大手銀行の一部ではクラウドベースサービスを試験導入する動きも見られますが、ミッションクリティカルな銀行サービスを公然と目に見える形でクラウドに移行しているケースはほとんど見当たりません。銀行業務でクラウドサービスの採用がなかなか進まない理由として最もよく挙げられるのは、データのセキュリティーと規制当局による検査への警戒です。しかし、意外なことに、当局は各銀行のIT環境の設定方法に関しては公平なスタンスをとっており、むしろ、銀行側がITセキュリティーに関する標準を設定することを引き続き期待しています。
| KEY RESEARCH QUESTIONS | |
| 1 | 銀行はサイバー攻撃の脅威に対して十分な防御策を講じているか? |
2 | クラウドプロバイダーのセキュリティー標準は、従来の銀行のIT業務受託業者と比しどう違うか? |
| 3 | 規制当局は、機密性の高い銀行サービスのクラウドホスティングを容認するスタンスに変わったのか? |
銀行のクラウドサービスに関する第2弾の本レポートは、銀行規制とクラウドのITセキュリティーに関する業界標準がどう変化しているかを明らかにし、独自のクラウド戦略の策定を進めている金融機関にとってポイントはどこかを特定しています。
このレポートのパート1では、ITセキュリティーに関する米連邦金融機関検査協議会(FFIEC)の指針を詳しく分析し、規制当局がクラウドサービスに対する審査を厳格化しているというのは通説にすぎないとの結論に達しました。また、銀行が抱えるセキュリティーおよびコンプライアンス上の課題についてもわかりやすく説明しています。
2014年に世界で発生したサイバー攻撃のうち銀行を対象とするものは全体の6%にとどまったものの、銀行からの個人情報の流出は全体の20%を占め、小売業界に次いで多くなっています。こうした状況を踏まえると、先にFFIECが「クラウドベースサービスを含めたITのアウトソーシングは実際にサイバーセキュリティーリスクの軽減に有効である」との指針を示したことは重大な転機と言えるでしょう。
「こうした動きを受け、銀行がこれまでクラウドサービスの利用を見送る根拠としてきた理由は今後言い訳として通用しなくなるでしょう。この場合も、流れに乗り遅れる銀行は競争力と財務力の両面で優位性を失うことになるとみられます」とセレント銀行プラクティスのシニア・アナリストでレポートを執筆したジェームズ・オニールは述べています。
レポートの主要テーマ
- サイバー攻撃者vs銀行の最新動向
- 進化するクラウドサービスのコンプライアンスツール(CSAのCloud Control Matrixなど)とガバナンス体制
- クラウドベースの安全な業務環境を構築するための業界標準策定に向けたFFIECの動き
- クラウドベースサービスがもたらすビジネスチャンスを検討している銀行への提言
