ニュース
» 2015年06月11日 17時00分 公開

「金融クラウドの先駆者」に聞く:クラウド化で悩む企業に伝えたい「4つの基本」 (2/3)

[岩城俊介,ITmedia]

全部をいきなり議論すると、出口は見つからない

 金融機関のITシステムは「セキュリティの評価基準」が極めて厳しい。

 「さまざまなチェックリストがあります。この会社(クラウド事業者)は大丈夫か、情報セキュリティマネジメントは大丈夫か、金融機関ならではのシステムリスクの考え方で“本当にそのシステムは大丈夫か”。まず3段階のチェックリストがあります。さらに金融機関は(どの金融機関も参照する)FISC(金融情報システムセンター)の安全対策基準に適合できているかの確認も必須です」(福嶋氏)

 AWSは情報セキュリティマネジメントシステムの国際規格「ISO27001」、内部統制基準「SSAE3402」、クレジットカードのセキュリティ基準「PCI DSS」、「SOC 1」「SOC 2」など、外部の権威ある認証を多数取得しており、米国防総省やNASAといった政府機関による利用の実績からも、それらの機関の基準を満たすことを示していた。

 また、国内では同社のパートナー(AWS導入コンサルタント)である野村総合研究所(NRI)、およびSCSK、電通国際情報サービスの3社が作成した「金融機関向けAWS対応セキュリティリファレンス」により、FISC安全対策基準への対応状況についても確認できた。クラウド構築に実績のある3社が「AWSは金融機関で安心して使えます」というガイドラインを出していたことは、セキュリティへの不安を大幅に軽減しただけでなく、リスク評価の時間短縮にもつながったという。

 「古い話なので今は当てはまらないのでしょうが、当時の選定候補だった他社のクラウド事業者には“何週間前に言えば、彼らの権利としてシステムを止められる”といった規約が存在しました。ここは銀行として引っかかりました。なお、金融機関はFISCガイドラインが基本なのでISO27001を取っているところはほとんどありません。当行はグループとしてISO27001を取るのが一般的で、自社でも取得しています。ですから“取得している”ことがどれだけ高度な基準かを判断しやすかったこともあります」(福嶋氏)

photo ソニー銀行のITシステム概念図とAWSでクラウド化した部分 ポイントは銀行業務の基幹となる「勘定系」は最初から完全に移行対象から外して考えたこと。銀行業務において重要度を下げられる「周辺系」と「一般社内業務システム」を移行対象とした

 ポイントは銀行業務の基幹となる「勘定系」(勘定系システム、ネットバンキング、外部連携システムなど)と、銀行業務において重要度を下げられる客の取引に直接影響を与えない部分「周辺系」+「一般社内業務システム」に切り分け、中核をなす勘定系は最初から完全に移行対象から外して考えたことと福嶋氏は述べる。

 「全部をいきなり議論に入れてしまうと、おそらく出口が見つかりません。それぞれの企業の検討しやすい領域や、ちょうど何かやらなければいけない分野など対象に、視点を定めて議論していくことが重要です。まず対象を絞って、しっかりアセスメントをします。リリースも一気にではなく、順次1つ1つシステムを作って経験を蓄えながらやっています」(福嶋氏)

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ