ヘルスケアデータ二次利用による企業価値向上を支える「デジタルコンプライアンス」の在り方(小野薬品)
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
金融機関におけるクラウド活用の鍵となる「ガバナンスとセキュリティ」の成功要因を探る(日銀 有田氏)
2022-09-23
日本を牽引する企業・組織のセキュリティ責任者などをお招きし、サイバーセキュリティとプライバシーをめぐる最新の取り組みを伺った「Digital Trust Forum2022」。本シリーズでは各セッションをダイジェストで紹介します。
社会のデジタルシフトにより、金融分野でもクラウドサービスの利用が広がりつつあります。では、金融機関がクラウド活用を推進するためには、どのような点に留意する必要があるのでしょうか。本稿では日本銀行 金融機構局 企画役の有田帝馬氏を迎え、クラウド環境とオンプレミス環境の特異点の違いに触れながら、セキュアかつ効果的にクラウドを利用するためのアプローチについて伺いました。(本文敬称略)
登壇者
日本銀行
金融機構局 企画役
有田 帝馬氏
PwCあらた有限責任監査法人
ディレクター
小林 由昌
※法人名、役職、インタビューの内容などは掲載当時のものです。
(左から)小林 由昌、有田 帝馬氏
クラウド活用に踏み出せない金融機関
小林:
デジタルトランスフォーメーション(DX)の推進に代表されるように、デジタル技術の活用を前提とした社会構造の変化が顕著になっています。その中でも注目されているのが、クラウドの活用です。金融分野におけるクラウド活用の現状について教えてください。
有田:
金融機関でのクラウド導入は進んでいますが、全体的に見ると「導入途上」です。少々逆説的なのですが、2000年代まで、金融機関のデジタル化が先進的であったことがクラウド導入の足かせになっています。当時はオンプレミス環境が当たり前であり、各金融機関はそれぞれの戦略に則ってシステムを作り込んでいました。そして、クラウドの普及が進みだした2010年代には、オンプレミス上での自行システムの作り込みが相当に進んでいたのです。ご存じのとおり金融システムは“重厚長大”ですし、その上に作り込みも進んでいるわけですから、システムをクラウドに移行するには大変な労力が必要なのです。
しかし、金融機関がデジタル化の恩恵を受けて業務効率を高めたり、データを活用し収益に繋げたりするには、スピード感を持った「攻めの金融システム」を実現しなければなりません。クラウド事業者が提供するAI(人工知能)やML(機械学習)といった技術も不可欠です。クラウド活用は重要なテーマと認識しています。
小林:
クラウドが金融機関の重要ツールである一方、積極的なクラウド活用に踏み切れない金融機関も多い印象です。何が障壁になっているとお考えですか。
有田:
主に2つあります。1つは「インターネットに接続する不安」です。これまでの金融機関の基幹システムはインターネットに接続しないオンプレミス環境で構築、運用されていたため、インターネット接続が前提のクラウド環境への移行には「これまでとは異なるリスク」への不安があります。もう1つはクラウド利用における特徴的な考え方である「責任共有モデル」への思考転換に馴染み切れていない点が挙げられます。責任共有モデルについては後述します。
小林:
インターネット接続に慎重なのは、サイバー攻撃リスクに対する懸念が理由でしょうか。
有田:
オンプレミス環境であっても、システムに脆弱性が発見されれば、速やかにセキュリティ修正プログラム(修正パッチ)を適用しますよね。これはクラウド環境でも同じことです。オンプレミス環境であれクラウド環境であれ、原則的なサイバー攻撃対策に大きな違いはありません。ただし、クラウドの場合はインターネットに接続しているといったクラウドの特性を踏まえたリスクを意識し、“ガードの方法”を変更する必要があると考えています。
小林:
金融分野では従来からオンプレミス環境のセキュリティ対策でも「境界防御」のみに依存せず、侵入を前提とした内部対策の重要性が指摘されてきました。しかし、「境界防御が優先され、内側の対策が後手に回り対応しきれてこなかった」という金融機関も多くあると思います。結果として、オンプレミスのシステムにおける内部対策の不安や点検不足が、クラウド移行への不安要素になっているようにも思います。
有田:
おっしゃる通りです。金融機関はお客様の重要情報保護を最優先にシステムを構築しなければなりません。ですから、「どこに、どのようなデータがあるのか」「誰がアクセス権を持っているのか」をきちん把握し、内部対策を行う必要があります。また、一般に情報漏洩の原因はアクセス権を持ったユーザーの内部犯行であるケースも多いことから、より詳細なアクセス権の設定が重要だと考えています。
日本銀行 金融機構局 企画役 有田帝馬氏
PwCあらた有限責任監査法人 ディレクター 小林由昌
重要なのは「責任共有モデル」の理解とその実践
小林:
金融機関がクラウドを導入するにはどのようなアプローチがありますか。また、その際に留意すべき事項は何でしょうか。
有田:
金融機関がクラウドを導入するには、2つのアプローチがあります。1つはシステム全体を作り直す方法です。実際、これまでの銀行とは別のクラウドネイティブな「子銀行」を設立し、クラウドに備わる機能を最大限に活用したシステムをゼロから構築する動きがみられています。もう1つは既存のオンプレミス環境で構築したシステムのメリットを残しながら、漸進的にクラウドに移行する方法です。どちらのアプローチを採用するかは経営層の判断ですが、共通して留意すべきは「責任共有モデル」です。
有田:
責任共有モデルとは、クラウドサービス事業者と利用企業が「金融機関はこの部分を管理する」「クラウド事業者はこの範囲を管理する」と、お互いがどの領域までを管理するのかを明確にして、運用上の責任を共有する考え方です。ただし、金融機関はクラウド事業者が管理する責任範囲を「任せっぱなしでよい」というわけにはいきません。
小林:
サードパーティー管理の観点ですね。
有田:
そのとおりです。顧客に対する金融サービスの責任は金融機関が負います。ですから「クラウド事業者のせいで不具合が発生したからサービスを停止します」というエクスキューズは許されません。お客様からすれば、システム停止の原因がクラウド事業者にあるのか金融機関にあるのかは関係がないのです。
金融機関が果たすべき役割は、自身の担当範囲の管理はもちろんですが、それに加え「クラウド事業者が適切に役割と責任を果たしているか」を点検・モニタリングすることです。そして、これらの活動を通じて両者がそれぞれの責任を果たし、「責任共有モデルが一体として確立できているか」を意識することが重要です。
小林:
金融機関にITベンダーが常駐し、専任でシステム管理をしてきたオンプレミス環境とは異なる視点が重要ということですね。他方、金融機関の責任範囲に着目すると、クラウド環境では利用者側である金融機関がクラウドのサービス内容や仕様を理解し、適切に管理しなければなりません。
その際に重要なのが、「サイバーハイジーン(※)」です。サイバーハイジーンの実現には地味な取り組みも多く含まれますので、金融機関のセキュリティ担当者やシステム担当者個々人のセキュリティ意識を高めることが大切です。日本銀行はサイバーハイジーンをどのように捉えていらっしゃいますか。
※サイバーハイジーン:「サイバー空間を衛生的で健康に保つ」という考えのもと、不要なソフトウェアの削除やサービスポートの無効化、セキュリティパッチの迅速な適用など、攻撃の発生要因となる脆弱性リスクを低減するための作業全般を指す。
有田:
私たちもサイバーハイジーンの徹底は重要だと考えています。例えばインターネット接続が前提のクラウドで懸念されるものの一つに、ID盗取による不正アクセスがあります。ですから堅牢かつ適切なID管理は不可欠です。また、ソフトウェアのアップデートやセキュリティパッチの適応など、基本的な対策も怠ってはなりません。さらに、万が一データが流出した場合を想定し、重要なデータの暗号化も徹底する必要があります。
「ゼロトラスト」が必要とされる理由
小林:
クラウド利用が拡大した背景には、コロナ禍によるリモートワークの普及が挙げられます。ある金融機関の経営層の方は、リモートワークの導入とクラウド活用に積極的だった反面、「課題はセキュリティの担保です」とおっしゃっていました。リモートワークやクラウドを活用した業務の効率化とセキュリティ確保のバランスについて、どのようにお考えですか。
有田:
金融機関がリモートワークを実現するにあたって、クラウド活用のための環境整備もかなり進みました。しかし、課題もいくつかあります。その1つが、VPN(Virtual Private Network)に関する課題です。リモートワークの場合は在宅から直接インターネット経由でクラウドにアクセスすることも考えられますが、安全性の点から、VPNで一度銀行のデータセンターに接続してからクラウドを利用するケースが多いです。しかし、このようなケースでは、大人数が一斉に利用することでネットワーク帯域が不足したり、VPN接続に必要なIDが不足したりするなど、結果としてリモートワークやクラウドのメリットが得られず苦労しているケースも多いようです。
小林:
金融機関の場合は、ある程度生産性を犠牲にしても、堅牢性を優先しているケースがあるのはやむを得ないかもしれません。ただ、現代のデジタル社会においては、最新技術の恩恵を受け、「生産性向上」と「堅牢性強化」を両立する必要があります。その際に“要”となるのが「ゼロトラスト(※)」です。
※ゼロトラスト:「企業のネットワークやデバイスからのアクセスを暗黙的に信頼するのではなく、常にアクセスの信頼性を検証することで情報資産やIT資産を保護する」というセキュリティアプローチ。
リモートワークの場合、さまざまなデバイスが外部ネットワークを利用して社内の情報にアクセスしますから、ゼロトラストモデルでは、「本当にそのアクセス元が信頼できるのか」を複数のインプット情報を用いて検証します。そしてアクセスを許可する際には、最小のアクセス権限を付与します。こうした仕組みはクラウド環境だけでなく、内部不正を防止するといった観点からオンプレミス環境でも効果を発揮します。日本銀行ではゼロトラストのアプローチをどのように捉えていらっしゃいますか。
有田:
ご説明いただいたとおり、クラウドを活用するうえで、ゼロトラストは非常に有力なアプローチだと認識しています。ただし、既存のアーキテクチャーとの関係から難易度も高いため、日本において本格的にゼロトラストに取り組めている金融機関は現状では少数です。
小林:
金融庁は2021年6月に「ゼロトラストの現状調査と事例分析に関する調査報告書」を公開しました。この報告書は金融庁からの委託でPwCが作成したのですが、その際に参考にしたのが米国標準技術研究所(NIST)の「Zero Trust Architecture(NIST SP800-207)」です。
【参考URL】
https://www.fsa.go.jp/common/about/research/20210630/zerotrust.pdf
NIST SP800-207では「ゼロトラストの原則」として以下の7つを挙げています。
1. すべてのデータソースとコンピューティングサービスをリソースとみなす。
2. ネットワークの場所に関係なく、すべての通信を保護する。
3. 企業リソースへのアクセスは、セッション単位で付与する。
4. リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する。
5. すべての資産の整合性とセキュリティ動作を監視し、測定する。
6. すべてのリソースの認証と認可を動的に行い、アクセスが許可される前に厳格に実施する。
7. 資産、ネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ態勢の改善に利用する。
これら7つが「ゼロトラストの原則」として示されていますが、ゼロトラストアーキテクチャーを実践しない金融機関にとっても、セキュリティの強化を進めるうえで参考となるコンセプトが多く含まれていると思います。
有田:
そうですね。ゼロトラストはクラウドとの親和性が非常に高いことから、これまでの金融機関との対話の中でも、「今後導入を検討すべき重要なテーマ」と考えている先がいくつもありました。ですからクラウドの活用とともに、今後、ゼロトラストもフォーカスされ、導入が進んでいくと考えています。
小林:
最後に、今後、金融機関がクラウド活用をするための提言をいただけますか。
有田:
2つあります。1つは「クラウドは経営課題」であるということです。2020年11月に日本銀行金融機構局が公表した金融システムレポート別冊「クラウドサービス利用におけるリスク管理上の留意点」には、「金融機関の経営陣は、たとえシステムの担当でなくとも、所掌する業務の改善・改革のためにクラウドについて一定の知見を有することが必要」と明記しています。経営層の方々には「クラウドはシステムの課題ではなく経営課題」であることを自覚していただきたい。これが1つ目の提言です。
【参考URL】
https://www.boj.or.jp/research/brp/fsr/fsrb201126.htm/
もう1つは「クラウドへの不安を払拭する」ことです。最初に申し上げたとおり、これまでの“閉じた環境”から“インターネットに常時接続する環境”へ移行するのですから、不安を感じることは理解できます。
しかし「不安だからやらない」「(セキュリティ対策などに)不安はあるが、みんながやっているからとりあえず突き進む」といった考えでは、クラウドのメリットを享受できません。不安があるのならばその要因を棚卸しし、「どうすればリスクを低減できるのか」を考え、クラウド活用に関して進む方向を判断し、その方向に適した適切なリスク管理を行うことです。きちんとしたセキュリティ対策等を実施すれば、オンプレミスと比較してクラウドのリスク管理が難しいことはありません。
小林:
今後の金融分野におけるクラウド活用に向けて、非常に貴重な示唆をいただきました。本日はありがとうございました。
特別対談:デジタルトラストの構築に向けたPwCのアクション
20 results
Loading...
デジタルアイデンティティを支える技術―ソリューション導入の失敗事例と成功事例―(SailPoint/Okta/CyberArk)
アイデンティティ(ID)管理のソリューションが求められる背景や導入の要点、やってしまいがちな失敗とその対策などについて、ID管理を手掛ける企業の専門家3名にお話を伺いました。
プライバシーガバナンス最前線―データ利活用を促進していくために、いま企業に求められていること―(リクルート/TMI)
膨大な量の個人情報を扱うリクルートのデータ保護・プライバシー保護専門部署の責任者と、プライバシー&セキュリティコンサルティングを専門とする弁護士を招き、今必要とされている取り組みと今後の展望を議論します。
デジタルプラットフォーム取引透明化法の「モニタリング・レビュー」にみる、新しい時代のトラストとは(経済産業省)
2021年2月に施行されたデジタルプラットフォーム取引透明化法の中で注目されている「モニタリング・レビュー」。同法に携わる経済産業省の担当者をお招きし、モニタリング・レビューの果たす意義と新しい時代におけるトラストのあり方を伺いました。
Loading...
インサイト/ニュース
20 results
Loading...
航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。
医薬品の安定供給を支える、OTセキュリティ実装の道筋とは
近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。
事業のグローバル化からみるサイバー・物理セキュリティ強化の必要性
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
望ましいサイバーセキュリティの未来(銀行業界編)
スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。
Loading...
セミナー
4 results
Loading...
Technology Day 2025
PwCコンサルティング合同会社は、6月17日(火)に表題イベントを対面で開催します。
Digital Trust Forum 2025
PwC Japanグループは、5月19日(月)より表題のセミナーをオンデマンド配信します。
【セミナー】プライバシー保護対応におけるOneTrustの利活用
PwCコンサルティング合同会社は1月27日(月)より、表題のセミナーをオンデマンド配信します。
【セミナー】サプライチェーン・デジタルリスク -サイバー攻撃やデジタル法規制に迅速に対応するレジリエントなサプライチェーンの構築-
PwCコンサルティング合同会社は10月29日(火)より、表題のセミナーをオンデマンド配信します。
Loading...
