金融分野におけるクラウド利活用のススメ

2014年11月に、公益財団法人金融情報システムセンター(以下、「FISC」)から「金融機関におけるクラウド利用に関する有識者検討会報告書」(以下、「検討会報告書」)が公表された。今回は、この検討会報告書で説明されている、クラウド活用時のリスク管理について紹介する。

クラウドの適用が難しかった重要インフラ分野

クラウドコンピューティングは、主にその経済性と利便性で、計算機環境を一変させた。パブリッククラウドあるいはプライベートクラウドなどへの計算機資源の移行が多くの企業システムで行われており、どうしても自前で運用する必要がある計算機についても、クラウドコンピューティングの基盤技術である仮想化などが取り入れられている。

一方、クラウドを使わずに自前での運用を続けている代表的な分野としては、いわゆる重要インフラ分野がある。電力、鉄道、通信などの高度な可用性が求められるシステムや、金融、医療などの高度な機密性が求められるシステムが、その代表例である。これらのシステムについては、国等の指導・監督により、一般の企業システムよりも厳格な管理・運用が求められている。内閣官房情報セキュリティセンター(NISC)では、これらの重要インフラ分野を13分野に定めて、情報システムのセキュリティ対策に関する「安全基準」を定めて、その基準への遵守を求めている。

こうした重要インフラ分野の中でも、とりわけ厳格な安全基準が求められているのが、金融分野である。金融分野では、FISCが独自に、「金融機関等コンピュータシステムの安全対策基準・解説書」(以下、「FISC安全対策基準」)を定めており、金融機関がこのFISC安全対策基準を遵守することで、国内金融システムの安定運用を目指している。

金融分野を含めた重要インフラ分野では、全般的にクラウドの導入に消極的であった。特に重要インフラの基盤システムが求めるセキュリティ要件を考えると、データが置かれる国が不確かなこと、データセンターへの実地検査を含めた監査が困難なこと、運用状況が十分に開示されないこと、などが阻害要因になってきた。

クラウド活用の機運が高まる金融分野

上述したとおり、これまでクラウドの導入に消極的だった金融分野だが、特に中小規模の金融機関にとって、クラウドの経済性は魅力的である。金融機関が情報システムにかけるコストを削減できれば、より魅力的で競争力の高い金融商品を打ち出すことも可能となるだろう。

こうした背景の後押しもあり、FISCでは有識者による検討会を開催し、冒頭で紹介した検討会報告書を2014年11月に公開した。検討会報告書では、すでに金融機関におけるクラウド利用が増加していることも調査結果として報告している。2010年度には20%程度であった利用率が、2013年度には37%にまで伸びており、中でもパブリッククラウドを情報系システム(電子メールなど)に利用するケースが増えているようだ。

また、検討会報告書の冒頭でも、「クラウド技術の特性とリスクを正しく把握したうえで、リスクを適切に管理し、クラウド技術の持つポテンシャルを最大限に活用していく」ことが必要であり、それにより「金融機関はクラウドの利用を通じてコスト節減や環境変化に合わせた迅速なシステム導入が可能になる」と説明している。

リスクベースアプローチがクラウド活用推進のポイント

検討会報告書では、クラウド活用時のリスク管理について、「リスクベースアプローチ」が重要であると説明している。従来のFISC安全対策基準などでは、定められた管理策をくまなく遵守することで、システムの安全性を確保するという立場をとりがちであった。確かにこの従来のアプローチでも、十分なコストをかければ一定の安全性は確保されるが、一部に過剰なコストがかけられてしまうことも否定できない。

一方、業務が求めるシステムやデータに対する可用性や機密性などの重要度を分析して、リスクの高さに応じた対策を実施するリスクベースアプローチを用いると、必要十分なコストに抑えつつ、適切なリスク管理を実施できることが期待できる。

検討会報告書では、クラウドにおける具体的なリスク管理策として、以下に示す4つのフェーズに対応した管理策を示している。この4つのフェーズの管理策と、監査の実施やインシデント発生時の対応と合わせることで、クラウドを適切に管理・運用できるとしている。

(1)クラウド利用検討時
(1-1)事業者選定
(1-2)データ所在
(2)クラウドサービス契約締結時
(2-1)サービスレベルの合意
(2-2)クラウド事業者からの情報開示
(2-3)複数のクラウド事業者への委託
(2-4)再委託先管理
(3)クラウドサービス運用時
(3-1)データ暗号化
(3-2)記憶装置等の障害・交換
(4)クラウドサービス契約終了時
(4-1)データ消去
(4-2)ベンダーロックイン

的確なリスク分析と顧客への説明がカギ

これまでクラウド採用に消極的と思われていた代表である金融分野においても、上述したとおり、クラウド利活用の機運が高まっている。検討会報告書で示されたリスクベースアプローチもクラウド利活用を推進する手法の一つだが、その中でも自らの業務やそれを支えるシステムが持つリスクを的確に分析し、それを顧客などに説明できることが重要である。

過ぎたリスク対策は必ずコストに反映されるため、多くの顧客はそれを望んでいないだろう。クラウド利活用のリスク分析とその対策の状況を可視化し、その状況を顧客と共有することで、顧客とのWin-Winな関係を築くことに期待したい。