公共機関や金融機関のクラウド移行、セキュリティやリスク管理、規制対応の壁はどう越えられるのかAWS Security and Risk Management Forumリポート(1/2 ページ)

政府その他の公共機関、金融機関のクラウド活用には、セキュリティ、リスク管理、ITガバナンス、規制対応などの大きなハードルがある。組織として取り組もうとしても、具体的に誰が何をすべきかが見えにくい。これについて議論したイベントのリポートをお届けする。

» 2023年04月03日 05時00分 公開
[齋藤公二@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 2023年3月10日、東京コンファレンスセンター・品川で、アイティメディア@IT編集部主催のイベント「AWS Security and Risk Management Forum 〜公共・金融DXの大前提、AWSセキュリティの理解と実践〜」が開催された。基調講演では、アマゾンウェブサービスジャパン(以下、AWSジャパン)のパブリックセクターおよび金融事業の責任者が公共・金融の最新状況を解説した他、弁護士・ニューヨーク州弁護士の桜田雄紀氏、デジタル庁 シニアエキスパートの山本教仁氏、有限責任監査法人トーマツのマネージングディレクターである片寄早百合氏が、専門家の観点から企業が取り組むべきクラウドセキュリティのポイントを解説した。

公共・金融担当者は、クラウドのリスクとセキュリティをどうマネジメントしていくべきか

 クラウドを基盤とした政府や企業のデジタルトランスフォメーション(DX)が大きな流れになってきた。だが、公共・金融分野をはじめとした多くの組織にとって、サイバーセキュリティやクラウドに対する理解、実践不足はいまだに大きな壁だ。また、取り組みを推進するうえでは、IT部門のみならず、リスク管理部門、内部監査部門、経営層の関与は不可欠となる。さまざまな部門による多角的な取り組みが求められる中、実際には「何から始めたらよいのか」と悩む組織が多いのが現状だ。

 基調講演「クラウド時代におけるリスク管理と最新のセキュリティサービス活用によるイノベーションの加速」では、そうした悩みの解消につながるヒントが示された。AWSジャパン パブリックセクター技術統括本部 統括本部長/プリンシパルソリューションアーキテクトの瀧澤 与一氏は、こう話す。

AWSジャパンの瀧澤氏

 「政府や企業のDXが進むにつれ、クラウド上に存在するデータをどう守っていくかが課題になってきました。データを取り巻く環境はさまざまなリスクにさらされています。そうしたリスクにどう対処していくか、また、さまざまな脅威の検知や可視化、対応をどう自動化していくかが重要です。そこで活用できるのがクラウドのサービスです。例えば、AWSの機械学習の知見やサービスを活用することで、可視性を高め、インシデントに自動的に対処できるようになります」(瀧澤氏)

 具体的なサービスや機能としては、脅威検知を行う「Amazon GuardDuty」や、インシデント通知を行う「Amazon CloudWatch」などがある。インシデント対応には「AWS Lambda」も活用できる。

 「セキュリティインシデントの検知から対処までを自動化することで、時間を短縮し、リスクを回避または軽減できます。特に、公共分野や金融分野において、可視性と自動化は重要な取り組みとなります」(瀧澤氏)

3つのポイント「知らなかったをなくす」「オペレジを知る」「経済安全保障推進法を知る」

 まず、金融分野におけるリスク管理やセキュリティ管理のポイントについて、AWSジャパン 金融事業開発本部 コンプライアンス スペシャリスト 高野敦史氏が解説した。

AWSジャパンの高野敦史氏

 「クラウドのリスクマネジメントには大きく3つのポイントがあると考えます。1つ目は、クラウドの『知らなかった』をなくすこと。クラウドに対しては漠然とした不安を抱くケースが少なくありません。よく知ることでリスクを正しく把握できるようになります。2つ目は、クラウドにも影響のある金融規制の動向を知ること。クラウドの活用がグローバルで進むなか、新たな金融規制も生まれつつあります。このあたりの動向をおさえることが重要です。3つ目はクラウドに関係する日本の法律を知ること。日本でも新しい法律に関する議論が進んでいます」(高野氏)

 1つ目のクラウドの「知らなかった」の典型例は、「クラウドのセキュリティや可用性は低い」「クラウドに個人情報を保存してはいけない」といった懸念や誤解だ。実際には、AWSでは複数のアベイラビリティゾーンを使って高い耐障害性と可用性を実現しており、拠点同士も低遅延な専用線で接続されるため、ユーザーにサービスを安全に提供できる。

 2つ目の金融規制の動向については、「オペレーショナルレジリエンス」(業務の強靭《きょうじん》性・復旧力)がポイントとなる。これは、金融庁の資料でも述べられているように、未然に防止する対策を尽くした上で、業務が中断することを前提に、利用者目線で早期復旧・影響範囲の軽減を確保する枠組みのことだ。

 「クラウド事業者を含めて、重要なサードパーティーを特定し、リスク管理していくことが重要です。具体的な対処としては、障害を疑似的に発生させて訓練するカオス・エンジニアリングもキーになります」(高野氏)

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

@ITについて

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。