AWSの金融システム関連認証への対応状況と国内金融機関での活用事例

Pocket

大柳です。

今回はいつもの技術記事とは目線を変えて、AWSの活用事例を取り上げます。

先日、三菱UFJフィナンシャル・グループ(MUFG)は、クラウド利用に向けて米国アマゾンと契約を結びました。

三菱UFJ、システムをクラウド化 大手行で初 :日本経済新聞

“三菱UFJフィナンシャル・グループ(MUFG)は大手銀行で初めてインターネットで情報を保存して使用するクラウド方式に社内システムを刷新することを決めた。サービスを提供する米アマゾンと契約を結んだ。5年で百億円規模のコスト削減に加え、金融にIT(情報技術)を活用したフィンテック分野の業務にも迅速に対応できるようになる。”

国内のメガバンクでのパブリッククラウドの本格利用は初めてであり、今後、国内の他のメガバンクでもクラウド利用が加速する可能性があります。

これまで国内金融機関でクラウドの利用が進まなかったのは、個人情報や営業秘密などの重要情報を、インターネット上のクラウドシステムに置くことに対するセキュリティや情報管理面での懸念があったことが大きいです。しかしながら現実には、AWSのセキュリティは一般的なデータセンターと同じか、それを凌ぐ対策を講じていますし(※)、国内外の認証、基準、ガイドラインにも対応しており、すでに金融機関が利用する環境としては十分に整備されているのが現状です。

※:例えば、AWSのデータセンターは世界各地にあり、日本国内にも3か所あるはず(アベイラビリティゾーンが3つ)ですが、その場所はトップシークレットで、AWS社内のエンジニアも知らないほどです。

金融機関向けには以下の資料にAWSのセキュリティ体制や国内事例が紹介されています。
http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-online-seminar-aws-fisc

今回は、金融システムに求められる各種認証等へのAWSの対応状況と、国内金融機関での活用事例を紹介します。

AWSのセキュリティ対応状況

金融機関でのクラウドシステム利用について、AWSのセキュリティレベルは非常に高く、FISC安全対策基準、PCI DSS、ISO/IEC 27001、SOC1など主要な基準や認証への対応・準拠を表明しています

http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-online-seminar-aws-fisc から引用

FISC安全対策基準への対応状況

国内の金融機関におけるシステム対応のガイドラインとしては、FISC(財団法人金融情報システムセンター ) の『金融機関等コンピュータシステムの安全対策基準・解説書』があります。
FISC安全対策基準に準拠することは強制ではありませんが、日本国内の金融機関はこれらに対応したセキュリティ基準でシステムを構築・運用しています。
また、金融機関の内部監査、金融庁によるシステム検査もFISC基準を参考にして実施されます。
2014年にはFISCにより「金融機関におけるクラウド利用に関する有識者検討会」が開催され、そこでの議論を元に、2015年6月に「金融機関コンピュータシステムの安全対策基準・解説書(第 8版追補改訂)」が発行されて、クラウド利用時のガイドラインとなっています。

FISC安全対策基準の要件は多岐にわたり、AWS単独で達成できるわけではなく、ユーザとAWSで責任を分担する必要があります。
AWSではFISCにおけるセキュリティ対応状況を調査した結果を公表しており、これを参考にユーザはFISC安全対策基準に準拠したシステムを構築することができます。

PCI DSS

PCI DSS(Payment Card Industry Data Security Standard)は、 クレジットカード情報および取引情報を保護するためのクレジット業界におけるグローバルセキュリティ基準です。クレジットカード情報を利用するシステムが備えておくべき要件等が定義されています。例えば、以下のような基準が定められています。

PCIデータセキュリティスタンダード – Wikipedia から引用

AWSはPCI DSSの認証も受けており、クレジットカードを利用した決済サービスを運用するのに、必要なセキュリティレベルが提供されています。

国内金融機関での活用事例

ここまでAWSの各種認証への対応状況を説明しましたので、国内金融機関でのAWS利用事例について解説していきます。金融・証券サービス用途でのAWS国内導入事例は以下のAWSサイトにて公開されています。
https://aws.amazon.com/jp/solutions/case-studies/finance/
今回はここからソニー銀行、ジャパンネット銀行、ウェルスナビの事例を紹介します。

ソニー銀行

日本の金融機関でいち早くAWSを導入したのがソニー銀行です。
https://aws.amazon.com/jp/solutions/case-studies/sonybank/
2013年末から段階的に利用を開始し、キャンペーンサイト、Webコンテンツ管理、電子帳票システム、ログ保管、管理会計システム、DB 監査システム、ファイルサーバーをAWS上で稼働させています。

https://aws.amazon.com/jp/solutions/case-studies/sonybank/ から引用

事例紹介記事ではクラウド移行のメリットについて、以下のように報告されています。
・導入後のコストは、オンプレミス時代より30%以上削減された
・トランザクションのピークを見越して余分なリソースを調達する必要がなくなった
・テスト環境構築を迅速に行うことができるようになった
・運用/管理の自動化が進み、ビジネス全体がスピードアップした

ソニー銀行の事例は、国内金融機関でのクラウド利用実績が少ない中でクラウド化に踏み切り、コスト削減、ビジネスのスピードアップなどに成功した好事例になります。
ソニー銀行では、2017年度までには社内システムで移行可能なものについて、すべてAWSへ移行させるということです。

ジャパンネット銀行

ソニー銀行の事例に触発されてクラウド移行を推し進めたのが、ジャパンネット銀行です。
https://aws.amazon.com/jp/solutions/case-studies/japannetbank/

2015年6月からAWSの構築に着手し、2016年4月からActiveDirectory(AD)、メール(Exchange)、ファイルサーバーなど全社員が利用するOA環境がAWS に移行されました。

https://aws.amazon.com/jp/solutions/case-studies/japannetbank/ から引用

事例紹介記事ではクラウド移行のメリットについて、以下のように報告されています。

・新規サーバの構築期間が6週間から2週間にまで短縮された
・マルチアベイラビリティーゾーン(※)をまたぐ冗長構成により被災時の業務継続が可能となった
・事務拠点にあったファイルサーバーをクラウドに移行させ、セキュリティ上の課題を解決できた。

※マルチアベイラビリティゾーン:AWSの複数のデータセンターにサーバを分散して利用する構成

ジャパンネット銀行の事例では、クラウド移行により、被災時事業継続対応、セキュリティ向上に成功した好事例になります。
ジャパンネット銀行では、基幹系システムのうち一部チャネル系システムのクラウド化も検討しているとのことです。

ウェルスナビ

最後にFintechベンチャーでの利用事例として、ウェルスナビの事例を紹介します。
https://aws.amazon.com/jp/solutions/case-studies/wealthnavi/

ウェルスナビはロボットアドバイザーを活用して、ETFにグローバル分散投資できるサービスです。

AWSにはアプリケーション、データベース、ウェブサーバー、バッチ処理機能、ジョブ管理機能などを構築して運用しています。

https://aws.amazon.com/jp/solutions/case-studies/wealthnavi/から引用
ウェルスナビは、2015年4月に起業、会社設立からわずか9ヶ月後の2016年1月にサービスを開始しており、非常にスピード感のあるFintechベンチャーです。
短期間でサービス開始できた理由として、事例紹介記事では以下のように報告されています。

・AWSが金融サービスを始めるための必要な要件を満たすクラウドサービスだった
・米国連邦政府など規制が厳しい機関での利用により積み上げられたノウハウや仕組みがサービス化されている
・AWSはエンジニア層が厚く、経験値の高い優秀なエンジニアを確保しやすかった

ウェルスナビの事例は、低コストで、安全性の高いシステム基盤を、短期間で構築したという、スタートアップのお手本ともいうべき事例です。
ウェルスナビでは、第二世代のシステム基盤の構築を計画しており、さらなるシステムの改良や運用の改善を目指しているということです。

まとめ

いかがだったでしょうか。

AWSが各種認証へ対応していること、国内金融機関で好事例が積み上げられ、クラウド移行したことで様々なメリットがあったことがお分かりいただけたかと思います。

ナレッジコミュニケーションの紹介

最後に、弊社ナレッジコミュニケーションを紹介させていただきます。
ナレッジコミュニケーションではクラウドを活用したシステム設計・構築、運用・監視サービスを提供しています。
クラウドサービスとしてはAmazon Web Service(AWS) 等複数のパブリッククラウドに対応可能です。

今回はAWSと金融機関に関する話題ということで、手前味噌で恐縮ではありますが、弊社は昨年、三菱東京UFJ銀行開催のMUFGアクセラレータプログラムに参加し、機械学習を活用した融資モデルを提案しています。

MUFG Fintech アクセラレータ参加企業に決定致しました。

MUFG Fintech アクセラレータ DEMO DAYイベントレポート

アクセラレータプログラムでは、AWSの機械学習サービス(Amazon Machine Learning)を活用して銀行業務の改善の取り組みを行いました。
その後、銀行での実案件化には至っていませんが、弊社の機械学習ソリューション「ナレコムAI」は金融以外にも様々な分野に適用可能です。

ニュースリリース|最適なアルゴリズムを自動的に選定するナレコムAI
【導入事例】養豚事業を手がけるグローバルピッグファームで豚の出荷予測に機械学習を活用
最近注目されている人工知能、機械学習ですが、導入コスト、データ準備、データサイエンティストの採用など、利用開始までのハードルが高いです。そこで、ナレコムAIはExcelを使うように簡単に、また低予算から手軽に機械学習できるように開発したサービスです。
社内にあるデータをトライアルとして分析したい、といったPoCでの対応も可能ですので、ご質問、ご相談がございましたら、お問い合わせフォームからご連絡ください!

最後までお読みいただきありがとうございました。