クラウド化で悩む企業に伝えたい「4つの基本」:「金融クラウドの先駆者」に聞く(2/3 ページ)
企業のクラウド化が急激に進む中、ウチは難しいと悩む企業も多い。「金融クラウドの国内パイオニア」として、自ら率先してクラウド化を進めるソニー銀行のキーパーソンに「どうすべきか、何を考えるべきか」のヒントを聞いた。
全部をいきなり議論すると、出口は見つからない
金融機関のITシステムは「セキュリティの評価基準」が極めて厳しい。
「さまざまなチェックリストがあります。この会社(クラウド事業者)は大丈夫か、情報セキュリティマネジメントは大丈夫か、金融機関ならではのシステムリスクの考え方で“本当にそのシステムは大丈夫か”。まず3段階のチェックリストがあります。さらに金融機関は(どの金融機関も参照する)FISC(金融情報システムセンター)の安全対策基準に適合できているかの確認も必須です」(福嶋氏)
AWSは情報セキュリティマネジメントシステムの国際規格「ISO27001」、内部統制基準「SSAE3402」、クレジットカードのセキュリティ基準「PCI DSS」、「SOC 1」「SOC 2」など、外部の権威ある認証を多数取得しており、米国防総省やNASAといった政府機関による利用の実績からも、それらの機関の基準を満たすことを示していた。
また、国内では同社のパートナー(AWS導入コンサルタント)である野村総合研究所(NRI)、およびSCSK、電通国際情報サービスの3社が作成した「金融機関向けAWS対応セキュリティリファレンス」により、FISC安全対策基準への対応状況についても確認できた。クラウド構築に実績のある3社が「AWSは金融機関で安心して使えます」というガイドラインを出していたことは、セキュリティへの不安を大幅に軽減しただけでなく、リスク評価の時間短縮にもつながったという。
「古い話なので今は当てはまらないのでしょうが、当時の選定候補だった他社のクラウド事業者には“何週間前に言えば、彼らの権利としてシステムを止められる”といった規約が存在しました。ここは銀行として引っかかりました。なお、金融機関はFISCガイドラインが基本なのでISO27001を取っているところはほとんどありません。当行はグループとしてISO27001を取るのが一般的で、自社でも取得しています。ですから“取得している”ことがどれだけ高度な基準かを判断しやすかったこともあります」(福嶋氏)
ポイントは銀行業務の基幹となる「勘定系」(勘定系システム、ネットバンキング、外部連携システムなど)と、銀行業務において重要度を下げられる客の取引に直接影響を与えない部分「周辺系」+「一般社内業務システム」に切り分け、中核をなす勘定系は最初から完全に移行対象から外して考えたことと福嶋氏は述べる。
「全部をいきなり議論に入れてしまうと、おそらく出口が見つかりません。それぞれの企業の検討しやすい領域や、ちょうど何かやらなければいけない分野など対象に、視点を定めて議論していくことが重要です。まず対象を絞って、しっかりアセスメントをします。リリースも一気にではなく、順次1つ1つシステムを作って経験を蓄えながらやっています」(福嶋氏)
関連記事
- AWSがクラウドのハイブリッド利用を勧める理由
クラウドサービスで躍進を続けるAWS。クラウドシフトを勧める急先鋒と思いきや、オンプレミスとのハイブリッド利用にも注力しているようだ。その理由とは──。 - 「われわれはバージョンアップ部隊ではない」 旭硝子“攻めの情シス”その手法
ガラス大手の旭硝子が、メインフレーム/オンプレミスベースの業務基盤をAWSでクラウド化した。「オンプレミスしか考えていなかった」と思い込んでいた同社が「クラウドにする」「バージョンアップ部隊ではなく、われわれこそが業務改革の担い手だ」と考えを一転した転機は何だったのか。 - NTTドコモ、日通、旭硝子も導入する「AWSの最適解」を得る方法
クラウド化の最適解は、企業ごとに異なる。そのため、パブリッククラウドサービスベンダーは、個々の企業の事情や状況に合わせて適切なクラウドサービスの選択肢を提言する“コンサルサービス”にも力を入れている。AWSの技術領域に特化したコンサルサービス「AWSプロフェッショナルサービス」は、何をしてくれるのか。 - AWSの管理画面が日本語化
中国語でも表示可能。従来の英語表示にも戻せる。
Copyright © ITmedia, Inc. All Rights Reserved.