金融業界においてもクラウド化の波は押し寄せており、クラウドサービスを活用する金融機関は明らかに増加傾向にあります。適切にクラウドを活用すれば、データ管理の効率化や、融資におけるプロセスの高速化、コスト削減など、多くのメリットが得られるでしょう。
一方で、信用取引等金融機関のクラウド利用には、まだ懸念を抱く人がいるのも現実です。
本記事では、一括して情報を取ることが難しい金融機関においてクラウドを活用するメリットや懸念・問題点、導入にあたっての注意点をまとめました。
金融機関のコンテンツ管理とクラウドの活用
2017年に国内のメガバンクがクラウドファーストの方針を発表したのをきっかけに、多くの金融機関において、非基幹システムのみならず基幹・勘定系システムへのクラウド活用も広がりを見せています。ここでは、金融機関のコンテンツ管理とクラウド活用によって得られるメリットや懸念される事柄、セキュリティ上の問題点について解説していきます。
クラウドを活用するメリット
クラウドサービスはすでに他社が構築したシステムを利用するという構造上、簡単な手続きで速やかに利用できるため導入期間が短く済みます。違う表現をすると、現代のビジネス環境の変化の早さやコロナ禍のように突発的に起きたことにシステムを対処させやすいと言うことです。自社でオンプレミスサーバーを導入するには、必要な容量やパフォーマンス等々多くのパラメータをしっかりセットし、それに合わせて見積もりを取得し、機器を発注するといったプロセスが発生します。当然、システム負荷のピークに合わせたインフラを整備する必要がありますが、ビジネス状況が好転してピークを超えたり、市場が変わって全く違うシステムが必要になっても、その都度ITを柔軟に対応させることは困難です。
一方クラウドサービスは、最小構成で利用を開始し、必要に応じて容量やオプション追加、アプリケーションを変更することは比較的容易です。繁忙期のみリソースを拡充し、閑散期には減少させ維持コストを抑えるなど、柔軟に活用できます。
他のメリットとして、クラウドサービスは提供するサービスをより良いものに驚くほどのスピードで強化し続けます。技術の進歩に伴いAIなどの先端技術もどんどん導入されるため、金融機関は常にアップデートされた最新サービスを活用できるでしょう。例えばビッグデータを最新AIで解析し、マーケティングや脅威検知につなげるなど、事業拡大に常に最先端ITの活用が可能となります。
サービスの機能強化と同様に、セキュリティレベルも常に最新のバージョンへと更新され続けます。セキュリティの懸念をクラウドシフトしない理由とする声もありますが、現在、自社一企業で対策するよりクラウド事業者のセキュリティ対策の方が進んでいることが多いことも現実です。
クラウドの活用における金融機関の懸念とは
クラウドのサービスそのものはクラウド事業者の責任範疇ですが、保管されているデータやコンテンツは利用する金融機関の所有であり、責任範疇です。つまりデータやコンテンツそのもの、またそれらへのアクセス権管理や、クラウドサービスにアクセスするためのネットワーク設定などは金融機関の責任範疇です。そのため、ユーザーである金融機関が設定ミスなどを起こすと、閉域ネットワークのオンプレミス環境と比べるとどうしても情報が漏れやすいと、機密性を懸念とする声もあります。
具体的には、他社にデータやコンテンツの管理を任せるという点で、クラウドでは「責任共有モデル」という枠組みで管理責任を利用者(金融機関)とクラウド事業者が分担します。クラウド事業者が運用・管理する範囲であっても、情報漏えいなどに関する責務(顧客への賠償や市場競争力の損失など)は利用者側に発生します。そのため、委託業務であっても一定の管理水準を確保しなければならず、そういった理由から「責任共有モデル」に対する懸念を心配する人もいます。
他には、サーバーやOSなどのコンピューター資源はクラウド事業者の管理下にあるため、システムのメンテナンス実施時期やエラー発生時の対応について、利用者側ですべてのコントロールはできません。
したがって、想定外のメンテナンスや事故によるシステム停止の際には、自力での復旧ができず、回復までの見込みが立てづらいことを懸念点として挙げる声もあります。
金融機関におけるセキュリティの問題
前述した懸念に加え、セキュリティの問題もクラウド活用におけるハードルの1つと言われます。
インターネットを利用するクラウドでは、アクセス権限の設定によって自社の情報を守らなければなりません。サービスへのアクセス認証に関する管理が不適切であれば、外部からの攻撃に対してシステム内への侵入を許し、機密情報が漏えいする可能性があります。しかし、ネットワーク境界で守ることでは限界があることは今や明確で、セキュリティ対策はゼロトラスト型が主流となりつつあります。
クラウド時代では、不正アクセスから情報や社員を守るためにも、ID管理や認証・認可、アクセス権限管理、さらに、多要素認証(MFA)やデバイストラストをも活用し、どこからのアクセスでも認証を厳格化することが対策となります。
また、外部から攻撃を受けるなどのネットワークセキュリティの問題はなくならないことが予想されるため、CASBなどによる不正な通信の遮断やアクセスの限定など、ネットワークの設定を適切に実施することも有用です。全てのクラウドサービスに対し必要ではありませんが、特定のものには、仮想専用線(VPN)を用いて、通信を暗号化することも有効です。
顧客情報やパスワードを暗号化せずに保存していたことが原因で、被害が甚大になった事例もあります。情報の暗号化や保護はもちろん、利用する従業員のセキュリティ意識やコンプライアンスについて、教育を徹底することで懸念が払拭され、クラウドシフトの波に乗れるようになります。
金融機関がクラウドでコンテンツを管理するときの注意点
自社の機密情報をインターネット上で保管することから、サービスを利用する際にはどう保管されるか、暗号化されるのか、データセンターの物理セキュリティに問題はないか、また暗号化通信や端末認証などのセキュリティ対策が十分かも確認しましょう。もちろん、セキュリティだけではなく稼働率の確認も重要です。
導入後には、サービスによって創出される価値と発生するコスト(月額利用料、ライセンス費用、ネットワークにかかる費用など)のバランスが適切かを検証する必要があります。初期費用がかからないとしても、十分に機能が発揮されていなければ、維持し続けるうちにトータルコストが高くつくこともあるため注意が必要です。
コスト管理においては、ストレージの「データ容量」を重視しましょう。多くのサービスは実際の利用状況にかかわらず、利用可能な容量の上限に応じて費用がかかるため、保管したいデータの総量に対して過剰な容量のストレージを契約すると無駄が生じます。まずは最小構成から開始して、適宜データ容量を増やせるサービスを選択するのがおすすめです。
クラウドサービスによって「機能性」は異なります。とくに、テレワークをはじめとしたハイブリッドワークへの対応が想定されるため、社内からも社外からも利用できる場所やデバイスの制限を受けないサービスを選びましょう。
高いセキュリティに対応したコンテンツクラウド
コンテンツクラウドは、ここまでに紹介してきた要件を満たし、コンテンツ単位まで解像度を上げた高いセキュリティを持ったクラウドサービスです。政府情報システムのためのセキュリティ評価制度(ISMAP)にも登録されており、国が認可したクラウドサービスのひとつです。猛威を振るうランサムウェアはデータやコンテンツそのものを人質にとり、要求をしてきます。つまり、DX時代ではシステムレベルではなく、1ファイルのレベルでセキュリティを意識する必要があるのです。コンテンツクラウドは、ランサムウェア対策はもちろんのこと、コンテンツへの異常なアクセスやうっかりミスからもコンテンツを守れる「コンテンツセキュリティ」が備わっており、金融機関のセキュリティ要件を満たします。
まとめ
クラウドシフトが必要となるDX時代に金融機関が業務コンテンツの管理にクラウドを導入するためには、高いコンプライアンス意識とそれを支える高いセキュリティ機能が不可欠です。一方で、それを満たせば、先端技術の活用やより柔軟に働けるようになるがゆえに新しいビジネスモデルの創出や、効率化と柔軟なITによるコストの削減など、多大なメリットを得られるでしょう。今後DXを推進する上で「増え続けるデータ量」「複雑化するデータやファイル管理」など、さまざまな課題に対応可能なコンテツクラウドをビジネス基盤として検討してみてはいかがでしょうか。
- トピックス:
- DX