コンベンションホールにて『AWS Solution Days 2017』なるイベントが開催されました。

AWS Solution Days 2017 ~セキュリティ&コンプライアンス~ (2017 年 8 月 9 日開催) | AWS

イベントのコンセプトは以下(イベント紹介サイトより抜粋)。当エントリでは『クラウドサービスの利用に関するリスク管理のあり方 ~『金融機関におけるFinTechに関する有識者検討会』における議論より~』セッションの模様をレポートします。

本イベントは、クラウド利用を前提としたコンプライアンス、セキュリティの考え方についてご案内するとともに、キーとなる弊社サービスや先進ユーザーの事例をご紹介することで、クラウドセキュリティに関する理解を深めることができるセッションをお届けいたします。

セッションレポート

FISC 企画部部長 小林寿太郎氏

過去複数回行われた有識者検討会からクラウドの活用法を紹介

FISCとは

有識者検討会とは

  • 金融業界でのクラウド利用に関する検討を行う
  • 検討内容
    • クラウド特有の論点や適切なリスク管理
    • 外部委託
    • ITガバナンスやリスクベースアプローチ
    • FinTech
  • システムの安全性を確保しつつイノベーションの成果を最大限享受

クラウド利用に関する検討

金融機関におけるクラウドの利用状況

2017-08-10 19.32.00

  • 27年度には約半数の金融機関がクラウドを利用していたり検討している(参考:FinTech検討会報告書)
  • パブリッククラウドの利用には慎重な意見もあるが、年々増加している

2017-08-10 20.36.35

  • 外部委託なので全てのセキュリティを委託するのではなくリスクベースアプローチを持って経営陣を踏まえて検討する
  • 主に機密性・可用性について検討
  • 管理フェーズに応じたリスク管理策を検討
    • 利用検討時
    • 契約締結時
    • 運用時
    • 契約終了時

2017-08-10 20.37.31

  • これを元に安全対策基準を改定

外部委託に関する検討

  • 近年の外部委託同行
    • 勘定系の外部委託は91.5%
    • 依存度が高まっている
    • 委託先での事案の問題
    • ITシステムの外部委託は情報システム部門だけでは対処不可能
    • 経営層を含めて検討する必要がある
  • リスクベースアプローチを踏まえた基本原則
    • 安全対策基準は30年経って老化している
    • 過度な安全対策基準の適用をする必要があった
  • 海外を調査
    • リスクベースアプローチが金融機関及び監督当局における共通認識
    • リスクゼロ/ゼロ停止は不可能
    • 100点を目指すと莫大なコスト、それを別の方向に向けたほうがいい
    • ルールベースではなく原則主義
    • 縛りすぎるとイノベーションがなくなる
  • 基本原則
    • 安全対策の達成目標はここの情報システムのリスク特性に応じて必要十分
    • 経営資源分配はリスク顕在化後の事後対策と比較した上でえ新規開発等との調整
    • 安全対策は独自に決定出来る
    • 社会性公共性、外部的に確認
  • 安全基準適用方法
    • 十全な基準だとすべての範囲で強い対策をする必要がある
    • リスクによって適用度合いを変える
  • 外部委託における管理プロセス
  • 2017-08-10 20.44.22
    • それ以外のシステムでも方針の決定には経営層が入る
    • 重要なシステムは実際の実施以外のフェーズで経営層が入るべき
  • 再委託のリスク管理策
    • 委託先が再委託先の選定を妥当に行っているか
    • 選定要件を定める
    • 事前審査
    • 監査権の明記
    • 有事対応

FinTechに関する検討

  • 金融機関塔におけるFinTechをめぐる動向
    • 金融期間のFinTechに関するプレスが増えている
    • 2017-08-10 20.49.24
    • 銀行法等の改正も行われている
    • 米英でも法整備が進んでいる
  • クラウドサービスの利用に関する安全対策基準の取扱い
    • クラウド基準を明確化して補足的に行う
  • システム資源の調達形態の変化
    • 安全対策基準策定当初はすべて金融機関が自前で用意
    • アウトソーシングの進展
    • クラウドサービスの登場
      • 費用の経済性
      • 調達の即時性
      • 調達手続きの用意性
      • システム管理の効率性
      • セキュリティ投資額が大きい
  • 固有の性質
    • 匿名の共同性
      • 安全管理はクラウド事業者に依存する可能性がある
      • 責任分界点の理解
      • 統制の定価を保管するためのリスク管理作を明確化する
    • 情報処理の広域性
      • 情報処理拠点が広域に及ぶ
      • インシデント発生時の復旧や原因究明等データアクセス可能な拠点へのリスク管理
    • 技術の先進性
  • 重要な情システムの外部委託先に対する統制の考え方
    • 有事対応についてどう考えるか
    • 金融インフラや経済の安全性に影響を与える必要がある
  • データアクセス拠点の把握
    • 拠点の把握
    • 実質的な統制が可能となる地域に所在すること
  • 監査検討の明記
    • 実質的な統制が行える文言にする
  • 監査の実施
    • SOC等の報告書を活用する事が望ましい
  • 監査人等モニタリング人材の配置
    • 先進的な技術であることを認識した上で自在を確保
    • できない場合には第三者監査人等を利用する
  • 客観的評価を実施する際の留意事項

今後の安全対策基準の改定の考え方

  • 基本原則の導入
  • 安全対策基準の明確化
  • 外部に対する統制基準の拡充

感想

実際にFISCで調査した金融機関のクラウドについての情報が分かりやすいくまとめられていて、参考になりました。

金融業界の団体としてクラウドやFinTechに非常に力を入れていることは、各報告書を確認するとより強く感じることができました。

FISCからのレポートには今後も期待しつつ、業界の動向に追随していきたいですね!

スキルアップ|初心者向け|書評|デベキャン|AWS認定|スキルアップ|デベキャンだより|勉強会|コミュニティ