【開催報告 & 資料公開】 AWS FinTech Bootcamp! – セキュリティチェックシート対応の第一歩を学ぶ

こんにちは。 Startup SA の齋藤(@koemu)です。

去る2022年11月15日、「AWS FinTech Bootcamp!」と称しまして、主に FinTech サービスを営むスタートアップ企業に所属するソフトウェアエンジニア・ IT インフラエンジニア(技術者)の方向けに、金融サービスのガイドラインに準拠してサービスを展開するための第一歩をつかむためのセミナーを開催しました。懇親会含めほぼ1日のイベントでした。参加された方は、長丁場の中ご参加いただきありがとうございました！

本記事では、セミナー開催にあたっての背景と、実際にお話をさせていただいた内容をもとに、受け身のコンプライアンス対応から、商機をつかむために技術者が積極的にガイドラインを活用していくために何をしていけばいいのかの導入部分をお話しします。

新しい商機をつかむコンプライアンス体制にするために

FinTech のサービスを展開するにあたり、サービスの提携先・連携先となる金融機関との間でセキュリティチェックシートを取り交わすことがよくあります。その際、このセキュリティチェックシートの記入が負担になっている FinTech スタートアップ企業様が多いかと存じます。

多くのケースでは、セキュリティチェックシートには、元となるガイドラインや作成企業のノウハウが含まれていることがあります。そして、その元となっているガイドラインは、さらにその業界で培われたノウハウが詰まった、ベストプラクティス集であるとも言えます。日本で金融サービスに取り組む場合、そのガイドラインとなっているのが、 公益財団法人 金融情報システムセンター(以下 FISC)が発行する、「金融機関等コンピュータシステムの安全対策基準・解説書」(以下 FISC 安全対策基準)です。

セキュリティチェックシートのチェックに従って受け身に対処するのではなく、技術者の方々がもととなるガイドラインを理解して、積極的にベストプラクティスに準拠するようなサービスの開発・運用体制を敷ける体制に近づくのか、このセミナーの目的です。こうすることで、自然とセキュリティチェックシートに書かれていることに準拠しやすくなり、新しい業務提携・連携に際しても積極的な姿勢で臨むことができるようになります。

カリキュラムの内容

この日のカリキュラムは全1日 5部構成で行いました。

まずは4班に分かれて自己紹介です。この中で、ご自身の職務内容のことばかりでなく、最近の開発やコンプライアンスに関する悩みを共有し合ったりしていただきました。

続いて、ランチタイムを挟んで3時間にわたる講義となります。講義資料もリンクしておりますので、参考にしたい方はあわせてご覧ください。

1時間目は、クラウドで開発するにあたっての Agility, Resiliency のお話、そしてそれらを担保するための AWS のサービスのご紹介をおこなっています。

• クラウドを積極活用したサービスの開発のために

2時間目は、今回のセミナーの核心である、 FISC 安全対策基準をもとにした、セキュリティチェックシートに対する回答方法についての説明になります。先ほどの説明と重なりますが、「セキュリティチェックシートを埋める」から「コンプライアンスプログラムの理解を通じて自社の統制を確立する」組織になるための第一歩を踏み出すための内容としています。

• FinTech スタートアップのセキュリティチェックシートとの向き合い方

AWSでは「金融機関向け AWS FISC 安全対策基準対応リファレンス」を公開しております。これは、責任共有モデルのうち AWS の統制領域となっている部分について AWS がどのような取り組みを行なっているか、 FISC 安全対策基準と照らし合わせながら知ることができます。それを用い、セキュリティチェックシートの回答に反映させる方法について、ハンズオン形式で学ぶというものです。
セミナーの中で、以下のフローチャートをもとに皆さまと共に手を動かしながら取り組みました。その中で、自分自身の開発・運用で取り組んでいるものが、ガイドラインのどの部分に準拠していて、どのような意味を持っているのかを具体的に知っていただける機会になったと考えています。

また、「金融機関向け AWS FISC 安全対策基準対応リファレンス」ばかりでなく、責任共有モデルの AWS 側の統制領域に関する資料、およびお客様側の統制領域に関するベストプラクティスに関する資料に、どのようなものがあるかの紹介も行いました。これらの資料を活用することで、 AWS の統制領域に関する理解を深められるばかりでなく、自社の統制領域の設計・運用のベストプラクティスを学ぶ機会に繋げていただけるようにしました。

これらを通じて、徐々に各種セキュリティ・コンプライアンスのガイドラインの知識や実践を深めていただき、最終的にはガイドラインを理解した上で当初より開発・運用が行える体制を技術者の側から積極的に行えるような形になっていただけるようにしたいと考えております。

3時間目は、1時間目と2時間目の内容を踏まえて、ホワイトボーディングセッションを行いました。みなさんが普段 AWS をお使いいただいていることを踏まえて、さらにセキュリティ・コンプライアンスを考慮した IT インフラ構成にするにはどうすれば良いのか、 AWS Startup SA からのアドバイスも受けながら議論を深めました。ここで、学びを実践に活かす機会にしていただくことができたかと思っております。途中で退席された方がいたため3班に再編成しましたが、3班とも特徴のある論点を設定してアーキテクチャを再設計されておりました。最後に全員で発表会を行い、参加者全員でさらに議論を深めました。可用性に着目した構成、 IT インフラ運用の統制を整理した構成、またデータの管理方法に留意した構成となっていました。私自身も大変参考になりました。
当日の課題はリンク先に掲示していますので、よろしければこの記事をご覧いただいている方もアーキテクチャの再構築にチャレンジしてみてください。

• ワークショップ – FinTech アーキテクチャ

最後は、受講者の方と運営のメンバーを交えて懇親会を行いました。ここ数年、懇親会自体が開催しにくかった時期があったのと、 FinTech に特化した情報交換ができる数少ない機会なのもあって、久しぶりに多くのお客様と深く会話させていただくことができました。また、その際に感想などもお聞かせいただき、大変感謝しております。今後の運営の参考にもさせていただけたら幸いです。

まとめ

ここまで、セキュリティチェックシート対応に関して、技術者の方を対象に、受け身の体制から、ガイドラインをもとに積極的な体制を構築するための第一歩を踏み出すためのセミナーを開催したことについてご紹介しました。その中で、 AWS では責任共有モデルをもとに、それぞれの統制領域に関してさまざまな情報を発信させていただいている点もご紹介させていただきました。これらがお客様のサービスの開発・運用にお役に立てば幸いです。

AWS ではコンプライアンス体制の支援も行なっています

AWS では、クラウドの基盤のご提供や技術支援ばかりでなく、お客様の事業領域に沿ったセキュリティ・コンプライアンスに関するご支援もおこなっております。 FinTech 領域におきましては、このようなコンプライアンスに関するセミナーばかりでなく、 Trusted Advisor の結果をもとにセキュリティ対策の第一歩を踏み出すためのプログラムもご用意しております。

「今回のセミナーの内容に興味がある」「セキュリティ対策をすると言っても何から始めればいいかわからない」また「具体的な実装方法について相談してみたい」などがございましたら、ぜひ担当営業までご連絡いただけましたら幸いです。

また、担当営業がいない、わからない場合は、日本担当チームがお答えします。平日 10:00〜17:00 はチャットでもお問い合わせいただけます。お問い合わせはこちらの「AWS セールスサポート」までどうぞ。

そして、2022年11月より、コワーキングスペースである AWS Startup Loft Tokyo が再開しております。あわせて、祭日を除く毎週火曜日・水曜日 13:00〜18:00 にて、対面での Ask An Expert (AAE)もオープンしております。 AAE ではひろく AWS に関する質問を承っておりますので、コワーキングスペースで業務をされつつご利用いただけましたら幸いです。利用にはこちらから事前の登録が必要です。

それでは皆様、ごきげんよう。

このブログの著者

齋藤 祐一郎 (Yuichiro Saito) @koemu

過去、バックエンドソフトウェアエンジニアとして、主に FinTech(決済・出金)や C to C マーケットプレイスのシステム開発を担当。数々のスタートアップ企業に勤務し、 IPO などを経験。
主にスタートアップ企業様の技術支援を担当している。