金融向けクラウドに新指針 (FISCが委託先管理指針を改訂)

ニッキンの平成26年11月21日版の記事です。金融界やクラウドベンダーからのガイドライン提示要請を受けてFISCが進めてきた「クラウド利用に関する有識者検討会」が11月に報告書を作成したそうです。ニッキンの記事によれば、重要性と機密度合に応じたリスクベース・アプローチで、クラウド利用における考慮事項の厳格度を分類しているとのことです。

1年程前からFISCがクラウド用指針を検討することは聞いていましたが、具体的内容は一切耳にしておりませんでした。事前調査を経て検討開始が6月となり、6回の議論を踏まえて11月4日にFISCのWebサイトで報告書が公開されています。

筆者もクラウド利用に関する講演や相談に数多く応じてきましたが、金融機関におけるクラウド利用が期待される程に拡大しない、すなわち、金融機関側の懸念を次のように説明しています。

@コストダウン実現可能性への不安: 実際にメディアが煽る程に下がらないケースが多いことは事実。

Aセキュリティ対策への不安 : クラウドと標榜していても単なるホスティングやASPをクラウドに名称変更しただけのサービスも多いのですが、大手のクラウドでは、個別金融機関のセキュリティ対策よりも数段、堅牢な手当てがなされていることが多い。更に、外資系の場合は、機密性の高い作業に対する権限管理やダブルチェック態勢などで、日系ベンダーよりも厳格な態勢をとることが多い。

B障害発生時の問題判別、対処策に対する不安 : ユーザーとベンダーが具体的対象に関して、障害対策手順を固めて役割分担することが前提の話であり、一概にクラウド云々の話ではない。

C自社システムとの業務、データの連携可能性 : これも具体的前提で詰めるべき問題。概念的に、できるできないを論じても無駄。

この4点が、どの産業でも大きな懸念というか、クラウド検討のポイントですが、金融界では特に大きな課題が他に二つあります。

@データ完全性と契約終了時のデータ消去 : クラウド上のデータが破損、消失、流出する危険性、特に顧客情報等重要性・機密性の高い情報に関しては、防止措置に加えて、何時でも確認できること。つまり、国内に保存されていること。問題はそれを担保し、確認し続ける方策。

Aサービスの継続性と契約条件の履行状況 : オンサイト監査を受入れるか否かの問題となります。一般的にパブリック・クラウドであれば、他の顧客の情報資源と混在するので難しいが、プライベートクラウドであれば、受け入れる外資系ベンダーもある。経営状況やシステム監査などに関しては、外部監査機関のレポート等で補完できることが多い。

こうした懸念というかチェックポイントに対して、FISCの報告書は一定の指針を打ち出しているそうです。例えば、データの所在は明らかにされていなくても、適用法令が把握できれば良いとか。契約終了時のデータ消去は、装置の破壊など物理的消去に拘らず上書きなどの論理的消去で可などだそうです。再委託先審査は、委託先の審査を利用可能とし海外での再委託に道を開いています。とはいえ、FISC報告書を見ると、重要度の高い業務の場合は、厳しい表現になっています。

FISCは、来年6月に安全対策基準を改訂し、そこに当報告書の内容を反映させる予定だそうです。これまで、クラウドベンダーは、従来の安全対策基準、特に委託先管理指針を元に、FISC基準に全面的に対応などと言って来ました。筆者は、こんな抽象的な指針に対して、何故、達成したと言えるのかと意地悪な質問でベンダーを困らせましたが、これからは、もう少し具体的に議論ができることでしょう。

指針はあくまでも判断における方向性を示すものであり、具体的ケースをみなくては指針に合致しているか否かは判断できません。その点で、金融機関のクラウド利用の検討は、曖昧なものが多いことは事実です。その理由は、使ってみたい、経営からもクラウドで安く速くならないかとの要請がある。しかし、何に使って良いか、具体的イメージが湧かないということです。

一部の銀行で勘定系オンラインをクラウド化したとされていますが、一般的なクラウド定義とは異なることは多くの人が承知しています。金融界でクラウドが注目されたのが、東日本大震災の際に、セールスフォースが大手生命保険や損害保険に提供したPaaSの威力です。ほんの数日で、震災時対応のオンラインを立ち上げました。対応が終了すれば契約も終了できる。クラウドのメリットを実感したシーンでした。

ところが、はたと気付いたことが、社内に業務に精通した技術者がいるからPaaSを活用できたということです。アウトソーシングが進んだ銀行では、PaaSを使うのも外部の技術者に依存せざるをえない。その場合は、開発環境や実行環境の手配は迅速化できるものの、アプリの発注手続きや仕様のすり合わせなどに時間を取られて緊急対応はできません。

結局、金融界で使われるクラウドは、以下のような条件のものが中心となっています。

@キャンペーンのようなライフの短いアプリ A周辺システムを仮想化して統合するなど非基幹系インフラ B口座数が少なくなった古い商品・顧客管理 Cメール等オフィス・ツール Dモバイル用DaaS Eスモールスタート・サービスの初期段階アプリ F開発環境 G他社との提携サービス基盤 などです。

筆者は、最近、次のような主張を繰り返しています。外部依存を高め過ぎたわが国金融ITが、内製を中心とする海外主要金融機関とIT競争しても、現状では全く勝目がない。但し、インフラにクラウドを活用し、アプリをエンドユーザー部門の専門家が開発し、保守できるようになれば、逆転できる可能性が出てくる。ただし、こうした展開が実現性を持つのは、旧来の商品サービスではなく、新たな分野におけるサービスであろう。いわゆる攻めのIT分野です。それには、新たな金融サービスを企画し、システム化し、運用する別の組織が必要で、そのIT化では、従来よりもコストと時間は4分の一にしなくてはならないと。その時にクラウドを活用できるビジネスモデル(行政からリスク程度をとやかく言われないような)を設計する能力も必要となります。

                                                     (平成26年11月25日 島田 直貴)