NRI、Azureなどを利用する金融機関にリスクアセスメント代行サービスを提供

　株式会社野村総合研究所（以下、NRI）は20日、マイクロソフトのクラウドサービスを利用する金融機関に対し、情報システムのリスクアセスメントを代行するサービスを提供開始すると発表した。

　金融機関がクラウドサービスを利用するためには、公益財団法人 金融情報システムセンター（以下、FISC）の安全対策基準に沿ってリスクを評価することが求められる。このため金融機関は、個別に当該基準への適合状況を確認する必要があるものの、人材確保やノウハウ不足などの理由によって実施が難しく、クラウド利活用の障壁になっているのが現状だという。

　今回NRIが提供するアセスメントサービスでは、こうした状況をふまえ、FISCおよび各社が定めるリスク評価項目に沿って、マイクロソフトのクラウドサービスが安全対策基準に適合しているかどうかを、金融機関に代わって評価、あるいは監査する。

　このうち「評価代行」は、各金融機関固有のリスクを反映したリスクアセスメントシートを評価するもので、定期的なリスクアセスメントを行うだけでなく、評価結果に関して、金融機関の担当部門との意見交換も実施するとした。

　一方の「監査代行」では、各金融機関の情報システム環境や統制ルールを加味した上で、日本マイクロソフトに対して、必要な項目の確認・要求をNRIが代行するとのこと。具体的には、ステークホルダーからの不定期な問い合わせ対応、およびマイクロソフトのクラウドサービスに対して現地（データセンター含む）で直接監査を実施する。

　こうしたサービスを利用することで、金融機関は安全対策基準への適合状況を確認するための業務を効率化でき、結果として、従来よりも容易にクラウドを導入できるようになるとのこと。今後は、3月の改訂が予定されているFISCの安全対策基準（第9版）にも対応を予定する。

　なおNRIでは、FISCなどの安全対策基準に精通し、監査の専門的なノウハウ・実績が豊富にあるとのことで、今回はこうした実績をふまえ、マイクロソフトとの間で、アセスメントサービスを利用する各金融機関より各種情報を集約し、各金融機関に代わってマイクロソフトのクラウドサービスを評価・監査できる契約を、世界で初めて締結したとしている。