金融機関のクラウド利用の現況とリスクマネジメント

クラウドのリスクマネジメント

クラウドのリスクマネジメント
多くの金融機関では、システムリスク管理態勢として、外部委託先（ASP を含む）を活用する際のリスク管理手続が整備されている。しかし、このリスク管理手続は画一的なケースが見受けられ、現状のままクラウドサービス（特にパブリック・クラウド）の導入時に適用しても、「雲の向こう側」で行われていることをクラウド利用者が把握することは難しく、結果としてリスクの所在が見えず、極めて限定的なクラウドサービスしか利用できない結果となってしまうことがある。これは、クラウド利用者とクラウドサービスを提供するベンダーの力関係が、これまでのアウトソーシングとは大きく異なり、クラウド利用者側の要望（情報提供を含む）を受け入れてもらうことが困難になっていることにも起因している。
クラウドの導入を検討する場合には、クラウドで実現するシステムなどの要件（業務要件・データ要件）を評価するとともに、クラウドサービスに求めるセキュリティ要件を検討する。このセキュリティ要件に合ったクラウドサービスを選定し、要件への充足度合いを継続的にモニタリングすることが求められる。

金融庁の動き(1)

クラウドサービス導入に当たってのリスク管理の実態
金融機関内部の管理の実態
既存のアウトソージングに関する内部管理体制を前提

■クラウド特有の内部管理体制は未構築

（懸念される例）
・コストダウンのメリットを優先し、トップダウンにより十分なリスクの事前評価を経ることなく導入に至っている事例
・従来型のASPサービスと同等のものと捉えて導入に至っている事例や、事業者の知名度・スピードを重視して従前のASPサービスとの差異に十分な配慮なく導入に至っている事例
・システム部門の関与無く導入に至った事例
・システム部門の行ったリスク評価の内容が法務部門やリスク管理部門と共有されず、適切な契約条項の検討等リスク低弦の手段が十分に講じられずに導入に至った事例

（出展：「金融機関によるクラウドサービスの利用の実態」金融庁検査局　クラウド・コンピューティングに関するPT）

金融庁の動き(2)

クラウドサービス特有のリスクの検討の必要性

■リスク認識・評価の関係者間での共有の意義

・金融機関に求められる内部管理体制のレベルについての一定の目線の構築
・クラウドサービスの促進：既存のアウトソージングの管理体制を前提にクラウドサービス導入に過度に抑制的な現状の改善
・クラウドサービスの特有のリスクを踏まえた監査アプローチの構築

（出展：「金融機関によるクラウドサービスの利用の実態」金融庁検査局　クラウド・コンピューティングに関するPT）

今後の課題

クラウドに関するリスクの評価に基づく管理体制の検討
・クラウド利用に関する内部管理体制にはユーザ金融機関の間でばらつき
・その背景には、クラウドサービス特有のリスク（アウトソージングに関する既存の枠組みをカバーされないリスク）についての認識のばらつき

■クラウドサービス特有のリスクについての金融機関、クラウド事業者、監査法人等関係者の認識の共有を踏まえたリスク管理体制のあり方についての検討の必要性

・そのために本PTによる実態把握を関係者にフィードバックする事の有益性
（出展：「金融機関によるクラウドサービスの利用の実態」金融庁検査局　クラウド・コンピューティングに関するPT） 

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。

>>　オンラインフォームよりお問い合わせを行う　<<