みなさん、こんにちは。 富士通クラウドテクノロジーズの鮫島です。 先日、金融機関の情報システム向けの「FISC安全対策基準」に関する記事を書きましたが、今回も金融関連です。
日本銀行が、金融機関向け「クラウドサービス利用時のセキュリティ注意事項に関するドキュメントを」公開したというニュースが飛び込んできた(後輩のSlackで見かけただけ)ので、皆さんに概要をかいつまんでご紹介します。
「クラウドサービス利用におけるリスク管理上の留意点」の背景
なぜ日本銀行がこのタイミングで?
日本銀行がなぜこのようなドキュメントを公開したか?という背景ですが、 やはり「新型コロナウイルス対策」によって顕在化した金融機関のデジタル化の遅れに対する危機感だと思います。
その論拠と言えるドキュメントが2020年10月に公開されています。
239の金融機関に対して実施したアンケート調査を元に作成されたものですが、 要旨を箇条書きにします。
・在宅勤務の導入が大幅に進展した
・在宅勤務を推進するためのシステム拡充が今後も拡大
・私物PCによるテレワークにセキュリティの懸念がある
・業態や地域によって在宅勤務の実施比率に大きな差がある
・オンライン会議サービスの利用が急激に進んだが、運用ルールが不明確
といった感じで、テレワークあるあるがぎっしり詰まった内容なのですが、これは今回の本題ではありません。
コロナ禍をきっかけに、金融機関を含むあらゆる企業が急激に「DX(もしくはITインフラの刷新ともいう)」へ舵を切りつつあります。
いわゆるレガシーシステムでは、柔軟にテレワークなどの働き方が出来ないだけでなく、経済活動の停滞という事態に際して新たなビジネスモデル創出へ寄与しないばかりか、維持のための無駄なコストが増え続けるからです。
近い将来コロナ禍が収束したとしても、労働生産性と国際競争力の低下という少子高齢化に起因する課題は残りますし、さらに経済活動をストップさせてしまう破壊力を持つ「災害」への中長期的な対策はあらゆる業種において喫緊の課題となりました。 そこで、注目を集めているのがクラウドの利用です。
金融機関の情報システムといえば、おなじみの「FISC安全対策基準」を忘れてはなりません。 これは、金融機関のシステム構築のバイブルと言えるものですが、すでにクラウド利用を念頭に置いた内容に年々アップデートされているお話は、下記のブログ記事でも説明しました。
とはいえ、「レガシーシステム」を絶賛運用中と思われる多くの金融機関がクラウドを利用するためにはたくさんの障壁があります。
経営層が「いや、クラウドなんてセキュリティが…」という、それこそ使い古されながらもいまだに一定の重みを持った慣用句を使って反対するケースも多いはずです。
しかし、そうやって10年も日本企業ではクラウド導入が遅れてきたわけです。 日銀もさすがに覚悟を決めて
「みなさん!クラウド導入を検討するなら、まず経営層にこの文書を読ませてください。日銀のお墨付きです」
といった感じで公開に踏み切ったのではないか?と思います。
本文中に
「金融機関の経営陣は、システム担当でなくとも、業務の改善・改革のためにクラウドについて一定の知見が必要」
とまで書かれているので、概ね間違っていないはずです。
クラウドに対し金融機関が抱く懸念とは?
FISCが令和元年に行った金融機関へのアンケートによると、クラウド利用に対する懸念として、8割以上の金融機関が「クラウドサー ビスの機密性(アクセス管理、暗号化管理等)」、5 割以上が「クラウドサービスの可用性(稼働率、稼働時間帯)」および「クラウドベンダーの監査受入態勢」を懸念事項として挙げているそうです。
これは、クラウドの特性と大きな関連性があります。クラウドは、基本的にネットワーク経由で利用するため、その経路での機密性を確保する必要があります。しかも、この部分はクラウドの共同責任モデルによれば金融機関側の責任範囲になります。
金融機関のうっかりミスで、簡単に情報漏洩が起きてしまうのではないか?という懸念です。
可用性については、「クラウドは必ずメンテナンスのためにサービス停止時間がある」という思い込みもあるようですが、全サービスを一斉に停止するようなメンテナンスはよほどのことがない限りはないと思われます。事前に適切な情報提供がなされるクラウドサービスであれば、可用性を向上させるデザインパターンで適切に運用すればメンテナンスを無停止で乗り切る事も可能です。実際に、ニフクラのように基本的にメンテナンスによる停止は無いというサービスも存在します。
また、監査受入れに関しては、いまだにクラウド事業者であっても立ち入り監査が必要という誤解があるようです。 このドキュメントでは、「パブリッククラウドのように自身が利用しているコンピューター資源の特定が難しい場合等にはこれまでの監査手法では対応できない」ということで「クラウドのDCに立ち入り監査をする意味はない」旨が記載されています。
クラウドのDCは、共同責任モデルによると、クラウド事業者が直接運用・管理するレイヤーになりますので、金融機関はクラウド事業者の「運用・管理状況を確認」するしかないのです。クラウド事業者が、実際にどのような運用・管理を行っているかを確認するには、お馴染みの「FISC安全対策基準のリファレンス情報」を参照すればいいのです。
リスク管理上の留意点とは何か?
セキュリティ管理
ここでも、共同責任モデルに基づいて、金融機関側の責任範囲でのセキュリティ管理の重要性が強調されています。 特に、起こりがちなのが利用者側の設定ミスにより、脆弱性が生じて情報が漏洩するというインシデントです。 これは、直近でもある決済サービスで機密情報を誤って一般閲覧可能の設定にしてしまい、大量の機微情報が漏洩するという事態が発生しています。
また、今回のコロナ禍で、急遽テレワーク環境を構築せざるを得なくなったケースで多く生じたのが「アクセス権限」や「ネットワークの設定ミス」による情報漏洩です。 すなわち、クラウドサービスそのものの安全性よりも利用者側の問題でインシデントが発生することの方が多いことを認めたことになります。
可用性管理とレジリエンス
可用性の管理にあたっては、業務内容により求められるシステム停止時間の許容水準の違いを踏まえ対応することが重要であり、勘定系システムのようにミッションクリティカルな高可用性を求められるシステムの場合、複数ゾーンを利用した冗長構成の確保が必要と記載されています。
レジリエンス?なんのこと?と思いましたが、要するに障害、自然災害、テロ、サイバー攻撃等が発生しても重要業務を継続できる能力のことだそうで、クラウドサービスの停止を想定した対策が必要とのことです。しかし、オンプレミスでも起きうる事態であり、むしろクラウドサービスで可用性の高い冗長構成を構築する方がレジリエンスなるものが確保できると思います。
委託先管理
ここでは、共同責任モデルの下でクラウド事業者が運用・管理する範囲についても、金融機関は「委託先管理の枠組み」を用いて、金融機関の業務を行う上で求められる管理水準を確保する必要があると記載されています。
委託先をどこまで管理できるのか?という点ですが、クラウド事業者が公表している監査報告書(SOC2 レポートや各種監査報告書)の活用や、「ISO/IEC 27017」「ISMAP17」「JASA クラウドセキュリティ推進協議会 CS ゴールドマーク」「FedRAMP(米国の認証)」といった認証制度を活用することも一案であると記載があります。
しかし「できればDCなど拠点への監査権を確保する」という気になる記載もあります。 これは、先のクラウドに対し金融機関が抱く懸念の項で触れられていた、パブリッククラウドの場合、立ち入り監査をしてもあまり意味がないという記述と矛盾します。
そこで、バイブルであるFISC安全対策基準の第9版「監査基準(監1)」の解説を読むと、外部委託の際に「委託先から提出された情報のみで委託業務の評価・検証が十分に出来ない場合は委託先のオフィスやデータセンターへの監査・モニタリング等により実地で確認することが必要」という記載があるので、「クラウド事業者が十分な情報開示をして説明責任を果たせば立ち入り監査を回避できる」という判断になります。
また、別紙としてセキュリティに関する重要な事項に対応した管理項目と取組事例がまとめられているのですが、どの認証やガイドラインを参照すればいいか非常にわかりやすく記載されています。
2025年の崖がいつのまにか前倒しに?
経産省の「DXレポート ~ITシステム「2025年の崖」克服とDXの本格的な展開~」というドキュメントでは、従来のレガシーシステムを維持し続けることで、結果的に2025年には年間最大12兆円の経済損失が生じるという警鐘が鳴らされています。
しかし、すでに今回のコロナ禍によって巨大な経済損失が前倒しで生じているのではないかと思います。 冒頭でも申し上げたように、すでにテレワークも出来ず新しいビジネス創出への寄与も出来ないレガシーシステムによって、すでに経済損失が生じているはずです。
恐らく、このドキュメントも政府情報システムでも導入が進みつつある外資系クラウドサービスの協力で作られたものだと思いますが、金融機関ならずとも、レガシーシステムの刷新を行わなければ202*年の崖から真っ逆さまに転落する未来が見えてきているわけですから、この資料を活用してぜひクラウド導入を決断して欲しいと切に願う限りです。
