セキュリティの実践とベストプラクティス　-日本銀行様『クラウドサービス利用におけるリスク管理上の留意点』によせて-

本Blogは、クラウドにおける新しい常識”new normal”を考えるBlogの第五弾です。
多くのお客様は、より安全にサービスを提供するために多様なセキュリティを組み込み、また規制要件を満たしていくことで組織としての説明責任を果たそうとしています。
日本銀行様では、多くの金融機関のお客様がよりクラウドを活用したイノベーションをおこし、サービスを向上するために『金融システムレポート別冊』として「クラウドサービス利用におけるリスク管理上の留意点」（以下、本別冊とします）を発表しました。本Blogでは本別冊に基づき、組織がセキュリティを実践するために必要な考え方のいくつかを示してみたいと思います。

なぜクラウドを考えるための道しるべが必要か

本別冊では、”クラウドが都市銀行等ではすべて、地方銀行、第二地方銀行等において８~９割に利用が達している現状”を踏まえ、”多くの金融機関において、システムを構築する上でクラウドは不可欠なサービスとなっている”ことを紹介しながらも、”一方で金融機関の多くがクラウドにおけるセキュリティの懸念を抱いている”ことを示しています。本別冊は金融機関の経営トップをはじめとして、クラウドの共通理解を促進するため、ITガバナンスの維持・向上を目的として作られたガイダンスとなります。本別冊では、クラウドを安全に活用するうえでの様々なベストプラクティスを紹介しており、例えば「アクセス管理」や「ネットワークセキュリティ」のような技術的な管理策もありますし、技術だけではなく組織としてより柔軟にセキュリティの対応を実践していくために、「リスク管理体制の整備」といった事例も紹介しています。特に多くの日本のお客様に注目いただきたいのは、組織面の対策です。

ベストプラクティスの活用と注意点

本別冊においては別紙において「クラウドサービス利用において必要な管理項目と具体的な取組事例」を紹介しています。管理項目は”何を実施すべきか”、取り組み事例は様々な事業者に対する聞き取り調査に基づき”どのように実践しているか”を表しています。こうした事例を参考にすることによってお客様は自組織が考慮すべき事項を網羅的に評価することができます。
本別紙はクラウドを利活用される多くのお客様に対して、例えば、組織のクラウドポリシーや組織体制を構築する上において、非常に有益な情報となります。さらに本別紙を活用いただくために、以下のような観点も考慮するとよいでしょう。
”目的”の明確化と認識の共有
本別紙に紹介される管理項目は組織がクラウドのガバナンスを確立する上で示唆を与えてくれます。一方、管理項目＝やらなければいけないこと、ととらえていくと、組織によっては従来より管理していた組織のセキュリティポリシーに単純に新たなルールが追加されることになり、より複雑なポリシー運用やセキュリティ評価が求められるようになるケースがあります。クラウドの利活用を実践してきた多くの組織によって、その過程は様々であり、また成熟度も様々です。AWSでは、お客様のクラウド利活用を”クラウドジャーニー”という言葉で表現することがありますが、その道程はお客様の風土、文化、組織のIT成熟度によって異なるため、自らの組織の将来に資する選択をする必要があります。

また、一般的に、一度確立されたルールは、組織として見直していく仕組みが確立していない限り、陳腐化や形骸化につながるケースがあります。せっかくイノベーションのためにクラウドの利活用を進めているのに、ポリシーの肥大が利活用の推進を損なってしまうケースが発生するわけです。こうした事態を避けるためには、管理項目の”目的”に着目することが重要となります。管理項目や管理策は”何をするのか、どうするのか”を示しているのみになります。”何のためにその管理項目が必要なのか”を組織の中で整理をしておくことで、従来のポリシーと重複している個所はどこか、そもそもどの程度の管理が必要なのか”を評価する視点を組織に与えてくれます。特にクラウドのように技術の進歩の早い分野においては、今日のベストプラクティスが新しいサービスの登場によって、明日にはベストプラクティスとは言えなくなる、ということも少なくはありません。管理項目や管理策自体を定期的（四半期や半期など、従来のような年次のPDCAよりも早いサイクル）で見直しながら、柔軟にその恩恵を得られるようなアンテナをはっておくことが有効です。
事例と先例の違い
本別冊では、管理項目ごとに多くの事例に基づくベストプラクティスが紹介されています。こうしたベストプラクティスを効果的にとりいれることで、組織の規模や成熟度に応じて”管理項目をどのように実現すべきか”を確立する材料となります。また、AWSには多くのお客様が実際にクラウドを活用した事例を紹介しています。こうした事例に着目し、組織に取り入れていくことも有効な手法となります。
一方、事例への過度な着目は、”クラウドを活用してイノベーションを促進”する上での障害となるケースも存在します。”事例＝先例”となってしまい、先例がないと組織として決断できない、自社にマッチする事例をいつまでも探し続けてしまうというケースです。本来であれば、事例は組織が実現したいことを考えるためのヒントを与えるものであり、IT活用を検討するプロセスのひとつにすぎません。また、事例で紹介される組織や環境は、そもそも異なる風土や文化をもっています。組織の中で自ら試しそこから得たフィードバックをもとに改善する、という組織体制を確立することは組織の成熟度を高めるうえでも必要条件となります。
共通理解の促進に対する必要性と人材の育成
本別冊はその要旨の中で、懸念の払拭に関するような「セキュリティ管理」や「可用性の管理」にあわせて、クラウドに期待されるメリットを享受するための「コスト管理」や「開発体制・人材確保」を取り上げています。”クラウドのリスク”が俎上にのぼる場合、ともするとクラウドサービス基盤に対する技術的な評価や提供するセキュリティサービスに過度に注目してしまうケースがあります。また、場合によっては”クラウドの利用にリスクが有るか、無いか”の二元論に陥ってしまうケースもあります。クラウドだけではなく、本来”リスク”を考える場合、リスクにはネガティブリスクとポジティブリスクが存在します。セキュリティに携わる場合にネガティブリスクだけに焦点をあてすぎてしまうケースが多いのですが、実際には期待されるメリットを最大化するためにポジティブリスクもあわせて評価することは非常に重要なポイントとなります。こうしたリスクを適切に考えるためには適切な人材の確保や育成が必要となります。クラウドへの理解ができる人材の確保が不十分な状態でサービスやセキュリティを評価する場合、従来のオンプレミスにおける常識が判断基準となってしまい、組織が本来求める価値を判定できない場合があります。本別冊は金融機関の経営トップをはじめとした多様な関係者の皆様に対する認識の向上が目的とされていますが、組織の必要に応じてクラウドやクラウドセキュリティを理解し、実践できる人材の育成に投資することも重要な成功要因になります。

組織として育てるべきなのは誰なのか

それでは”組織として育てるべきは誰か”という問いに関しては、経営の支持のもと、すべての階層において必要となる、ということが答えになります。しかし、当然、求められる知識や技術のレベルは異なります。従来、ITはシステム部門が管理するものであるという見方は根強く、またユーザ部門はお客様のニーズをより素早くサービスに反映させたくともITが固定化しているためにタイムリーにニーズに基づくサービス改善を実現できない、といったことがありました。
本別冊でも紹介されていますが、AWSをご利用の多くのお客様は、Cloud Center of Excellence（CCoE）を設立しています。これは単にクラウドを管理することを目的とした組織ではなく、ビジネスのニーズとサービスのマッチングや新しい技術や事例に対するアンテナ役を果たす組織となります。ITとビジネスが分断されるのではなく、組織の求めるゴールにむかって協調するための触媒になることが求められているわけです。こうした組織自体の変革の中で、セキュリティも重要な役割をしめます。様々なサービスがデジタル化される中で、”安全なサービス”はお客様の信頼を獲得する上での不可欠な要素です。
近年では、システムの設計上の問題だけではなくサービス設計においての欠陥がないかといったことも重要視されるようになっています。ビジネスフローを深く理解するユーザ部門と、ITを深くするシステム部門の協調がより求められるようになっているといえます。また、日本におけるシステム部門の現状で考えると、多くの金融機関ではITシステムの設計、開発や運用において、サードパーティーのシステムインテグレーターや関連会社に任せているケースも多くみられます。この場合、組織が求めているビジネスを促進したり、効率化させていくためのサービスの実現をITの文脈に翻訳する重要な役割をシステム部門が担うことになります。
また、ユーザ部門やシステム部門だけではなく、意思決定を担う経営層や管理職層における理解促進もあわせて必要となります。金融をとりまくビジネス環境やトレンドを踏まえ、適切なタイミングで意思決定を行うことが求められます。

AWSが提供する機会の活用

AWSでは、様々な教育機会や認定資格などを通じて、お客様のクラウドに対する知見をサポートしています。認定資格も技術者のみを対象としたものではなく、例えば、AWSの認定資格のひとつである「AWS認定 クラウドプラクティショナー」はAWSを活用してビジネスを考える様々な立場の皆様の成長を支援しています。また、私たちが提供するカンファレンスは単なる商業的なイベントとしてではなく、教育的なイベントとして位置づけられ、AWSのサービスの紹介や活用方法だけではなく、例えば海外の金融機関のCxOや規制当局などによる事例やセッションなどを含め、様々なお客様の事例等を通じてお客様が学びの場として活用いただいています。新しいサービスやイノベーションを起こすためのヒントが他業界ですでに実践されているケースもあります。こうした機会を通じて、お客様は、クラウドを通じて実現、実践するための素地をつくりあげることができます。

まとめにかえて

ISO/IEC 27001ではマネジメントレビューにおいて「ISMS に関連する外部及び内部の課題の変化」の報告を求めています。セキュリティやリスク管理においても、外部や内部の課題の変化を適切に捉え、組織に取り入れていくことが経営の一つの責務です。本別冊は、多くの金融業界のお客様にとってクラウドガバナンスの確立に資する重要な資料となります。さらなる効果的な活用のために本blogが参考となれば幸いです。

本Blogの執筆にあたり、日本銀行様 金融システムレポート別冊「クラウドサービス利用におけるリスク管理上の留意点」より引用を行いました。

このブログの著者
松本 照吾（Matsumoto, Shogo）
セキュリティ アシュアランス本部 本部長
高野 敦史（Takano, Atsushi）
金融事業開発本部 コンプライアンス スペシャリスト