「⾦融機関におけるクラウド利⽤に関する 有識者検討会報告書」について 平成27年3⽉ 公益財団法⼈ ⾦融情報システムセンター Ⓒ2015 FISC All rights reserved ⽬次 はじめに クラウドについて 有識者検討会の報告書 Ⅰ クラウドの特性 Ⅱ リスク管理に関する基本的な考え⽅ Ⅲ 具体的なリスク管理策 まとめ Ⓒ2015 FISC All rights reserved 2 はじめに Ⓒ2015 FISC All rights reserved 3 ⾦融機関におけるクラウドの利⽤状況(1) わが国の⾦融業界では、システムの早期導⼊やコスト削減等の効果が期待 できるクラウドへの注⽬が⾼くなっており、その利⽤率は年々増加 「パブリッククラウド」の利⽤については、総じて慎重なスタンス (利⽤率<含む利⽤予定・検討中>は、16%) ▽ クラウド利⽤率の推移 ▽ 25年度のクラウド利⽤状況 (有効回答先数:698先) (パブリック/コミュニティ/プライベート等全体) 50% 利用予定・検討中 40% 利用中 10.5% 30% (20.8 %) クラウド 全体 パブリック クラウド 利用予定・検討中 73先 調査上 利用中 186先 区分なし 合計 259先 112先 37.1 % 16.0 % (37.1 %) 12.9% 15.3% 20% 7.9% 26.6% 10% 13.0% 16.5% 20.9% 比率 0% (母数) 22年度 23年度 24年度 25年度 (749先) (740先) (743先) (698先) (出所)FISC「⾦融機関等のシステムに関する動向及び安全対策実施状況調査結果」(平成26年10⽉)をもとに作成 Ⓒ2015 FISC All rights reserved 4 ⾦融機関におけるクラウドの利⽤状況(2) 業態別に利⽤状況をみると、⼤⼿⾏や保険会社等での利⽤が進んでいる ⼀⽅で、中⼩⾦融機関での利⽤率は低い状況 ▽ 業態別のクラウド利⽤率 全体(パブリック/コミュニティ/プライベート等) 0 20 全 体 26.6 40 60 80 1.4 9.0 0 100.0 28.6 42.9 4.8 19.0 地 銀 第二地銀 43.6 2.6 20.5 第二地銀 66.7 8.5 1.6 11.3 信 組 7.4 8.3 労 金 0.0 利用を検討 県信連 3.2 84.8 損 保 クレジット会社等 19.0 20.5 66.7 6.5 1.5 労 金 「利用中」「利用を予定」「利用を検討」の合算比率 県信連 生 保 証 券 (%) 100 57.1 その他銀行等 信 組 利用を予定 80 40.0 信 金 利用中 60 16.0 信 託 地 銀 信 金 40 都 銀 71.4 その他銀行等 20 全 体 都 銀 信 託 パブリッククラウド (%) 100 3.0 76.2 32.1 9.5 7.1 生 保 損 保 証 券 100.0 51.5 66.7 19.2 クレジット会社等 Ⓒ2015 FISC All rights reserved 5 ⾦融機関におけるクラウドの利⽤状況(3) クラウド利⽤に関し、セキュリティやサービスの信頼性に対する不安、 利⽤を決める判断基準がないといったことが挙げられている ▽ クラウド利⽤に対する懸念・不安 0 20 40 60 機密性 (%) 80 71.3 セキュリティ事故発生時の対応 ▽ クラウドの利⽤/検討なしとする理由 0 30.9 契約内容の画一性 30.7 ベンダーの監査受入態勢 サービス利用に対する 懸念・不安がある 32.6 時期尚早と考えている 32.1 29.2 監督当局の検査方針 可用性 43.3 必要と考えていない 利用を決める判断基準がない 利用による長期的コスト増加 (%) 60 40 59.7 ベンダーの事業継続性 データ所在地 20 26.2 N = 420 27.8 25.8 22.5 20.2 N = 698 Ⓒ2015 FISC All rights reserved 6 (参考)クラウド利⽤の課題(FISCヒアリング結果) ⾦融機関に特徴的な課題 ① 現時点でのクラウド利⽤のメリットは少ない(⾃社構築システムで⼗分な費⽤対効果を享受) ② 具体的な安全対策基準や監査指針が存在しない、ないし内容が不⼗分 ③ クラウド事業者に対して⼗分な統制をかけることができない ④ 利⽤終了時にデータ消去してくれるのか判然としない。新システムへの引継ぎ作業にクラウド事業 者が協⼒してくれるのか定かではない ⑤ クラウド事業者側が⾦融庁検査(施設への⽴⼊り)に協⼒するのか判然としない ⑥ クラウド事業者が⽴⼊監査に応じない。⽴⼊監査の代替となる第三者認証も標準的なものであ り、⾦融機関が検証したい事項を反映する余地がない ⑦ SLAの可⽤性基準が24時間365⽇稼働を保証せず、勘定系システムでの利⽤はできない ⼀般的な課題 ⑧ 個⼈情報保護法上、クラウド環境にあるパーソナルデータの扱いが判然としない ⑨ 重要データが内外の公権⼒により閲覧される可能性 ⑩ クラウド事業者の情報開⽰が不⼗分 ⑪ 具体的な暗号化仕様やアクセスコントロールについて照会したが、回答を得られなかった ⑫ ドキュメントの多くが英語。回答の権限が事業者の⽇本法⼈にないケースが多く不安 Ⓒ2015 FISC All rights reserved 7 ⾦融機関におけるクラウドの利⽤状況(4) パブリッククラウドは、「情報系システム」での利⽤が中⼼ (先) 0 20 営業支援システム サーバとして利用 17 スケジュール管理 18 Webサイト構築用 22 勤怠管理システム バックアップシステム 14 4 15 22 10 7 16 7 4 17 3 23 8 23 7 29 32 8 eラーニングシステム 100 39 11 33 80 38 9 29 電子メール 60 8 35 社内情報共有 基幹業務系システム 40 クラウドを「利⽤中」「利⽤予定・検討中」 の259先が回答 20 パブリッククラウド コミュニティクラウド プライベートクラウド Ⓒ2015 FISC All rights reserved 8 (参考)パブリッククラウドの利⽤事例(報告書・資料編 図表C) 資料編・図表Cに国内外の利⽤事例を掲載。検討会委員からの情報をもとに作成 (以下は、国内⾦融機関の利⽤事例から抜粋) Ⓒ2015 FISC All rights reserved 9 有識者検討会の開催 クラウド利⽤を健全に促進させていくためには、⾦融機関やクラウド事業 者をはじめとする関係者間で改めてクラウドの有する様々なメリットやリ スク、適切なリスク管理・契約管理のあり⽅等について議論し、共通の認 識と理解を持つことが必要 平成26年4⽉、「⾦融機関におけるクラウド利⽤に関する有識者検討会」 (座⻑:喜連川優 国⽴情報学研究所 所⻑)を開設 メンバーは、学識経験者や⾦融機関、クラウド事業者等の委員と官庁等 (⾦融庁、経産省、総務省、⽇本銀⾏)のオブザーバー 全6回の会合を開催 第1回(平成26年4⽉14⽇)、第2回(同5⽉16⽇)、第3回(同6⽉16⽇) 第4回(同7⽉7⽇)、第5回(同9⽉30⽇)、第6回(同10⽉20⽇) 平成26年11⽉4⽇、報告書を公表(FISCホームページに掲載) Ⓒ2015 FISC All rights reserved 10 有識者検討会の委員・オブザーバー 座 ⻑ 喜連川 優 情報・システム研究機構 国⽴情報学研究所 所⻑, 委 員 柴⼭ 悦哉 東京⼤学 情報基盤センター 情報メディア教育研究部⾨ 教授 國領 ⼆郎 慶應義塾⼤学 常任理事 慶應義塾⼤学総合政策学部 教授 上⼭ ⽇⽐⾕パーク法律事務所 弁護⼠ オブザーバー 浩 東京⼤学⽣産技術研究所 教授 ⾕崎 勝教 株式会社三井住友銀⾏ 常務執⾏役員 ⽶澤 浩樹 株式会社京都銀⾏ システム部 部⻑(第3回まで) 南地 伸昭 株式会社池⽥泉州銀⾏ 常務執⾏役員 東京⽀店⻑ 兼 東京事務所⻑(第4回から) ⼩出 哲也 第⼀⽣命保険株式会社 IT ビジネスプロセス企画部 部⻑ 飯豊 (旧)株式会社損害保険ジャパン ⽇本興亜損害保険株式会社 執⾏役員 IT 企画部⻑(第3回まで) 聡 ⻄脇 真司 損害保険ジャパン⽇本興亜株式会社 IT 企画部⻑(第4回から) 阪上 啓⼆ 野村ホールディングス株式会社 IT 統括部 マネージング・ディレクター 岩崎 株式会社セールスフォース・ドットコム 専務執⾏役員 明 渡辺 弘美 アマゾン ジャパン株式会社 渉外本部 本部⻑ ⼩池 裕幸 ⽇本アイ・ビー・エム株式会社 クラウド事業統括 執⾏役員 古川 公⼀ エヌ・ティ・ティ・コミュニケーションズ株式会社 常務取締役 ソリューションサービス部⻑(第3回まで) ⽥中 基夫 エヌ・ティ・ティ・コミュニケーションズ株式会社 取締役 前⽥ 株式会社⽇⽴製作所 情報・通信システム社 技師⻑ 章 中村 元彦 ⽇本公認会計⼠協会 常務理事(IT 担当) 郡⼭ ⾦融庁 検査局 総務課 システムモニタリング⻑ 統括検査官 信 クラウドサービス部⻑(第4回から) 志村 秀⼀ ⽇本銀⾏ ⾦融機構局 考査企画課 システム・業務継続グループ⻑ 企画役 ⾚阪 晋介 総務省 情報流通⾏政局 情報流通振興課 情報セキュリティ対策室 室⻑ 上村 昌博 経済産業省 商務情報政策局 情報セキュリティ政策室 室⻑ Ⓒ2015 FISC All rights reserved 11 (参考①)クラウドに関するFISCの取組み 時期 平成21年度 平成23年 1⽉〜7⽉ 平成23年 5⽉〜7⽉ 平成23年度 平成23年7⽉ 取組み内容 クラウドコンピューティング研究会 クラウドコンピューティングに関する⾦ 融庁検査局・FISC共同調査及び 合同説明会 4⽉〜10⽉ 報告書「クラウドコンピューティングの課題と展望」 (『⾦融情報システム』平成22年春号) 講演録 ①「FISC調査からみたクラウドコンピューティングの現状」 ②「⾦融機関におけるクラウドサービス利⽤の実態」 (『⾦融情報システム』平成23年秋号) 東⽇本⼤震災からの復旧における クラウドサービスの利⽤状況調査 ⾦融機関におけるクラウドコンピュー ティングの利⽤動向に関する研究会 安全対策専⾨委員会/検討部会 〜平成25年2⽉ 平成25年 成果物 調査レポート「今次震災からの復旧におけるインターネット、 クラウドサービス利⽤に関するノート」 (『⾦融情報システム』平成23年秋号) 報告書「⾦融機関におけるクラウドコンピューティングの セキュリティ確保と外部委託管理」 (『⾦融情報システム』平成24年冬号) 『⾦融機関等コンピュータシステムの安全対策基準・解説書 (第8版追補)』(平成25年3⽉発刊) ⾦融機関がクラウドを利活⽤する際 の課題等についての調査 調査レポート「⾦融機関のクラウド利活⽤に関する規制監督動 向及び課題について」 (『⾦融情報システム』平成26年冬号) Ⓒ2015 FISC All rights reserved 12 (参考②)クラウドに関するFISCの取組み(安全対策基準の策定) 平成25年3⽉にFISC安全対策基準の改訂 (第8版追補)を⾏い、クラウドサービス 利⽤に係る基準を提⽰【運⽤基準108】 【運 108】 クラウドサービスの利用にあたっては、適切なリスク管理を行うこと。 1.クラウドサービスを利用するにあたっては、外部委託管理の考え方に準じて適切なリスク管理が 必要である。 2.管理すべき事項としては、以下のようなものがある。 (1) クラウドサービスを利用する場合の目的や範囲等の明確化【運 87】 (2) クラウド事業者の選定手続きの明確化 【運 87-1】 (3) 委託する形式に関わらず、安全対策に関する項目を盛り込んだ契約の締結 【運 88】 契約には、クラウド事業者との間の管理境界や責任分界点に関する取決めを盛込むこと。 暫定基準 序(抜粋) なお、クラウドサービスは⽇々進歩しており、コスト削 減や短期間での導⼊等のメリットがある反⾯、重要業 務への利⽤や特有のリスクも想定されることから、今回 の改訂は、顕在化している課題・問題点に対する当 ⾯の暫定的な対応であり、最終形ではないことに留 意していただきたい。 取り決めるべき事項としては、例えば以下のようなものがある。 ①セキュリティ管理方法及び体制 【運 1、運 3】 ②システム管理体制、データ管理体制、ネットワーク管理体制 【運 4~運 6】 ③障害時・災害時のマニュアル整備、復旧手順、及び教育・訓練 【運 15、運 63、運 83】 ④クラウドサービスを利用するためのデータのバックアップ 【運 27】 ⑤クラウドサービスの利用を中止または終了する場合のデータ消去 【運 75】(注) また、必要に応じて、「サービスを利用するための契約」とは別に「リスク管理に関する契約」を締 結することも考えられる。 (注) クラウドサービスの場合、各システムリソースはクラウド事業者の資産であることが一般的 であり、金融機関等が自身でデータを消去することが困難な場合も想定される。その場合、デ ータ消去はクラウド事業者が実行し、その証明書等を受領することも考えられる。 (4)クラウド事業者との間で係争が生じた場合の準拠法や、これを取り扱う裁判所に関する取決めが 他国である場合のリスク評価。 評価すべきリスクとしては、例えば以下のようなものがある。 V. 運⽤基準 (XIV) クラウドサービスの利⽤ クラウドサービスは、そのシステム構成や契約形態等 が、⾃社構築システムや共同センター等とは異なること が⼀般的であり、それに起因してリスクの所在も異なると されている。 ⾦融機関等は、情報システム戦略等の策定に際し、 クラウドサービスを利⽤する場合には、そのリスク管理に 関する事項について⼗分に検討することが重要である。 ①現地の各種法制や裁判制度の把握と分析 ②現地での活動資格を有する弁護士の確保 ③地理不案内な遠隔地での打合せや出廷などに伴う経済的、人的負担 ④上記すべてについての外国語での対応 等 3.利用しているクラウドサービスについて、有効性、効率性、信頼性、遵守性、及び安全性の面から 把握、評価するため、システム監査を実施することが必要である。 システム監査については【運 90、運 91】を参照のこと。 4.本基準項目で参照していない、設備基準や技術基準、及び外部委託管理以外の運用基準につい ても、必要に応じて参照すること。 5.参照している各基準に「委託契約」という文言がある場合は、「利用契約」や「利用規約」等の「サ ービスを利用するための契約」に読み替えて参照のこと。 Ⓒ2015 FISC All rights reserved 13 クラウドについて Ⓒ2015 FISC All rights reserved 14 クラウドの定義 「クラウドコンピューティングは、共⽤の構成可能なコンピューティングリソース(ネットワーク、 サーバー、ストレージ、アプリケーション、サービス)の集積に、どこからでも、簡便に、必要に応じ て、ネットワーク経由でアクセスすることを可能とするモデルであり、最⼩限の利⽤⼿続きまたは サービスプロバイダとのやりとりで速やかに割当てられ提供されるものである。このクラウドモデルは 5つの基本的な特徴と3つのサービスモデル、および4つの実装モデルによって構成される。」 ・・・ ⽶国NIST(国⽴標準技術研究所)の定義 ・オンデマンド・セルフサービス 5つの 基本的な特徴 ・幅広いネットワークアクセス ・リソースの共有 ・スピーディな拡張性 ・サービスが計測可能であること 3つの サービスモデル ・SaaS (Software as a Service) ・PaaS (Platform as a Service) ・IaaS (Infrastructure as a Service) ・プライベートクラウド 4つの 実装モデル ・コミュニティクラウド ・パブリッククラウド ・ハイブリッドクラウド (出所)IPAのNIST⽂書翻訳 Ⓒ2015 FISC All rights reserved 15 クラウドの基本的な特徴 ① ② ③ オンデマンド・ セルフサービス ユーザーは、サーバーの稼働時間やネットワークスト レージ等を、必要に応じて、⾃動的に、⾃ら設定可能 幅広いネットワーク サービスはネットワーク上で標準的な仕組みによりアク アクセス セス可能。モバイルやタブレット等から利⽤が可能 リソースの共有 リソースは集積され、マルチテナントモデルで提供。 ユーザーの需要に応じてダイナミックに割り当て可能 ④ スピーディな拡張性 需要に応じて、迅速にリソースの拡⼤・縮⼩ができる ⑤ サービスが計測可能 サービスの利⽤状況が計測され、利⽤者に可視化される であること (従量課⾦制) Ⓒ2015 FISC All rights reserved 16 クラウドのサービスモデル ユーザー側で⽤意・カスタマイズ SaaS PaaS IaaS アプリケーション OS、ミドルウェア サービス サービス ハードウェア サービス Ⓒ2015 FISC All rights reserved 17 クラウドの実装モデル 単⼀機関内で利⽤ 特定組織間で共⽤ 不特定多数で共⽤ ハイブリッドクラウド 2つ以上のクラウド(プライベート/コミュニティ/パブリック)を組合わせた形態 Ⓒ2015 FISC All rights reserved 18 有識者検討会の報告書 Ⓒ2015 FISC All rights reserved 19 「⾦融機関におけるクラウド利⽤に関する有識者検討会報告書」の構成 はじめに Ⅰ クラウドの特性 1.クラウドの定義 2.クラウドのメリットとリスク Ⅱ リスク管理に関する基本的な考え⽅ 1.クラウドの利⽤・リスク管理に係るポリシー等の策定 2.リスクベースアプローチの適⽤ Ⅲ 具体的なリスク管理策 1.リスク管理策 2.クラウド事業者に対する監査等 3.インシデント発⽣時の対応 おわりに 資料編 Ⓒ2015 FISC All rights reserved 20 本検討会におけるクラウドの定義 本検討会では、資源共有型スキームの⾊合いが最も強い 「パブリッククラウド」を対象 パブリッククラウドは、実質的に業務を営むために必要な 情報処理の事務をクラウド事業者に委託する関係 ⾦融庁の監督指針における外部委託の定義(次スライド) 諸外国の⾦融監督当局等の⾒解 クラウドは「外部委託」の⼀形態として扱う Ⓒ2015 FISC All rights reserved 21 (参考)⾦融庁監督指針における外部委託の定義 ▽ 「主要⾏等向けの総合的な監督指針」(III-3-3-4 外部委託)より抜粋 銀⾏が、その業務を第三者に委託すること(以下「外部委託」という。)は、経 営の効率化を図ることにとどまらず、より専⾨性を有する者に業務を委託すること で、多様な顧客ニーズへの対応や急速な技術⾰新を踏まえた迅速な対応等を図るこ とも期待できる。しかしながら、銀⾏が外部委託を⾏う場合には、顧客を保護する とともに、外部委託に伴う様々なリスクを適切に管理するなど業務の健全かつ適切 な運営を確保することが求められることから、法令により、銀⾏は委託業務の的確 な遂⾏を確保するための措置を講じなければならないとされている(法第12条の2 第2項、施⾏規則第13条6の8)。 以下に⽰す観点は、外部委託が⾏われている場合の⼀般的な着眼点であるが、委 託業務の内容等に応じ、追加的に検証を必要とする場合があることに留意するもの とする。 (注1) 外部委託には、銀⾏がその業務を営むために必要な事務を第三者に委託 することを含む(形式上、外部委託契約が結ばれていなくともその実態にお いて外部委託と同視しうる場合や当該外部委託された業務等が海外で⾏われ る場合も含む。)。 <以下略> Ⓒ2015 FISC All rights reserved 22 クラウドのメリット コスト削減 納期・システム開発期間の短縮 ▽ クラウド利⽤の想定されるメリット システム運⽤負担の軽減 拡張性・柔軟性 (スモールスタート、⼀時的使⽤) オンデマンドセルフサービス (無駄な資源利⽤の排除) 利便性や機能の向上 0 20 40 50.3 システム開発コストの低減 43.1 システム導入までの リードタイムの低減 34.1 可用性の向上 21.5 18.6 8.7 機密性の向上 7.0 その他 6.3 業務継続性 Ⓒ2015 FISC All rights reserved 80 60.2 キャパシティの柔軟性 (ネットワーク、サーバー、ストレージ等) 無回答 (%) 60 システム運用コストの低減 システム廃止の容易性 (新技術の導⼊スピードの速さ、 モバイル・SNSとの親和性) (FISCアンケート調査) N = 698 23 クラウドのリスク 分類 リスク(例) 概要 法制度 法制度の違いによる影響 海外当局の規制を受ける可能性 個⼈データの移転に⽀障が⽣ずるリスク 技 術 情報漏洩リスク データの完全消去の困難性 ネットワークでの伝送中のデータ漏洩 運 ⽤ リアルタイム性、可⽤性への 懸念 他ユーザーのトラフィックの影響によるリソー ス不⾜、レスポンス悪化・システム停⽌ インシデント対応の不⼗分性 事業者が、個別ニーズに応じたユーザーサ ポートに消極的な場合もある ガバナンス (注)詳細は、報告書の資料編・図表F「⾦融機関のクラウド利⽤において考慮すべきリスク」に整理 (留意点)クラウドの技術は⽇々進化しており、リスクが低減される可能性が ある⼀⽅で、新たなリスクが出現することも考えられる Ⓒ2015 FISC All rights reserved 24 リスク管理に関する基本的な考え⽅ (第Ⅱ章) Ⓒ2015 FISC All rights reserved 25 1.クラウドの利⽤・リスク管理に係るポリシー等の策定 経営陣の関与のもと、基本的な利⽤⽅針やリスク管理に係る⽅針を 策定することが重要 ①クラウド利⽤に係るポリシー クラウド利⽤の⽬的、クラウドに移⾏する業務・システムの範囲の明確化 クラウドに係るリスクアペタイト(選好度) ②クラウド導⼊に関する全社的な意思決定プロセス システム部⾨やシステムリスク管理部⾨が関与・把握していないところで、 ユーザー部⾨がクラウドを導⼊し、重要なデータが社外に保存され管理対象 外となるリスクを避ける ③クラウドのリスク管理に係るポリシー 既存の外部委託管理に係る⽅針・基準の勘案 定期的なリスク管理策の実効性検証 Ⓒ2015 FISC All rights reserved 26 2.リスクベースアプローチの適⽤ 可⽤性・機密性等の切り⼝で業務・システムの重要度を評価 重要度に応じてリスク管理策のレベルを設定 【重要度の評価軸・項⽬】 <評価軸> 可⽤性 機密性 完全性 <評価項⽬> 【重要度の評価項⽬】 取扱データの種類 復旧許容時間 障害時の影響範囲 使⽤範囲 【システムの重要度】【リスク管理策のレベル】 ⾼ 厳格 中 ・・・・ 低 簡易 ⾦融機関によっては、独⾃の評価 経営判断のもと、適切なリスク 項⽬で重要度を評価 管理策を策定 Ⓒ2015 FISC All rights reserved 27 重要度からみたシステム/データ分類例 例えば、 「システムの可⽤性」 可⽤性 「データの機密性」 ⾼ の2軸により重要度を 評価(コア/セミコア/ 勘定系、ATM インターネット取引 保険⾦⽀払 注⽂・約定処理 等 ノンコアIT領域) ⾼ 機 密 性 低 収益管理 ⼈事給与 営業⽀援 リスク管理 等 スケジュール管理 社内情報共有 福利厚⽣ OA 等 顧客の資産・ 財務内容 会社の⾮公開情報 営業秘密 等 ⾮公開情報であるが、 漏洩しても影響が⼤きく ない情報(従業員数等) 低 開⽰情報 Ⓒ2015 FISC All rights reserved 28 リスクベースアプローチによるリスク管理策の設定(例) 例①:複数の軸(可⽤性・機密性)の総合的評価に基づくリスク管理策 (監査等に係るレベル) システムの重要度 可⽤性・機密性 の総合的評価 リスク管理策のレベル ⾼(コアIT領域) ⾦融機関主導の監査等が必要 中(セミコアIT領域) 部分的に⾦融機関主導の監査等が必要 低(ノンコアIT領域) クラウド事業者主導の監査等で可 例②:1つの軸に基づくリスク管理策 (可⽤性はSLA、機密性はデータ消去に係るレベル) システムの重要度 可⽤性 機密性 リスク管理策のレベル ⾼ ⾃社の求める稼働率・サービスレベルに応じたSLAが必要 低 クラウド事業者提⽰の標準的約款に基づき契約 ⾼ 契約終了時には、復元不可能な物理的消去・論理的消去が必要 低 データ消去は必須ではない Ⓒ2015 FISC All rights reserved 29 具体的なリスク管理策 (第Ⅲ章) Ⓒ2015 FISC All rights reserved 30 具体的なリスク管理策 ■ 第Ⅲ章は、以下の3つのパートで構成 「1.リスク管理」 クラウド事業者の選定やそのシステム・データに関する実態把握 → できるだけブラックボックスの部分が残らないようにする 「2.クラウド事業者に対する監査等」 クラウド事業者側における管理・運⽤が実効的に⾏われているかの検証 (監査・モニタリング) 「3.インシデント発⽣時の対応」 ■ 各リスク管理項⽬毎に、厳格な管理策と簡易な管理策の事例を記述 「a. 管理策」 「b. 簡易なリスク管理」 厳格で⾼⽔準のリスク管理の適⽤例を記載 (概ね「コアIT領域」に対応) システム・業務の重要度に応じてリスク管理を簡易化していく 考え⽅を記載 (概ね「セミコアIT領域」・「ノンコアIT領域」に対応) Ⓒ2015 FISC All rights reserved 31 リスク管理策の全体像 ⼊⼝管理 利⽤検討時 クラウド 利⽤・ リスク 管理の ポリシー 策定 ・事業者選定 ・データの所在 1. 中間管理 契約締結時 運⽤時 ・サービスレベル ・情報開⽰ ・複数事業者 ・再委託先管理 ・⽴⼊監査 ・モニタリング ・第三者監査 ・⾦融監督当局による検査等 出⼝管理 契約終了時 2. ・データ消去 ・ベンダーロックイン ・データ暗号化等 ・記憶装置等の障害・交換 3. インシデント発⽣時の対応(事前対策と事後対策) Ⓒ2015 FISC All rights reserved 32 具体的なリスク管理策 「1.リスク管理」 Ⓒ2015 FISC All rights reserved 33 リスク管理策の⼀覧 (クラウド利⽤検討時) ①事業者選定(クラウド事業者に対するデューデリジェンス) ②データの所在 (クラウドサービス契約締結時) ③サービスレベルの合意 ④クラウド事業者からの情報開⽰ ⑤複数のクラウド事業者への委託 ⑥再委託先管理 以降のスライドで、各リスク管理策 (①〜⑩)のポイントを説明 【想定されるリスク】 (クラウドサービス運⽤時) ⑦データ暗号化等 ⑧記憶装置等の障害・交換 (クラウドサービス契約終了時) ⑨データ消去 ⑩ベンダーロックイン <考慮点> ⾦融機関とクラウド事業者のスタンスの相違 【管理策】・・・ 厳格なリスク管理 【簡易なリスク管理】 Ⓒ2015 FISC All rights reserved 34 ①事業者選定(クラウド事業者に対するデューデリジェンス)(1) 【想定されるリスク】 クラウドの機能やサービスが、⾦融機関が期待した⽔準に満たないリスク クラウド事業者の破綻等により、継続的なサービスが受けられなくなるリスク 不適切な事業者に業務を委託することによるレピュテーションリスク 【管理策】 業務に求められるリスク管理レベルを検討のうえ、その実現が可能なク ラウド事業者を選定 クラウド事業者の資質・業務遂⾏能⼒に関する情報や内部統制・リスク 管理の状況等をもとにデューデリジェンスを実施 ⇒ 次スライド サービスに対する評判や実績等も踏まえた多⾯的な評価 【簡易なリスク管理】 クラウド事業者の公開情報や業界における評判や実績等による、客観的な 評価にとどめることも考えられる Ⓒ2015 FISC All rights reserved 35 ①事業者選定(クラウド事業者に対するデューデリジェンス)(2) ▽ デューデリジェンス時の重要な評価項⽬ (例) 1.クラウド利⽤を想定する業務に係る実績、技術⼒ 2.事業継続性(経営体⼒・収益⼒、⼈的基盤、経営者の資質・ビジネス戦略、被災時の BCM・データのバックアップ) 3.サービスの可⽤性・データの安全性(機密性保護)・完全性 4.クラウド事業者内の内部統制やリスク管理等に関する状況(再委託先管理も含む)、外部 監査の受検や各種認証の取得状況 5.情報開⽰姿勢 6.⽴⼊監査の受⼊に関する⽅針 7.データの所在(データが保管される場所、または保管の可能性がある場所) 8.既存システムとの連携・新システムへのデータ移⾏等の容易性 9.サポート体制(サポートデスク、障害発⽣時の対応<トレーサビリティの確保等>) 10.インシデントが発⽣した場合の想定損害額(直接損害・間接損害)とクラウド事業者側が 提⽰する損害賠償・補償上限額とのバランス 11.利⽤廃⽌時の対応(ベンダーロックインリスク対応、データ消去等) 12.個⼈データの取扱いの全部⼜は⼀部をクラウド事業者に⾏わせることを内容とする契約を 締結する場合は「⾦融分野における個⼈情報保護に関するガイドラインの安全管理措置等 についての実務指針」のⅢに定める個⼈データ保護に関する委託先選定の基準」に準拠対 応可能か Ⓒ2015 FISC All rights reserved 36 ②データの所在 【想定されるリスク】 クラウド利⽤に関し紛争が⽣じた際に、どの国の法律が適⽤されるか 把握できないリスク 現地の公権⼒による捜査⽬的でデータが差し押さえられるリスク <⾦融機関のスタンス> リスク管理の観点からできるだけ詳細 に所在地を把握したい <クラウド事業者のスタンス> 社内ポリシーにより、データセンターの所在 地の開⽰はできない 分散保管で物理的な保管場所が特定できない 【管理策】 クラウドサービスに適⽤される法令が特定できる範囲で所在地域(国、 州等)を把握 インシデント発⽣時にデータセンター等への⽴⼊が必要となる場⾯では、 必然的に具体的な所在地を把握 【簡易なリスク管理】 重要でない業務を委託する場合は、データ所在の情報は重要でない Ⓒ2015 FISC All rights reserved 37 ③サービスレベルの合意(1) 【想定されるリスク】 クラウド事業者が提供する標準的な契約では、業務の重要度に照らし、 サービスレベルとリスク管理が不⼗分となるリスク <⾦融機関のスタンス> 個別の要求事項をサービスレベルとし て保証してほしい <クラウド事業者のスタンス> 資源共有型のサービスであり、個別の要求 には応えにくい 【管理策】 契約書やSLA(サービスレベル合意)等に、次スライドの(例)のよう な事項を盛り込む 業務のプロファイルに応じて、この例にとどまらず項⽬や内容の追加・ 変更することも検討 【簡易なリスク管理】 重要でない業務を委託する場合は、クラウド事業者が⼀般的に提⽰する標 準的な契約・SLAのみで締結を⾏うことも考えられる Ⓒ2015 FISC All rights reserved 38 ③サービスレベルの合意(2) ▽ 契約・SLA・SLOに盛り込むべき事項(例) 1 契約⼀般条項(⽤語の定義、役割分担、責任範囲、債務不履⾏時の損害賠償範囲、準拠法、 裁判管轄等) 2 個別契約条件(サービス内容、料⾦、期間など)、サービス仕様(リソースの割当て等 <仕様上の制限や変更に必要な時間等>)、データ保護の管理策(データ暗号化等) サービスレベル項⽬ ①システム運⽤:可⽤性、信頼性、性能、拡張性 3 ②サポート:障害対応、問合せ対応 ③データ管理:利⽤者データの保証についての⾔及 ④統制環境:再委託先(再々以下の階層の先を含む)管理、機密保護・良好な統制環境 の維持義務 4 サービスレベル未達の場合の対応 5 情報開⽰範囲、監督当局等による検査等への協⼒義務、⾦融機関による監査受⼊、 事業者と利⽤者間の報告・連絡等の運営ルール、インシデントレスポンスの取扱い 6 反社会的勢⼒・テロ組織と関わりがないことの表明保証 7 利⽤終了時の原状復帰・新システム移⾏時の協⼒義務、データの返却・消去等 8 損害賠償や補償 9 クラウド事業者のリソース上のアプリケーションを利⽤する過程で⽣成された成果物の 知的財産権の帰属(または帰属割合) Ⓒ2015 FISC All rights reserved 39 ④クラウド事業者からの情報開⽰ 【想定されるリスク】 クラウド事業者の業務遂⾏やセキュリティ管理体制に関する情報が得られ ず、適切なリスク管理ができないリスク ⾦融機関の社会的責任の重⼤さに対応した説明責任が確保できないリスク <⾦融機関のスタンス> できるだけ多くの情報開⽰が必要 <クラウド事業者のスタンス> 必要最低限の公開情報で⼗分ではないか 【管理策】 平常時における標準的な情報開⽰内容の明記 クラウド事業者の対応負担に配慮することが望ましい ⾦融機関から情報開⽰請求があった場合、その必要性の説明が合理的 である限り、両者協議のうえ、クラウド事業者は開⽰に応じる リスク顕在化時は、クラウド事業者は⾦融機関からの開⽰請求に応じる リスク管理に直結する事項(データフロー、暗号化、ログ取得状況等) は⼗分に把握しておく必要 【簡易なリスク管理】 リスク管理に直結する事項等の情報を詳細かつ厳格に求める必要はない Ⓒ2015 FISC All rights reserved 40 ⑤複数のクラウド事業者への委託 【想定されるリスク】 複数の事業者がサービスに関与している場合、インシデント発⽣時に各事 業者が⾃らの責任の所在を認めず、責任の擦り付け合いが⽣じるリスク (⇒ その結果、障害の状況把握や復旧対応が遅延) 【管理策】 ⾦融機関・クラウド事業者間での責任関係を明確化 ⼀元的な窓⼝機能・相互調整機能を担う事業者(メインコントラク ター)の策定 委託元金融機関 委託元金融機関 メインコントラクター 事業者A 事業者B … 事業者N 事業者A 事業者B … 事業者N 【簡易なリスク管理】 メインコントラクターを不要とする場合も考えられる Ⓒ2015 FISC All rights reserved 41 ⑥再委託先管理(1) 【想定されるリスク】 業務遂⾏能⼒が不⼗分な再委託先がサービスに従事するリスク 不適切な再委託先との関与によるレピュテーションリスク <⾦融機関のスタンス> 再委託先に対する管理は必要 再委託先の事前承認を⾏いたい。ただ、 全ての再委託先の事前承認は現実的か? <クラウド事業者のスタンス> 再委託先の数は膨⼤で、全ての事前承認をと ることは⾮現実的 事業者側で厳格な審査を⾏っているので⼗分 【管理策】 再委託先に対する適切な事前審査 ⇒ 次スライド 損害賠償も含めた責任の明確化(再委託先が問題を発⽣させた場合) 再委託先の義務の明確化(委託先が⾦融機関に対して負う報告義務、 内部統制確保義務などは再委託先も負う) 再委託の中⽌の扱い(業務遂⾏能⼒に問題視し得る状況が⽣じた場合) Ⓒ2015 FISC All rights reserved 42 ⑥再委託先管理(2) 再委託先に対する適切な事前審査 クラウド事業者による審査・管理がより実効的な場合は、クラウド事業 者側の事前審査で代替することも可 (この場合、再委託先のリスト提出や事前承認等のプロセスは省略可) 特に重要な業務(勘定系や機密性の⾼い顧客データを保管するシステム 等)を再委託する場合は、⾦融機関⾃らが事前審査 委託元⾦融機関 業務委託 クラウド事業者 事前審査 両者のうち、より実効性の⾼い 審査・管理を⾏える⽅が実施 再委託 再委託先 Ⓒ2015 FISC All rights reserved 43 ⑥再委託先管理(3) 【簡易なリスク管理】 再委託先に委託する業務の内容により、再委託先に対する委託元⾦融機関に よる事前審査や⽇常のモニタリング等のリスク管理を簡易化することが可 簡易化できる条件 委託元⾦融機関 業務委託 クラウド事業者 再委託 簡易なリスク管理 チェック項⽬、頻度・深度 の軽減化など ・ リスク管理 ・ インシデント対応 ⇒ クラウド事業者が実施 重要でない業務の再委託 再委託先 (注)ただし、反社会的勢⼒等 については、社会的に厳格な 対応が求められる Ⓒ2015 FISC All rights reserved 44 ⑦データ暗号化等 【想定されるリスク】 顧客情報や機密情報など重要データが漏洩するリスク <⾦融機関のスタンス> 重要データの暗号化は重要 <クラウド事業者のスタンス> アプリケーションによっては、暗号化は困難。 無理に暗号化するとパフォーマンスが劣化 【管理策】 蓄積・伝送データの暗号化 機密性の⾼い個⼈データ等が含まれるデータは、暗号化等が必要 暗号鍵の管理主体 クラウド事業者に暗号鍵の管理を委ねる場合は、管理策を把握し、リス ク管理のポリシーに合致しているかを検証 暗号化の代替策 トークン化(データを無作為な乱数に置き換え、実質的に無意味化)等 【簡易なリスク管理】 重要データを扱わない場合、暗号化等を⾏わないことも考えられる Ⓒ2015 FISC All rights reserved 45 ⑧記憶装置等の障害・交換 【想定されるリスク】 利⽤契約中、クラウド事業者において、記憶装置の故障により機器交換を ⾏う場合、元の記憶装置に機密性の⾼いデータが残存しているリスク 【管理策】 交換された元の記憶装置等において実際にデータが格納されていた可能 性のある記憶媒体上のデータの物理的消去(消磁等)または論理的消去 を実施 クラウド事業者の施設外に搬出される前に物理的消去の作業を実施 復元不可能としたうえで持ち出すといった点を、あらかじめ契約書また はSLA等に明記 【簡易なリスク管理】 重要なデータを扱わない場合は、記憶装置等の交換に際し、データの消 去・破壊を必要としない Ⓒ2015 FISC All rights reserved 46 ⑨データ消去 【想定されるリスク】 クラウドの利⽤後も機密性の⾼いデータが残存するリスク <⾦融機関のスタンス> 契約終了時に確実にデータ消去 ディスクの破壊(物理的消去)と消去 証明書の発⾏が必要 <クラウド事業者のスタンス> 資源共有型のサービスのため、契約終了時 に物理的に破壊することは不可能 全ディスクの消去証明書発⾏は⾮現実的 【管理策】 データ消去(物理的消去 or 論理的消去)をクラウド事業者が実施し、 その消去証明書を受領 (消去証明書の発⾏・取得の代替として、以下の扱いも可) クラウド事業者によるデータ消去の実施を契約書に記載し、かつ消去プロ セスの適切性を外部の第三者が監査等において併せて検証 【簡易なリスク管理】 重要なデータを扱わない場合は、データ消去プロセスを簡略化または不要 とすることも考えられ、消去証明書も不要 Ⓒ2015 FISC All rights reserved 47 ⑩ベンダーロックイン 【想定されるリスク】 クラウド事業者や⾦融機関の⽅針変更によってサービス利⽤が困難になっ た場合に、他のシステムに円滑に移⾏することができなくなるリスク 【管理策】 契約の中断・終了に伴うシステム移⾏を考慮した準備 クラウド事業者側の協⼒義務 ・・・以下の内容を契約に記載 新しい委託先等に移⾏すべきデータを抽出する⽅法をクラウド事業者 が提供 クラウド事業者は、実際の移⾏作業に協⼒ 移⾏データの抽出⽅法と実際の移⾏作業内容をサービス利⽤前に把握 様々なケースを想定した移⾏作業の費⽤負担について契約上定めておく 【簡易なリスク管理】 重要な業務を委託しない場合は、クラウド事業者の協⼒を前提とせず、別 の事業者に移⾏するための準備をしておくことをもって⼗分とする Ⓒ2015 FISC All rights reserved 48 具体的なリスク管理策 「2.クラウド事業者に対する監査等」 Ⓒ2015 FISC All rights reserved 49 クラウド事業者に対する監査等に関する論点イメージ 監査法⼈等 ⾦融監督当局 検査 第三者監査 A C 代替 ⽴⼊監査・モニタリング 委託元⾦融機関 クラウド事業者 訪問調査 B Ⓒ2015 FISC All rights reserved 第三者認証 再委託先 50 A. 委託元⾦融機関による⽴⼊監査・モニタリング(1) <⾦融機関のスタンス> ・委託業務が適切に運営されているか定期的 な検証を要する ・情報提出依頼のみで⼗分検証できない場合、 クラウド事業者のオフィスやデータセン ターへの⽴⼊監査・モニタリングを実施 <クラウド事業者のスタンス> ・セキュリティ上の観点から、⽴⼊を認め ることに消極的な姿勢を⽰す先もある ・クラウド事業者側で⾏う第三者による監 査結果をもって代替できる 【重要業務を委託する場合の運⽤】 ⽴⼊監査等の権利を業務委託契約に明記 平常時には、スキルのある外部の第三者による検証により代替可 ⇒「第三者監査」 但し、3つの要件あり(①検証項⽬、②検証の担い⼿、③検証の機動性) ⽴⼊監査等の受⼊対応費⽤に関する事前協議 再委託先への⽴⼊監査等の権利(再委託する業務が重要な場合) ⽴⼊監査等の指摘事項の対応について契約上明記 Ⓒ2015 FISC All rights reserved 51 A. 委託元⾦融機関による⽴⼊監査・モニタリング(2) ▽ 「第三者監査」に係る3つの要件 要 件 ①検証項⽬ ②検証の担い⼿ 内 容 ⼀般的なシステムリスクに係る項⽬に加え、⾦融機関 の検証ニーズもカバーした項⽬である 検証を担う第三者監査⼈がクラウド事業者から独⽴し た⽴場にあり、検証能⼒が⼗分である (注)検証の担い⼿の独⽴性確保や実効性の低下防⽌のための対策は、 報告書の「図表20」を参照 ③検証の機動性 クラウド技術に関する重⼤な脆弱性が判明した場合な どに臨時の第三者監査を⾏える Ⓒ2015 FISC All rights reserved 52 A. 委託元⾦融機関による⽴⼊監査・モニタリング(3) 【簡易なリスク管理】 重要度が⾼くない業務を委託する場合の運⽤ ・・・ 委託元⾦融機関による⽴⼊監査や(その代替である)第三者 監査の代わりに、以下の運⽤が考えられる 必要な監査項⽬をカバーし、内容が⼗分に有効と判断できる 「第三者認証」 のレポートの活⽤ 重要度によっては、クラウド事業者が準備するセキュリティ・ ホワイトペーパー等の活⽤ Ⓒ2015 FISC All rights reserved 53 A. 報告書における『第三者監査』と『第三者認証』の区別 第三者監査 第三者認証 ⾦融機関主導 クラウド事業者主導 ⾦融機関⾃らが⾏う「監査」の代 替として、⼀定の要件を満たす監 査法⼈等が⾏う監査 ISMS(情報セキュリティマネジメントシステム) やプライバシーマークのように、⼀定の基 準を満たしたものに与えられる「認証」 (留意点) クラウド事業者が外部の第三者監査⼈から受ける「SOCレポート」(受託業務に係る内部 統制の保証報告書)等の結果についても、本報告書では「第三者認証」と位置づけ Ⓒ2015 FISC All rights reserved 54 A.(参考)第三者認証の例 制度 運営主体 概要 国際標準化機構 (ISO) 国際電気標準会議 (IEC) ■情報セキュリティマネジメントシステム(ISMS)を確⽴、導⼊、運⽤、監 視、レビュー、維持及び改善するためのモデルを提供するために作成 ■ISMSの認証基準JIS Q 27001:2006(ISO/IEC 27001:2005)は、 ISMS適合性評価制度において、第三者である認証機関が本制度の認証を希望 する組織の適合性を評価するための基準 ⽶国公認会計⼠協会 (AICPA) ■ 5つの原則(セキュリティ、可⽤性、処理のインテグリティ、機密保持、プ ライバシー)に関する内部統制状況について監査⼈が評価するもの ■ 評価基準は「AICPA Guide」(Reporting on Controls at a Service Organizations Relevant to Security, Availability, Processing Integrity, Confidentiality, or Privacy) クラウド情報セキュ リティ監査 ⽇本セキュリティ監 査協会(JASA) ■ 事業者が⾏うべき情報セキュリティマネジメントの基本的な要件(基本⾔明 要件)を定め、事業者がそのとおりに実施しているかについて、JASAが資格 認定したクラウド事業者の内部監査⼈が基準に基づき評価する仕組み ■ 基本⾔明要件は、経済産業省が公開している「クラウドサービス利⽤のため の情報セキュリティマネジメントガイドライン」に基づくクラウド情報セ キュリティ管理基準において定められたもの クラウドサービスの 安全・信頼性に係る 情報開⽰認定制度 総務省 ASP・SaaS・クラウド コンソーシアム (ASPIC) ■ ASP・SaaSのサービスのうち安全・信頼性に係る情報の開⽰状況に関する 認定制度 ■「ASP・SaaSの安全・信頼性に係る情報開⽰指針」 (総務省) で⽰されてい る情報開⽰項⽬に基づき⼀般財団法⼈マルチメディア振興センターが審査 CSA Security, Trust & Assurance Registry (STAR) クラウドセキュリ ティアライアンス (CSA) ■ クラウドベンダーがさまざまなクラウドコンピューティングのセキュリティ コントロールについて⾃⼰評価を⾏い登録・公開するもの ■ CAIQ(IaaS、PaaS、SaaSにおけるセキュリティコントロール)、CCM (セキュリティの概念と原理のコントロールフレームワーク)に基づき、ク ラウド事業者が審査し、CSAがレビュー ISO/IEC 27001 -情報セキュリティ マネジメントシステ ム(ISMS) SOC2 Ⓒ2015 FISC All rights reserved 55 B. 委託元⾦融機関によるクラウド事業者施設への⽴⼊ ⾦融機関には、⽴⼊監査等以外の場合でも、クラウド事業者の施設への 訪問ニーズがある。インシデント発⽣時等には⽴⼊調査を実施 ケース 内 容 契約締結・業務開始前 の施設訪問 ⾦融機関には、クラウド事業者の施設を実地で確認するとともに、 管理者と⾯談を⾏い、今後のコミュニケーションルートを確保すること 等を求めるニーズがある ⇒ 訪問調査の受⼊可否について、事業者選定のデューデリジェン スの際に考慮が必要 クラウド事業者は、⾦融機関の調査(被害状況等)に協⼒すべき インシデント発⽣時の ⽴⼊調査 クラウド事業者側の 経営不安発⽣時 クラウド事業者の対応に問題があると判断される場合、⾦融機関 ⾃ら(ないし指定業者)の⽴⼊調査が必要 (クラウド事業者が⽴⼊調査の受⼊を避けたい場合) トレーサビリティを確保するため、証跡(ログ)解析に必要な情報を 抽出するツールをクラウド事業者に⽤意してもらう 経営不安が発⽣した場合、必要に応じ事業者の施設に⽴ち⼊り、 顧客データや関連著作物・成果物の保全を⾏う旨契約に明記 Ⓒ2015 FISC All rights reserved 56 C. ⾦融監督当局の検査等 ⾦融監督当局は、当該⾦融機関の業務の健全性について、委託業務も含 めて検証する公益上の要請がある 当局の要求があった場合、クラウド事業者としては⽴⼊検査等(含む報 告・資料提出)受け⼊れることが法律上求められる ▽ 委託元⾦融機関とクラウド事業者に求められる事項 事 項 内 容 当局検査等への協⼒義務 ⽴⼊検査等の円滑な実施を担保するため、契約にクラ ウド事業者の当局検査等への協⼒義務を明記 再委託先への⽴⼊検査等 委託業務の再委託先(再々委託先等を含む)に対して も、⾦融機関と元請け事業者との間の契約に、当局検 査等への協⼒義務を明記 (次スライド参照) 検査等後の指摘事項の扱い 指摘事項については、速やかに改善を図る旨の条項を 契約に明記 Ⓒ2015 FISC All rights reserved 57 C. (参考)⾦融監督当局の検査等 平成25年6⽉、⾦融商品取引法等の⼀部を改正する法律により、業務委 託先に対する報告徴求と⽴⼊調査について定める銀⾏法が改正 ⇒ 委託先のみならず再委託先(再々委託先など多段階の委託先を 含む)に対しても検査監督権限が及ぶこととなった ▽ 改正後の銀⾏法24条2項(下線部が改正箇所) (報告⼜は資料の提出) 第24条の2 内閣総理⼤⾂は,銀⾏の業務の健全かつ適切な運営を確保するため特に必要があると認めるときは, その必要の限度において、当該銀⾏の⼦法⼈等・・・(略)・・・⼜は当該銀⾏から業務の委託を 受けた者(その者から委託(⼆以上の段階にわたる委託を含む。)を受けた者を含み、前項の銀⾏ 代理業者を除く。次項並びに次条第⼆項及び第五項において同じ。)に対し、当該銀⾏の業務⼜は 財産の状況に関し参考となるべき報告⼜は資料の提出を求めることができる。 (⽴⼊検査) 第25条の2 内閣総理⼤⾂は、前項の規定による⽴⼊り、質問⼜は検査を⾏う場合において特に必要があると認 めるときは、その必要の限度において、当該職員に銀⾏の⼦法⼈等若しくは当該銀⾏から業務の委 託を受けた者の施設に⽴ち⼊らせ、銀⾏に対する質問若しくは検査に必要な事項に関し質問させ、 ⼜は帳簿書類その他の物件を検査させることができる。 Ⓒ2015 FISC All rights reserved 58 具体的なリスク管理策 「3.インシデント発⽣時の対応」 Ⓒ2015 FISC All rights reserved 59 インシデント発⽣時の対応 クラウドで想定されるインシデントについては、⾃社運⽤のシステムで ⽣じるインシデントと異なり、⾦融機関の完全な管理下にない資産や データがあるため、事態によっては採るべき対策も異なってくる ▽ インシデント発⽣時の対策 事前対策 事後対策 インシデント 発⽣ 事前に想定されるインシ デントに対する準備 バックアップ 代替サービスの準備 検知・切り分け作業 インシデント事象解 析のためのデータ収 集・分析 再発防⽌策 の策定 原因の排除 トレーサビリティの確保 迅速な復旧作業 Ⓒ2015 FISC All rights reserved 60 まとめ Ⓒ2015 FISC All rights reserved 61 まとめ クラウドのリスク管理に関する新たなフレームワークを提⽰ クラウド利⽤は「外部委託の⼀形態」であるが、クラウドには他の外部委託と 異なる特性やリスクがあり、こうした点も踏まえ具体的なリスク管理策を提⽰ クラウド利⽤、リスク管理のポリシーの整備 「リスクベースアプローチ」に基づいた経営判断によるリスク管理策の策定 (⇒ ⼀律厳格なリスク管理は要しない) クラウドの実態把握により、できるだけブラックボックスを回避 クラウド事業者に対するデューデリジェンス サービスレベル、データ所在、データ処理状況(暗号化、消去など) インシデント発⽣時のトレーサビリティ確保 など 監査・モニタリングの実施(⇒ 第三者監査による代替、第三者認証の活⽤) 各当事者(⾦融機関、クラウド事業者、監督当局等)の有機的な連携が重要 Ⓒ2015 FISC All rights reserved 62 具体的なリスク管理策の例 リスク管理項目 (クラウド利⽤検討時) データの所在 (クラウドサービス契約終了時) データ消去 厳格なリスク管理策 クラウドサービスに適⽤される法令が特定 できる範囲で、所在地域(国、州等)の把 握が必要 重要なデータを保管・処理しない場合、 データ所在の特定は必要としない 重要データについて、物理的消去もしくは 論理的消去(上書き等によりデータ復元を事実上 不可能とする)を実施 重要データを扱わない場合、物理的・ 論理的消去は不要 厳格な事前審査、モニタリングが必要 重要でない業務の再委託の場合は、厳 格な事前審査は必須ではない (クラウドサービス契約締結時) 再委託先管理 (クラウドサービス運⽤時) 委託元⾦融機関に よる⽴⼊監査等 簡易なリスク管理策 再委託先については、信頼性確保のため、⾦融機関による事前審査が必要となるが、 仮に、クラウド事業者側での事前審査の⽅がより実効的であると判断される場合には、 クラウド事業者側の審査で代替することが可能 ⽴⼊監査権を業務委託契約で明⽂化 ── 平常時は、⼀定の要件のもと、外部の 第三者による検証(第三者監査)により 代替可 ⽴⼊監査権の明⽂化は必須ではない (注)報告書の資料編・図表Hにすべてのリスク管理項⽬の事例を掲載 Ⓒ2015 FISC All rights reserved 63 クラウド利⽤促進に向けて各当事者に期待されること (⾦融機関) クラウドは迅速な業務改⾰とスピード経営を実現するための有効なツールの⼀つ であるため、今後改めて利⽤可否を検討していくことが重要 ⽇々進化するクラウド技術について、そのリスクを正しく理解し適切なリスク管 理策を講じることでクラウド利⽤の敷居が低くなり、そのポテンシャルを享受す ることが期待される (クラウド事業者) 業務の委託を受ける⽴場として、可監査性の確保、リスク管理向上に資する情報 開⽰、インシデント発⽣時に備えたトレーサビリティに係る情報の提供、⾦融機 関の作業⽀援など可能な限りの協⼒が望まれる (監督当局や⾃主規制・ガイドライン作成団体等) 進化するクラウド技術や法制度等の環境変化に伴って、クラウドの実態を⼗分に 反映した規制やガイドラインを順次整備していくことが期待される FISCでは、本報告書をもとに、クラウドに関するFISC安全対策基準、システム 監査指針の改訂を⾏う予定 Ⓒ2015 FISC All rights reserved 64 ご清聴ありがとうございました Ⓒ2015 FISC All rights reserved 65
© Copyright 2024 ExpyDoc