金融機関におけるクラウド活用の鍵となる「ガバナンスとセキュリティ」の成功要因を探る（日銀 有田氏）

クラウド活用に踏み出せない金融機関

小林：
デジタルトランスフォーメーション（DX）の推進に代表されるように、デジタル技術の活用を前提とした社会構造の変化が顕著になっています。その中でも注目されているのが、クラウドの活用です。金融分野におけるクラウド活用の現状について教えてください。

有田：
金融機関でのクラウド導入は進んでいますが、全体的に見ると「導入途上」です。少々逆説的なのですが、2000年代まで、金融機関のデジタル化が先進的であったことがクラウド導入の足かせになっています。当時はオンプレミス環境が当たり前であり、各金融機関はそれぞれの戦略に則ってシステムを作り込んでいました。そして、クラウドの普及が進みだした2010年代には、オンプレミス上での自行システムの作り込みが相当に進んでいたのです。ご存じのとおり金融システムは“重厚長大”ですし、その上に作り込みも進んでいるわけですから、システムをクラウドに移行するには大変な労力が必要なのです。

しかし、金融機関がデジタル化の恩恵を受けて業務効率を高めたり、データを活用し収益に繋げたりするには、スピード感を持った「攻めの金融システム」を実現しなければなりません。クラウド事業者が提供するAI（人工知能）やML（機械学習）といった技術も不可欠です。クラウド活用は重要なテーマと認識しています。

小林：
クラウドが金融機関の重要ツールである一方、積極的なクラウド活用に踏み切れない金融機関も多い印象です。何が障壁になっているとお考えですか。

有田：
主に2つあります。1つは「インターネットに接続する不安」です。これまでの金融機関の基幹システムはインターネットに接続しないオンプレミス環境で構築、運用されていたため、インターネット接続が前提のクラウド環境への移行には「これまでとは異なるリスク」への不安があります。もう1つはクラウド利用における特徴的な考え方である「責任共有モデル」への思考転換に馴染み切れていない点が挙げられます。責任共有モデルについては後述します。

小林：
インターネット接続に慎重なのは、サイバー攻撃リスクに対する懸念が理由でしょうか。

有田：
オンプレミス環境であっても、システムに脆弱性が発見されれば、速やかにセキュリティ修正プログラム（修正パッチ）を適用しますよね。これはクラウド環境でも同じことです。オンプレミス環境であれクラウド環境であれ、原則的なサイバー攻撃対策に大きな違いはありません。ただし、クラウドの場合はインターネットに接続しているといったクラウドの特性を踏まえたリスクを意識し、“ガードの方法”を変更する必要があると考えています。

小林：
金融分野では従来からオンプレミス環境のセキュリティ対策でも「境界防御」のみに依存せず、侵入を前提とした内部対策の重要性が指摘されてきました。しかし、「境界防御が優先され、内側の対策が後手に回り対応しきれてこなかった」という金融機関も多くあると思います。結果として、オンプレミスのシステムにおける内部対策の不安や点検不足が、クラウド移行への不安要素になっているようにも思います。

有田：
おっしゃる通りです。金融機関はお客様の重要情報保護を最優先にシステムを構築しなければなりません。ですから、「どこに、どのようなデータがあるのか」「誰がアクセス権を持っているのか」をきちん把握し、内部対策を行う必要があります。また、一般に情報漏洩の原因はアクセス権を持ったユーザーの内部犯行であるケースも多いことから、より詳細なアクセス権の設定が重要だと考えています。

「ゼロトラスト」が必要とされる理由

小林：
クラウド利用が拡大した背景には、コロナ禍によるリモートワークの普及が挙げられます。ある金融機関の経営層の方は、リモートワークの導入とクラウド活用に積極的だった反面、「課題はセキュリティの担保です」とおっしゃっていました。リモートワークやクラウドを活用した業務の効率化とセキュリティ確保のバランスについて、どのようにお考えですか。

有田：
金融機関がリモートワークを実現するにあたって、クラウド活用のための環境整備もかなり進みました。しかし、課題もいくつかあります。その1つが、VPN（Virtual Private Network）に関する課題です。リモートワークの場合は在宅から直接インターネット経由でクラウドにアクセスすることも考えられますが、安全性の点から、VPNで一度銀行のデータセンターに接続してからクラウドを利用するケースが多いです。しかし、このようなケースでは、大人数が一斉に利用することでネットワーク帯域が不足したり、VPN接続に必要なIDが不足したりするなど、結果としてリモートワークやクラウドのメリットが得られず苦労しているケースも多いようです。

小林：
金融機関の場合は、ある程度生産性を犠牲にしても、堅牢性を優先しているケースがあるのはやむを得ないかもしれません。ただ、現代のデジタル社会においては、最新技術の恩恵を受け、「生産性向上」と「堅牢性強化」を両立する必要があります。その際に“要”となるのが「ゼロトラスト（※）」です。

※ゼロトラスト：「企業のネットワークやデバイスからのアクセスを暗黙的に信頼するのではなく、常にアクセスの信頼性を検証することで情報資産やIT資産を保護する」というセキュリティアプローチ。

リモートワークの場合、さまざまなデバイスが外部ネットワークを利用して社内の情報にアクセスしますから、ゼロトラストモデルでは、「本当にそのアクセス元が信頼できるのか」を複数のインプット情報を用いて検証します。そしてアクセスを許可する際には、最小のアクセス権限を付与します。こうした仕組みはクラウド環境だけでなく、内部不正を防止するといった観点からオンプレミス環境でも効果を発揮します。日本銀行ではゼロトラストのアプローチをどのように捉えていらっしゃいますか。

有田：
ご説明いただいたとおり、クラウドを活用するうえで、ゼロトラストは非常に有力なアプローチだと認識しています。ただし、既存のアーキテクチャーとの関係から難易度も高いため、日本において本格的にゼロトラストに取り組めている金融機関は現状では少数です。

小林：
金融庁は2021年6月に「ゼロトラストの現状調査と事例分析に関する調査報告書」を公開しました。この報告書は金融庁からの委託でPwCが作成したのですが、その際に参考にしたのが米国標準技術研究所（NIST）の「Zero Trust Architecture（NIST SP800-207）」です。

【参考URL】
https://www.fsa.go.jp/common/about/research/20210630/zerotrust.pdf

NIST SP800-207では「ゼロトラストの原則」として以下の7つを挙げています。

1. すべてのデータソースとコンピューティングサービスをリソースとみなす。

2. ネットワークの場所に関係なく、すべての通信を保護する。

3. 企業リソースへのアクセスは、セッション単位で付与する。

4. リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する。

5. すべての資産の整合性とセキュリティ動作を監視し、測定する。

6. すべてのリソースの認証と認可を動的に行い、アクセスが許可される前に厳格に実施する。

7. 資産、ネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ態勢の改善に利用する。

これら7つが「ゼロトラストの原則」として示されていますが、ゼロトラストアーキテクチャーを実践しない金融機関にとっても、セキュリティの強化を進めるうえで参考となるコンセプトが多く含まれていると思います。

有田：
そうですね。ゼロトラストはクラウドとの親和性が非常に高いことから、これまでの金融機関との対話の中でも、「今後導入を検討すべき重要なテーマ」と考えている先がいくつもありました。ですからクラウドの活用とともに、今後、ゼロトラストもフォーカスされ、導入が進んでいくと考えています。

小林：
最後に、今後、金融機関がクラウド活用をするための提言をいただけますか。

有田：
2つあります。1つは「クラウドは経営課題」であるということです。2020年11月に日本銀行金融機構局が公表した金融システムレポート別冊「クラウドサービス利用におけるリスク管理上の留意点」には、「金融機関の経営陣は、たとえシステムの担当でなくとも、所掌する業務の改善・改革のためにクラウドについて一定の知見を有することが必要」と明記しています。経営層の方々には「クラウドはシステムの課題ではなく経営課題」であることを自覚していただきたい。これが1つ目の提言です。

【参考URL】
https://www.boj.or.jp/research/brp/fsr/fsrb201126.htm/

もう1つは「クラウドへの不安を払拭する」ことです。最初に申し上げたとおり、これまでの“閉じた環境”から“インターネットに常時接続する環境”へ移行するのですから、不安を感じることは理解できます。

しかし「不安だからやらない」「（セキュリティ対策などに）不安はあるが、みんながやっているからとりあえず突き進む」といった考えでは、クラウドのメリットを享受できません。不安があるのならばその要因を棚卸しし、「どうすればリスクを低減できるのか」を考え、クラウド活用に関して進む方向を判断し、その方向に適した適切なリスク管理を行うことです。きちんとしたセキュリティ対策等を実施すれば、オンプレミスと比較してクラウドのリスク管理が難しいことはありません。

小林：
今後の金融分野におけるクラウド活用に向けて、非常に貴重な示唆をいただきました。本日はありがとうございました。