金融機関によるクラウド利用時に必要となるガバナンス・セキュリティと、その検討アプローチ ~ AWS 金融ソリューションセミナー

2018-04-06

Start adding items to your reading lists:
or
Save this item to:
This item has been saved to your reading list.

リスクベースアプローチにより、対象となる情報や業務システムをCIA(機密性/完全性/可用性)の視点から重みづけし、その重要度とリスクに応じた対策作りを行うことが重要

デジタルビジネス分野に加えて、基幹システムや重要な情報を取り扱う業務分野においてもクラウドサービス利用が加速度的に進んでいます。このような背景のもと、2018年2月20日にアマゾン ウェブ サービス ジャパン(以降、AWS)株式会社の本社にて、金融機関限定のAWS 金融ソリューションセミナーが開催され、100名近くの方々が参加されました。本セミナーでは、金融サービスにおけるクラウド活用の最新動向、クラウド利用に関する金融ガイドライン、金融領域におけるクラウド活用のユースケース、クラウド活用のための導入ステップなどの金融機関のクラウド活用をめぐる最新情報が提供されました。PwCあらた有限責任監査法人(以降、PwCあらた)からはパートナーの宮村和谷が登壇し、金融機関のクラウド利用において必要となるガバナンス・セキュリティの検討事項とアプローチをテーマに講演しました。本稿では、その講演内容をご紹介します。

ガバナンス・セキュリティの検討事項とアプローチについて


金融機関がクラウドを利用するにあたっては、「セキュリティ」、「外部委託管理」、「開発・運用の標準化」、「TCO計算」、「移行計画」など、システム全体のガバナンスの視点から、リスクベースアプローチで対策を検討することが重要です。当局もリスクベースアプローチの重要性を指摘しています。部分最適ではなく、全体最適の視点からリスクアセスメントを行うアプローチ、また平時だけでなく障害発生時の視点からもリスクアセスメントを行うアプローチが重要になります。
AWS セキュリティ・アシュランス本部本部長の梅谷氏も、同日の講演の中で、2018年中に更新予定のFISCの安全対策基準において、リスクベースアプローチをとることの重要性がより明確化されると、ますますリスクベースアプローチでの取り組みが注目されることになるだろうと述べています。

図1.クラウド利用におけるリスク対策のイメージ

リスクベースアプローチにより、ガバナンス・セキュリティ対策を検討するにあたっては、まず、クラウドの利用対象とする業務システムや情報を、CIA(機密性/完全性/可用性)の視点から、重みづけを行うことが重要です。FISC(金融情報システムセンター)の「金融機関におけるクラウド利用に関する有識者検討会報告書」においても、これに関する考え方が整理されています。

機密性の高い情報(審査情報、クレジットカード情報など)や高い可用性が求められる業務(決済など)などをクラウド上で管理・処理する際には、その重要性が高いと判定された視点(CIA)から具体的に想定されるリスクを検討し、リスクに対して有効な安全管理策を、クラウドサービス利用におけるリスク対策と紐づけて検討することが重要です。

図2. 金融機関がクラウド利用において考慮すべきリスク例

分類

クラウドのリスク(例)

ガバナンス

再委託先での不適切な統制環境

リスク管理に関する個別ニーズへの対応困難

リスク管理面の仕様制約の影響

法制度

委託元金融機関による立入監査への支障

法制度の違いによる影響

外国公権力による諜報・データ閲覧

技術

データの物理的消去が困難なことによる影響

伝送路からのデータ漏洩

ネットワークが途絶した場合の影響

運用

リアルタイム性、可用性への懸念

クラウド事業者跨ぎ処理の不調

インシデント対応の不調

リスク管理上必要になる事項の可視化が困難

PwCあらたでは、金融機関に対してガバナンス・セキュリティ対策を支援する際、FISCの安全対策基準をはじめとした公知のガイドライン(ENISA、CSA、NISTなど)で挙げられているリスクやコントロールをマッピングしたリファレンスツールを活用して、お客様に必要となるガバナンスやセキュリティのレベルに応じた対策作りを支援しています。

図3.クラウド活用において参考となるガイドラインなど

ガイドライン名

発行元

発行年

推奨事項

/統制の数

PwC Cloud Risk Assurance Framework

PwC

-

-

クラウドコンピューティング 情報セキュリティに関わる利点、リスクおよび推奨事項

ENISA

2009年11月

148

パブリッククラウドコンピューティングのセキュリティとプライバシーに関するガイドライン

NIST

2014年3月

29

クラウドサービス利用のための情報セキュリティマネジメントガイドライン

経産省

2014年3月

257

クラウドサービス提供における情報セキュリティ対策ガイドライン

総務省

2014年4月

199

クラウド情報セキュリティ管理基準

JASA

2014年9月

約3000

金融機関等コンピュータシステムの安全対策基準

FISC

2015年6月

1039(27)※

JIS Q 27017 (ISO/IEC 27017)

JSA

2016年12月

93

政府機関等の情報セキュリティ対策のための統一基準群

NISC

2016年8月

265(5) ※

※( )内はクラウド固有の推奨事項/統制の数

繰り返しになりますが、クラウドの利用にあたっては、全体最適の観点から、リスクベースアプローチにより対策作りを行うことが非常に重要です。PwCあらたは、ベストプラクティスとされる公知のガイドラインで挙げられているリスクやコントロールに対し、AWSを利用する際の対策案をマッピングしたリファレンスツールを有しています。お客様にクラウドを安心・安全に利用していただけるよう、PwCあらたは、このリファレンスツールを活用しつつ、リスクベースアプローチでの対策作りを支援することで、お客様のビジネスのデジタイゼーション・デジタライゼーションの推進に貢献していきたいと考えています。

主要メンバー

宮村 和谷

PwCあらた有限責任監査法人 パートナー, 東京

Email

饒村 吉晴

PwCあらた有限責任監査法人 マネージャー, 東京

Email

関連情報