最近、AWSやAzureに代表されるようなクラウドサービスが一般的になってきました。自前でザーバーを調達したり設置したりする必要がなく、新たなサービスを比較的短期間に提供できる手軽さが良いところです。
そんな社会の流れの中で、金融機関でも外部の会社が提供するクラウドサービスを利用する機会が増えてきています。しかし、金融庁ではリスク管理態勢の再構築を促す動きがあります。
オンプレミスで構築したシステムであれば、自分たちがシステムの構成や安全対策のレベルをコントロール可能ですが、外部サービスを利用するとなると、セキュリティ面は外部サービスのポリシーに従わなければいけません。
従って金融機関による統制が効きにくくなるところが懸念されています。お客様に影響するようなサービスの一時的な停止などが発生すれば、金融機関に説明責任が求められます。しかし、利用しているクラウドサービスがブラックボックスになってしまっていると、説明することも難しくなります。
そこで、日常的な監視や緊急時の迅速な状況把握が可能な状態にする必要がありますが、外部サービスにこの辺のサービス条件を事前によく擦り合わせておかないと、大きなトラブルが発生した際に対応が困難になってしまいます。
大手金融機関の中には大手クラウドサービス提供会社から通信ログの提供を受けて自社で監視するケースもあるそうです。また、クラウドサービスから外部への情報漏洩があった際の損害賠償責任を定めた例もあったとのことです。
安易にサービスに飛びつかず、想定されるセキュリティ等の脅威に対してどんな対策を取るのか、その上でクラウドサービスではどんなレベルのサービス提供があるのか、足りないところはどのように補完するのかといった点を事前に洗い出しておく必要があります。
【2019/07/31追記】
米国銀行大手のキャピタル ワン ファイナンシャルがサイバー攻撃を受けて、1億人にも及ぶ情報漏えいがあったことが日経新聞で報じられていました。
社内のITシステムへの侵入を防ぐファイアウォールの設定に誤りがあったとのことです。犯人はAWSの元従業員と報じており、キャピタルワンは情報管理に利用していたのだそうです。
記事からはAWSの元従業員であるということと、ファイアウォールの設定誤りを何故見抜くことができたのかの因果関係はわかりませんでしたが、やはり外部のAWSなどのサービスを利用する際には約款の内容等に対して最善の注意を払った方が良さそうです。
コメント