Comments
Description
Transcript
クラウドセキュリティ対応ソリューションのご紹介
<みずほ>の取り組みと FISC報告書のポイント ~10年間の実績ご紹介~ 2014年12月4日 みずほ情報総研 株式会社 執行役員 事業企画部長 宮田 隆司 Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 目次 1. 最新トピックス ~FISC レポートの公開~ 2. みずほグループのクラウドセキュリティに関する取り組み ~FISCレポートとの対比~ (1)Saleforceの取り組み開始 (2)リスクコントロールの考え方 (3)業務別クラウドリスク 3. クラウドセキュリティ対応ソリューションのご紹介 Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 2 1.最新トピックス ~FISCレポートの公開~ Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 日本と米国におけるクラウド利用状況 • 日本でのクラウド利用率は、米国対比では、特に基幹系システムにおいてまだ遅れている。 • 日本では、東日本大震災の際に安否確認や情報共有のインフラ等で幅広く活用されたこともあり、クラウドのメリット の認識が高まり、クラウドの利用実績は年々増加しているが、グローバル対比(欧米)ではまだ小規模と言える。 2011年 米国政府「クラウド・ファースト・ ポリシー」発表。 IT調達・利用の基本戦略の一環で、デー タセンターの大幅削減を目的としてパブリッ ククラウドを最初の選択肢とするコンセプト を提示。 http://www.soumu.go.jp/main_c ontent/000066036.pdf (2010) Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 4 金融機関におけるクラウド利用率の現状 • 特に大手行や保険会社等に比べ、中小金融機関で、クラウド利用率が低い。 https://www.fisc.or.jp/isolate/index.ph p?dl=953497B1E3AD3FAB1E6E8A867 3087CE8E765B9F7C838DFA62FE0EFB E2EC77301 Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 5 金融機関のクラウド利用に関する懸念・不安 • 金融機関のクラウド利用に対する懸念・不安は、「機密性」、「セキュリティ事故発生時の対応」。 https://www.fisc.or.jp/isolate/inde x.php?dl=953497B1E3AD3FAB1E6 E8A8673087CE8E765B9F7C838DF A62FE0EFBE2EC77301 Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 6 FISCより 金融機関のクラウド利用 に関するレポート公開 • 2014年11月、金融情報システムセンター(FISC)より、「金融機関におけるクラウド利用に関する有識者検討報告書」 が公開された。 • 金融機関におけるクラウド利用のメリット・デメリット、リスク管理の考え方等をまとめたレポート。 • 「クラウドの利用を健全に促進させ、より一層広げていく」ことを目的として公開されたもの。 https://www.fisc.or.jp/isolate/?id=759&c=topics&sid=190 Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 7 2.みずほグループのクラウドセキュリティに関する取り組み ~FISCレポートとの対比~ (1)Salesforceの取り組み開始 (2)リスクコントロールの考え方 (3)業務別クラウドリスク Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. クラウドへの取り組み(戦略立案) 2005年、CRMのSaaS(クラウドは、2006年Googleから)を見て決断 【コンセプト】 On Demand ASPサービス事業を立ち上げ、新しいストックビジネスを創出する。 【戦略】 次の3本の柱により事業展開を図る。 【第1の柱】 salesforce.comのCRMを中心としたソリューション、サービスの提供 → 『担ぐ』 【第2の柱】 当社既存システムをベースとしたシステム、アプリケーションをsalesforce.comの基盤上で展開 → 『乗る(共存・共栄)』 【第3の柱】 salesforce.comとのアライアンス関係を維持しつつ、当社独自のASP基盤を構築しサービスを提供 → 『創る』 目指す事業は、【第3の柱】とするが、顧客・サービスに応じて柔軟に事業展開を図る。 • 最終ゴールとして、第3の柱を目指す。 • 第1、第2の柱は、ASP先進企業の技術及びビジネスモデルを習得すると共に、 第3の柱のフィージビリティを見極めつつ早い段階のストックビジネス開拓を意図する。 Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 9 Salesforceに対しての当社確認事項 分類 内容 各種基準、ガイドラインの対応 確認 内部統制 :SAS70TypeⅡ、Sys Trust、SOC1・SOC2 情報セキュリティ :総務省ASPIC、FISC、ISO/IEC 個人情報保護 :プライバシーマーク、TRUSTe みずほITスタンダード セキュリティガイドライン(数百項目)との照合・確認を実施 2005年当時、5項目について問題ないか再確認、運用でカバーするなどした データセンター視察 設備面:電源・空調・消化設備、リモート監視・集中監視 入退館:事前登録、監視員による照合、生体認証(静脈) 障害時:システム面の二重化 ログ/監査/バージョンアップ 対応 ログイン履歴、設定変更履歴、不正アクセス等の報告 リグレッションテスト実施、個別の障害報告(原因・対策) Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 10 SAS70 TypeⅡの確認、監査会社のレポートの確認 金融機関コンピューター システムの安全対策基準 ASP/SaaS安全信頼性に関わる 情報開示認定制度 総務省・ASPIC Confidential 総務省「情報セキュリティ対策に関連する既存の基準ガイドライン」より Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 11 みずほITスタンダード(数百項目)との照合 日経BP社「ITPro」出典 Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 12 データセンター視察(元みずほ銀行のCIOも) • 特に初回はSAS70により全般的な確認は取れていたが、 当社として特に懸念される部分を中心に確認を実施。 ○設備面 ・非常用電源 ・集中監視(オペレーションルーム) ・ネットワーク/システムのリモート監視(本社研究開発センター) ・空調、消火設備 ○入退館管理 ・事前登録・監視員による顔と身分証明書の照合 ・生体認証 (指静脈パターン、入口で登録後、各ルーム入口にて生体認証実施) ○障害対策 ・各種二重化の確認 Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 13 2.みずほグループのクラウドセキュリティに関する取り組み ~FISCレポートとの対比~ (1)Salesforceの取り組み開始 (2)リスクコントロールの考え方 (3)業務別クラウドリスク Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. ①パブリッククラウド(SaaS)への期待・魅力と懸念事項 分類 内容 期待・魅力 ・ハードウェア/ソフトウェアの購入、導入、保守が不要 ・安価にアプリケーションサービスを利用できる ・開発なし(パラメータコンフィグレーション)で利用できる 懸念事項 ・本当にコストダウンするのかわからない ・セキュリティ対策が十分なされているのかわからない ・トラブル発生時の対処が、ユーザー側ではできない ・期待・魅力に挙げている内容を最大限に活用 ・懸念事項を如何にコントロールするかを考えよ FISCレポートでの言及 「クラウドのメリットとリスク」 メリット:コスト削減、納期・シテスム開発期間の短縮、システム運用負担の軽減、拡張性・柔軟性、 オンデマンドセルフサービス、利便性や機能向上、業務継続性 リスク :法制度の違いによる影響(プライバシー保護要請等)、情報漏洩リスク(サービス終了時のハード残存、 ネットワーク伝送)、リアルタイム性・可用性への懸念、インシデント対応の不十分性 Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 15 ②ロックインについて 分類 内容 システム環境 ・PaaSなどの場合、アプリケーションの開発・運用環境が固定 ・提供者が増えるとサービス継続性についても考慮・対策が必要 ・巨大なストレージなど顧客側では再現不可能 システム移行 ・クラウド含めた他のシステムと互換性がない ・投資力の面などから、少数の提供会社の寡占も想定 ・新システムへの移行には、修正開発、移行開発、テストが必要 ・顧客側でデータの確保、移行ができることは確認しておくべき ・提供者の発言力が相対的に強まることのベンダーロックインとは違う FISCレポートでの言及 「リスク管理策-クラウドサービス契約終了時-ベンダーロックイン」 ベンダーロックインリスク低減のための管理策 ・クラウド事業者側の協力義務→移行データ抽出方法の提供、データ移行作業への協力 ・移行作業の事前把握→クラウドサービス利用前にデータ抽出・移行方法を把握 ・費用負担→解約時の移行作業費用負担に関する契約上取り決め Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 16 ③ガバナンスについて 分類 内容 ユーザの観点 ・低コストでEUCが可能であり、IT部門の関与なしで利用できる ・個人情報やデータも外部ストレージに自由に保存できる ・アプリケーション、データ等のライフサイクル管理が不要に IT部門の観点 ・アプリケーションの改廃はユーザに任せるが、個人情報やデータの管理は必要 ・ライセンス(ID)の管理は全体最適の観点で必要 データの一元化などガバナンス強化に繋がる面も多い • システムに関するIT部門/ユーザ部門の役割や、全体最適・部分最適の考え方は各社戦略によるが、 クラウドによって、EUCの範囲を広げることが可能。 • 個人情報を含むデータ管理の考え方は、社内のセキュリティポリシーやスタンダードによるものだが、 データの所在については、監査の観点(後述)含めて留意が必要。 Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 17 ④コンプライアンスについて 分類 内容 Patriot Act (米国・愛国者法) 米国内に存在するデータに対し、FBI/政府当局は調査権 限を有する Regulation if Investigatory Powers Act (英国・捜査権限規正法) 英国内に存在するデータに対し、政府当局は調査権限を有 する Directive 95/46/EC (EU・データ保護指令) EU域外の第三国への個人データ移転を制限する(十分な 保護措置を確保している場合のみ許可) ・海外諸国の法制度は利用の制約事項と受けとめる ・但し、通知義務等は確認しておく必要あり FISCレポートでの言及 「クラウドのリスク”法制度の違いによる影響”」 “プライバシー保護等の要請が国(法域)によって異なることに伴い、トラブルが生じた場合の対応や 個人データの移転に支障が生ずる可能性がある。” Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 18 ⑤監査について 分類 内容 内部統制の監査 ・自社の財務報告に関連するプロセスが含まれるか確認 ・基本的には金融庁や日本公認会計士協会のガイドライン システム監査 情報セキュリティ監査 ・経済産業省が作成、公開している各種基準をベースに ・システム管理基準や情報セキュリティ基準は、クラウドに追いついていない、考慮されていない 業界別の監査 ・金融関連は、FISCの「安全対策基準」 ・クレジットカードを扱い場合は「PCI-DSS」 ・その他事情所管庁による「個人情報保護ガイドライン」 等 ・セキュリティ対応状況の確認に加えて、PDCAサイクルをうまくマネジメントしているかについても重要 FISCレポートでの言及 「クラウド事業者に対する監査等」 (1) 立入監査等:クラウド事業者のオフィスやデータセンターへの立入監査・モニタリング (2) 訪問調査:契約締結時、インシデント発生時、クラウド事業者側の経営不安発生時等のタイミングでも必要 (3) 第三者監査(監査法人等):検証項目(「FISC安全対策基準」等)、 検証の担い手(独立性・実効性確保が重要)、検証の機動性 (4) 検査(金融監督当局):当局立入検査への協力義務・当局指摘事項への速やかな対応を契約に明記 ※クラウド事業者への立入監査を前提としているが、SalesforceやAmazon等のデータセンターが日本に設立されて以降、 ベンダー側もこれに応じるように状況が変わってきた。 Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 19 ⑥FISCレポートのその他のポイント ①クラウドサービス利用検討時 • 利用検討時のクラウド事業者に対するデューデリジェンス ⇒ (3)クラウド適用の評価(後述) ②クラウドサービス契約締結時 • サービスレベル(SLA)の合意 • クラウド事業者からの情報開示 • 再委託先管理 ⇒ 平成25年事務年度金融モニタリング基本方針 「銀行法改正により、再委託先への検査可能」を受けての事項 ③リスクベースアプローチの考え方 ⇒ (4)業務別クラウドリスク (後述) Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 20 2.みずほグループのクラウドセキュリティに関する取り組み ~FISCレポートとの対比~ (1)Salesforceの取り組み開始 (2)リスクコントロールの考え方 (3)業務別クラウドリスク Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. FISCレポート「リスクベースアプローチ」 • FISCレポートでは、シテスムの可用性とデータの機密性等の切り口でシステム特性や重要度を分類し、相応に厳 格なリスク管理を実施する必要があるとしている。 • 大きく、コア領域、セミコア領域、ノンコア領域の3分類にしている。 Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 22 当社 金融機関業務別 クラウド適用領域 X (みずほ情報総研の金融機関における領域別の実績) 対外システム 勘定系 顧客検索 顧客開設 顧客基本情報 顧客属性情報 法人情報 G/W 外信 名寄せ 与信管理 顧客カード 口座照会 取引明細 当社事例 顧客 顧客 顧客 関係 口座 取引 明細 融資 外為 延滞 預金 証券 為替 公共債 金 状況 インバン 窓口案内 混雑状況 外部ポータル 会員 商品 14 アンケート 掲示板 情報発信 アンケート ESBまたはETL CRM 担当 担当顧客 ToDo期日管理 ToDo依頼管理 提出書類 コンタクト履歴 訪問日誌 案件管理 備忘管理 各種帳票 顧客名寄せ 取引一覧 1 4 見込 顧客 訪問 (日誌) 案件 MCIF 顧客 関係 口座 取引 明細 預金 証券 為替 公共債 金 索引 融資 外為 投信 クレ ジット システム 自動 審査 格付 督促 審査 延滞 手数料 収益 投信 (検索) 保険 (検索) 保険 VISA コメント 2 顧客 3 ToDo 依頼 ToDo 期日 PRM 口座 関係 システム 取引 明細 6 7 業務システム 外為/ 投信 外為/投信 テレマ 自動審査 顧客検索 NOTES クレジット 審査 住構 CRAS イントラ(コメント) オートコール テレマ 自動 審査 顧客検索 Notes 9 BI 来店回数集計 クロスセリング シミュレーション 収益管理 15 内部ポータル 営業店向けポータル Confidential 成果管理 反社関係 DWH 行動様式 成果管理 計数管理 共通ポータル 10 手数料/収益 マイレージ 13 MCIF クレ ジット 諸届け 審査 12 本部向けポータル Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 23 住構 当社 金融機関業務別 クラウド適用領域 (クラウド化の適用が期待される領域) 対外システム 勘定系 顧客検索 顧客開設 顧客基本情報 顧客属性情報 法人情報 G/W 外信 名寄せ 与信管理 顧客カード 口座照会 取引明細 顧客 顧客 顧客 関係 口座 取引 明細 融資 外為 延滞 預金 証券 為替 公共債 金 状況 インバン 窓口案内 混雑状況 外部ポータル 会員 商品 アンケート 掲示板 情報発信 アンケート ESBまたはETL CRM 担当 担当顧客 ToDo期日管理 ToDo依頼管理 提出書類 コンタクト履歴 訪問日誌 案件管理 備忘管理 各種帳票 顧客名寄せ 取引一覧 見込 顧客 訪問 (日誌) 案件 顧客 口座 MCIF 顧客 関係 口座 取引 明細 預金 証券 為替 公共債 金 索引 融資 外為 投信 クレ ジット システム 自動 審査 格付 督促 審査 延滞 手数料 収益 投信 (検索) 保険 (検索) 保険 VISA コメント ToDo 依頼 ToDo 期日 PRM 成果管理 反社関係 クラウド化 適用領域 システム 関係 取引 明細 内部ポータル 営業店向けポータル Confidential DWH BI 来店回数集計 クロスセリング シミュレーション 収益管理 業務システム 外為/投信 テレマ 自動審査 顧客検索 NOTES クレジット 審査 住構 CRAS イントラ(コメント) オートコール 外為/ 投信 テレマ 自動 審査 顧客検索 Notes クレ ジット 諸届け 行動様式 成果管理 計数管理 共通ポータル 手数料/収益 マイレージ 審査 住構 MCIF 本部向けポータル Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 24 金融機関 業務別クラウドリスク分類 対外システム 勘定系 顧客検索 顧客開設 顧客基本情報 顧客属性情報 法人情報 G/W 外信 名寄せ 与信管理 顧客カード 口座照会 取引明細 外部ポータル 会員 商品 アンケート 掲示板 情報発信 アンケート CRM 担当 担当顧客 ToDo期日管理 ToDo依頼管理 提出書類 コンタクト履歴 訪問日誌 案件管理 備忘管理 各種帳票 顧客名寄せ 取引一覧 見込 顧客 訪問 (日誌) 案件 顧客 関係 システム 取引 明細 Confidential 口座 取引 明細 融資 外為 延滞 預金 証券 為替 公共債 金 関係 口座 取引 明細 預金 証券 為替 公共債 金 索引 融資 外為 投信 クレ ジット システム 自動 審査 格付 督促 審査 成果管理 反社関係 BI ノンコア領域 内部ポータル 営業店向けポータル 関係 顧客 PRM 口座 顧客 MCIF コメント ToDo 依頼 ToDo 期日 顧客 コア領域 ESBまたはETL 状況 インバン 窓口案内 混雑状況 顧客 来店回数集計 クロスセリング シミュレーション 収益管理 延滞 DWH 手数料 セミコア領域 投信 (検索) 保険 (検索) 保険 収益 VISA 業務システム 外為/投信 テレマ 自動審査 顧客検索 NOTES クレジット 審査 住構 CRAS イントラ(コメント) オートコール 外為/ 投信 テレマ 自動 審査 顧客検索 Notes クレ ジット 諸届け 行動様式 成果管理 計数管理 共通ポータル 手数料/収益 マイレージ 審査 住構 MCIF 本部向けポータル Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 25 3.クラウドセキュリティ対応ソリューションのご紹介 Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 26 ログ監査ソリューション「Tracer for Salesforce」 MHIR開発サービス ・Salesforce標準機能では取得できないログ情報を補完 ログオフ情報、ダウンロード・アップロードファイル名、参照した画面情報・レコード変更情報・削除情報 等 ⇒ 利用者側が不正を行っていないことを自ら保障可能 レポート出力イメージ Salesforce利用端末 ログイン情報 アクセス、操作 アクセス先URLを 監視 ファイル アクセス情報 Tracer for Salesforce Salesforce 操作情報 ログ取得・蓄積 レポート生成 Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 27 ◇お問合せ先 金融システム業務部 お問合せ 〒101-8443 東京都千代田区神田錦町2-3 E-mail: [email protected] TEL : 03-5281-7581 / FAX:03-5281-7582 URL : http://www.mizuho-ir.co.jp Confidential Copyright © 2014 Mizuho Information & Research Institute, Inc. All rights reserved. 28