金融機関のサイバーセキュリティに関する日米ガイドラインの比較分析
第12回 Report on Cybersecurity Practices FINRA(6)
―—ベンダー・マネージメント(4) クラウド・サービス
株式会社FOLIO フィンテックコンプライアンスアドバイザー
木 嶋 謙 吾
クラウドサービスを利用するメリットとデメリット
現在の米国の金融機関は幅広くクラウドサービスを利用している。クラウドサービスのメリットは以下の通りだと考える。
- ① コスト削減(開発、維持コストを抑制できる)
- ② システム開発期間を短縮できる。
- ③ 柔軟性(一時的な利用や、短期間での撤収、初期費用の最小化)
- ④ 利便性と機能(開発スピードが早く、モバイル端末、SNSとのコネクティビティが容易)
その反面、パブリッククラウドを利用する場合、クラウド業者のシステム障害(サイバー攻撃による障害を含む)、経営破綻によるサービスの停止、顧客情報の漏洩等が発生した場合には、複数の金融機関に甚大な影響を及ぼす可能性ある。このため、クラウドの特性を考慮した内部統制プロセスの構築が必要となる。
FINRA(Financial Industry Regulatory Authority/金融取引業規制機構)はReport on Cybersecurity Practicesの中でクラウドに関して以下の所見を述べている。
- ① 従来、テクノロジー部門等がベンダーに審査に深く関与して来たが、クラウド業者の内部統制に関する審査は技術的に複雑である。
- ② クラウドサービスは委託元と非委託元システムの境界線を不明確にするので、委託元のテクノロジー環境に有効な内部統制プロセスを確立することを困難にする。
その一方で、クラウド業者がサイバーセキュリティに関して効果的な内部統制プロセスを構築している場合、その内部統制プロセスは多くの証券会社、とりわけ中小証券会社の内部統制プロセスより洗練された強固なものとなる。つまり、クラウドサービスを利用することにより強固な内部統制プロセスを低コストで導入することが可能となる。FINRAが2014年に実施したSweepと呼ばれる一斉検査を通じて集めた情報では、ほとんどの金融機関ではクラウド業者に対する審査は他のベンダーと同様の審査プロセスが適用されていて、インフォメーション・セキュリティ部門がデューデリジェンスに関して重要な役割を担っている。インフォメーション・セキュリティ部門の関与が担保されることによりユーザー部門が既存のガバナンス・プロセスをすり抜けるといった事態は発生していないと述べている。
クラウド業者の審査基準
FINRAはクラウド業者に対する審査に関して以下の8項目を重要な審査項目として挙げている。
- ① クラウド業者のシステム又はコンピューティング・リソースを複数の金融機関が共用する可能性があるか?
- ② データへのアクセス・コントロールに関してベンダーはどのようにシステムとデータへのアクセスをコントロールしているのか? アクセスするための手順と承認プロセスは明確化されているか?
- ③ ほとんどのシステムがインターネットを通じてサービス提供される環境の中で、クラウド業者はどのようなハッキング対策を構築しているか? (オンプレミスの環境と異なり、ネットワークによるデータ伝送をベースとした仕組みなので、伝送中のデータが漏洩するリスクがその分大きいことを考慮する。)
- ④ クラウド業者はどのようなセキュアー・コーディング・プラクティスを構築しているか?
- ⑤ クラウド業者はセキュリティ・プラクティスに関してどのような潜在的問題があるか継続的にテストを実行して安全性の確認を行っているか?
- ⑥ クラウド業者はシステムの開発ライフサイクルに関するフレームワークを整理しているか? 開発に際して適切なテストが行われているか?ユーザーがテストに参加できるか?
- ⑦ベンダーのデータセンターには誰が物理的にアクセスできるのか?
- ⑧ システムの可用性が担保されているか?(例えば、他ユーザーのトラフィックが高まった場合、自ユーザー分の処理に係るリソースが不足することにより、レスポンスの悪化やシステムの停止につながる可能性があり、求められるサービスレベルが保証されない場合。)
監査証明書の利用
第10回で述べたように、リソースが不足する中小金融機関がデューデリジェンスやオンサイトモニタリングでクラウド業者の内部統制基準の評価を行うことは容易なことではないことから、我が国でもSOCレポートの取得が行政から推奨されればSOCレポートが幅広く普及するものと考える。