日本マイクロソフト、金融機関向けクラウドビジネスで来年度は3倍の実績目指す

　日本マイクロソフト株式会社は25日、金融機関向けクラウド事業を大幅に強化し、現行の3倍の売り上げを目指すことを明らかにした。

　金融機関のクラウド利用は、セキュリティリスクへの懸念、法令への対応といった点がネックとなって普及が遅れていた。これに対し、日本マイクロソフト側で150人体制の「金融機関向けクラウド推進体制」を、同社の新年度となる7月1日から始動。セールス、エンジニア、マーケティング、コンサルタント、サポート、法務部門と150人からなる総力体制で金融機関向けにクラウドを推進する。

　日本マイクロソフト 執行役員専務 エンタープライズシステム担当の小原琢哉氏は、「データセンターが日本の東西にあって、災害対策が実現している。また、FISC（金融情報システムセンター）安全基準に準拠し、セキュリティ対策をとっている。さらにクラウドでは実現が難しかった当局監査に対応する。こうした取り組みにより、Microsoft Azure全体の昨年比成長率は198％だが、金融機関向けパブリッククラウドビジネスは300％成長を目指す」と、金融向けクラウド事業で大幅な売り上げ増を実現する。

日本マイクロソフト 執行役員専務 エンタープライズシステム担当の小原琢哉氏

金融業界における動向

金融機関向けクラウドビジネスを加速させる

金融機関向けクラウドの推進体制

　日本マイクロソフトが金融向けクラウド事業に注力する背景としては、これまで遅れていた、金融機関でのプライベートクラウド採用が始まっていることが挙げられる。

　「金融機関におけるクラウド利用に関する有識者検討報告書のデータを見ると、6割がパブリッククラウド導入を検討していると回答している。従来は法令対応、セキュリティリスクを懸念し、クラウドを敬遠しがちだった。しかし、グローバル化の中で競争力強化という観点で、クラウド検討せざるを得なくなったのではないか」（日本マイクロソフトの小原氏）。

　こうした金融機関の変化に呼応し、マイクロソフトでは金融機関向けクラウド対策を準備してきた。データの保存場所としては、海外ではなく、日本データセンターにデータがあることから、国内にデータを置いて利用できる。また、西日本、東日本にデータセンターを置くことで、国内でディザスタリカバリ環境を実現している。

　セキュリティ対策としてはFISCの安全基準に準拠している。FISC安全基準については、日本マイクロソフトのパートナー企業である三菱総合研究所が、SI事業者7社と共同で金融機関向けセキュリティリファレンスコミュニティを設立。金融機関向けセキュリティリファレンスを公開している。

　「このリファレンスは、1月に発表したもの。金融業界はほかの業界よりも厳しい基準を実施しているので、SI事業者はパブリッククラウドの安全基準、個別に確認し、金融のお客さまに情報提供してきた。今回、当社を含めて7社のSI事業者が参加し、金融業のお客さま向けリファレンスを共同で作成した」（三菱総合研究所 情報通信政策研究本部 サイバーセキュリティグループ 主席研究員の澤部直太氏）。

　リファレンスでは、Microsoft Azure、Office 365を2015年1月に、Microsoft Dynamics CRMを2015年4月末に対応製品としている。

　また、FICSが2015年6月に安全対策基準を改定することから、この新しい版に対応する準備を進めている最中で、7月に改訂版を提供する予定となっている。

　「FICSの安全基準もずいぶん変わってきている。以前はリスクを取らない対策を検討していたが、最近ではリスクを把握し、リスクベースで考えて、情報資産を守るためにどうするのかを考える内容となっている」（三菱総合研究所の澤部氏）。

日本マイクロソフトの取り組み

FISC安全基準に対するSI事業者などの取り組み

金融機関向けセキュリティリファレンスの公開

金融機関向けセキュリティリファレンスの利用イメージ

FISC安全基準の改定に向けて

三菱総合研究所 情報通信政策研究本部 サイバーセキュリティグループ 主席研究員の澤部直太氏

ワールドワイドで進む取り組み

　こうした金融機関が求める情報開示体制については日本法人だけでなく、Microsoftがワールドワイドで推進している。

　米本社でOffice 365を担当する、米MicrosoftのOffice 365 CXP カスタマーコンプライアンスPM、成田雅和氏は、「金融機関の場合、監査が必要となる。その際、下請け業者である当社が金融機関の手助けをするのか？というのが、金融機関側の懸念材料となっていた。確かにクラウドは共用型で、ひとつの企業の監査を受け入れるのは難しかった。しかし2011年に、オランダの中央銀行の監査受け入れに合意。これをきっかけに、EU、全世界で当局の監査に対して100％お手伝いしている」と実績を説明した。

　一般的な監査内容だけでなく、金融業に特化した監査に対しても回答を行っているという。

　さらに、セキュリティ・コンプライアンスについては機能として提供するものも出てきている。例えば、ログデータフィードは、データのモニタリング、蓄積したデータからの確認が行える機能で、現在はプレビューとして機能を提供し、夏ごろに正式な機能としてリリースする予定。

　また、アクセス事前承認機能も提供する。「Microsoftは顧客のデータにはアクセスしない」ことを表明しているものの、データが壊れた際、顧客の依頼によって修正を行うといった場合にはMicrosoftが顧客データにアクセスすることがある。「それをとって、やはりデータアクセスしているのでは？という懸念があることに対し、承認がある時しかアクセスは行わないとする機能」（Microsoftの成田氏）となる。

　“カスタマーロック（顧客鍵暗号化）”は、顧客側で暗号鍵のオン、オフ、消去ができる機能。Microsoft側が暗号鍵から顧客データにアクセスできるのではないか、という懸念に対応した機能で、顧客側がクラウドから撤退する場合、データを完全に消去するケースにも応用できる。

　Advanced Thread Protectionは、疑似環境で添付ファイルを開き、異常がないと確認されたら添付ファイルをユーザーに提供する機能。ウイルス対策では防ぎきれない添付ファイルによる攻撃対策として提供する。

　こうした機能による対策が実って、大規模計算、変動対策、柔軟性、災害対策などを目的に金融業界でのクラウド利用事例も登場したとのことで、「金融機関のニーズをふまえた対策を提供することで、金融業界でのクラウド利用を増加させていきたい」（日本マイクロソフトの小原氏）としている。

米MicrosoftのOffice 365 CXP カスタマーコンプライアンスPM、成田雅和氏

監査への対応

セキュリティコンプライアンス機能強化

カスタマーロック機能