ニュース
KVH、FISC準拠・監査対応付きの金融向けプライベートクラウド
(2014/3/4 15:39)
KVH株式会社は4日、金融機関向けプライベートクラウドサービス「金融監査対応プラットフォームサービス」の国内提供を開始した。
金融情報システムセンター(以下、FISC)が作成した「金融機関等コンピュータシステムの安全対策基準・解説書」(以下、FISCガイドライン)に対応するプライベートクラウドサービス。ユーザー専有のITプラットフォーム(データセンター設備、コンピュータリソース、クラウドコントローラー・オーケストレーション・エンジン、運用保守)に加え、FISC対応に必要な資料や金融庁などによる外部監査時の立ち会い説明まで支援する。
FISCガイドラインは、金融庁が金融機関を検査する際に使用される「金融検査マニュアル」において、検査官が具体的なシステム検査を行なう際に参照するよう指定されたものだ。金融機関にとっては無視のできないものである。
昨今、金融機関でもクラウドの導入が進み始めている。しかし、それらは自社専有環境で利用できるプライベートクラウドがほとんど。Web系システムではパブリッククラウドの利用も一部見られるが、「(マルチテナントなどによる)障害リスクへの不安と、金融庁を含む第三者による立ち会い監査への対応がネックとなり、進ちょくはまだまだなのが現状」(プロダクトマネジメント部 執行役員の柏木街史氏)という。
海外に目を向ければ、オランダ中央銀行(以下、DNB)が、Webサイト、ケータイアプリ、リテールバンキングプラットフォーム、HPCおよびクレジットリスク分析アプリなどの運用において、パブリッククラウドを利用してもよいとの考えを示している。ただ、そこにもハードルはある。
DNBでは、データの処理や保管などを含むクラウドコンピューティングサービスについては「外部委託」の一種として容認し、ほかの外部委託と同様に「リスクが把握されていること」「外部委託により運用管理が妨げられないこと」という法的必要条件を満たす必要があるとしているのだ。
プロダクトマネジメント部 プロダクトマーケティングマネージャーの水谷安孝氏は、これを満たすのは難しいのではと問題提起する。実際、国内でも2012年6月20日にパブリッククラウド事業者によるサーバー群のデータ消失事故が発生した。これらを考えると「現状、金融機関側がパブリッククラウドのリスクをすべて把握するのは現実的だろうか。金融システムに障害が起きた場合、迅速に監督官庁に届け出る必要があるが、2012年の事例でも事業者へ数日間電話・メールともに不通の状態が続いた。(金融機関からも)説明責任を果たせないのでは、という声が多い」と指摘する。
ちなみにパブリッククラウドでも“FISC準拠”が進んでいる。代表例がAmazon Web Servicesである。ただ、AWSでも「FISCガイドラインは幅広く設問があり、AWSだけでは基準のすべてに対応することはできません。責任共有モデルの利用側にあたる、AWSをご利用のお客さまでの対応も必要となります」としており、特に物理的な場所を気にしないパブリッククラウドの場合、「金融庁を含む第三者による立ち会い監査に対応するのは難しいのでは」と水谷氏は問題提起する。
そこで、FISC準拠の“プライベートクラウド”を開始する。「実際にクラウドを利用したい金融機関は増えているといっても、プライベートクラウドを望む声が多い。5年間以上におよびFISCガイドラインに準拠したデータセンターサービスを提供してきた当社にとって、ここがビジネスチャンスだと考えた」(柏木氏)。
「金融監査対応プラットフォームサービス」では、物理・仮想サーバーをコントロールするクラウドコントローラー・オーケストレーション・エンジン「KVH Turbine」によって実現されるプライベートクラウドに加え、金融庁を含む第三者による外部監査時の立ち会い・説明、FISCガイドラインに準拠した資料を提供する。この「金融監査対応」の部分が特長だ。
まずは東京データセンターから提供を開始。要望に応じて、大阪や千葉などの拠点でもFISC準拠を進める考え。サービス価格は、初期費用が60万円から、月額費用が65万円から。2014年6月30日までに申し込んだ顧客を対象に、初期費用0円、月額費用60万円からで提供するスタートアップキャンペーンも実施する。
