見出し画像

金融システムにおけるクラウド化の動向

Dirbato公式

1.はじめに

 昨今、様々な産業におけるシステムのクラウドへの移行は増加傾向にあります。総務省の調査によると、クラウドを全社的あるいは一部で利用している企業の割合は2015年から2019年の間で約20%増加しており、2022年現在においてもシステムのクラウド化の勢いは未だ衰えていない状況です。数ある産業の中でも、比較的クラウド化のスピードが遅いと言われている金融システムですが、近年ではクラウド化の動きが顕著に表れています。周辺系のシステムにとどまらず、勘定系のシステムをクラウドで稼働させている銀行も見られ始めています。
 今回のコラムでは、金融システムの特徴やIT化の変遷を紹介し、金融機関がどのようにセキュリティリスクを克服しながらクラウド化に踏み切ったのかを論じます。最後に金融系システムのクラウド化の今後について考察していきます。

2.金融システムとそれを取り巻く環境

 金融システムは大きく預金や貸付、為替の業務を取り扱う勘定系システムとその他社内における業務をサポートする周辺系システムに分類されます。勘定系システムの技術的な特徴としては、メインフレームをベースとするシステムを利用しています。これには、膨大な量の重要情報を扱うため、高い処理能力と信頼性が求められることが理由として挙げられます。しかし、導入のリードタイムの長さや導入・運用・保守コストの高さ、改修を重ねたことによる複雑さがシステム上の課題となっています。
 金融機関はこれらのシステムの特性上、セキュリティを重視する守りのシステム開発やIT投資を行ってきました。そのため、システム開発のスタイルは変化せず、セキュリティに対するガバナンス体制もあまりアップデートされてこなかった背景があります。また、IT技術者のベンダー依存の慣習が根強く、自社の開発人員を削減する方向に動いているため、システムを根本的に見直す機会が少なかったと考えられます。
 その一方で金融業界は他の産業よりも比較的早い時期にIT化を実施しています。金融業界におけるIT化の変遷は以下の通りです。

 表. 金融機関におけるIT化の変遷

このように、金融業界では1980年代にはある程度のIT化が達成されました。そのような中、1990年頃からインターネットが発達し、それに伴う企業のシステムやビジネスモデルが転換期を迎えました。しかし、金融業界はシステムの安全性や保守的な企業体質も相まって、インターネットによる急速なIT化からは取り残される形となりました。

3.金融システムリスク改善フェーズへ

 金融システムは先述の通り、インターネットの発達によるIT化が進まなかったことで、クラウド化の大きな動きもあまり見られませんでした。中でも、金融システムに求められる高いセキュリティレベルが長年の大きな足かせになっていたと考えられます。金融システムのセキュリティ基準はFISC(金融情報システムセンター)や金融庁によって定められています。これらの機関がガイドラインや報告書でクラウド化やそのリスクに関して取りまとめを行い始め、金融機関にもようやくクラウド化の動きが見られるようになりました。
 FISCは2014年11月に「金融機関におけるクラウド利用に関する有識者検討会報告書」を作成し、金融業界におけるクラウドの利用環境の整備や活用を見据えて、メリットやリスク、社内のリスク対策やクラウド事業者に対する監査等について言及しました。翌年は、金融庁を含む多くの金融関連機関が参考とする「金融機関等コンピュータシステムの安全対策基準・解説書」が改訂され、クラウドとサイバー攻撃に関する項目が盛り込まれました。2016年には大手SIer9社が合同でFISC基準のガイドラインである「金融機関向け『Amazon Web Services』対応セキュリティリファレンス」を改訂しました。
 また、世界レベルでのサイバー攻撃が過熱している近年では、金融システムのセキュリティリスク対策はより重要性を増しています。2019年以降、キャッシュレス決済サービスを悪用したフィッシング詐欺の件数および不正な引き出し金額は増加傾向にあります。金融庁はこういったサイバー攻撃に対する対策の方針を日々アップデートしています。
 直近の2022年2月に金融庁は「金融分野におけるサイバーセキュリティ強化に向けた取組方針 Ver.3.0」をアップデートし、その中でインシデント発生時の対応計画やサイバーセキュリティの演習の実施を通して、システムの可用性やデータの機密性をより把握しておく必要性があると述べています。
 FISC・金融庁はクラウドの導入ルールの整備やセキュリティのリスク対策の取りまとめを実施し、クラウド事業者は金融向けの契約形態、責任分界モデル、国内データセンターの建設など実際のクラウド活用を見据えた体制を整備してきたことで、金融機関におけるクラウド化のハードルはある程度下がったのではないかと考えられます。クラウド化の大きな動きとして、2018年に都市銀行の1社が一部システムをクラウド化したことを発表しました。一部の周辺系システムから始まったクラウド化は、時間をかけて徐々に勘定系システムにおいても広がりを見せています。次章では実際に勘定系システムのクラウド化の事例を紹介していきます。

4.勘定系システムにおけるクラウド導入事例

  • ソニー銀行における事例
     ソニー銀行は2001年に設立されたインターネット銀行で、2013年時点で既にAWSの利用を開始しています。当初は周辺系システムから始まったクラウド化でしたが、2019年10月には勘定系の一部をAWSに移行したことを発表しました。また、2018年より次期勘定系システムの検討を行っており、2022年中の本番稼働を目指しています。
     これらの流れに至った背景の1つには、2018年にAWSが大阪に新たにデータセンターを設置したことで、可用性や耐障害性の改善が期待されたことが考えられます。2020年7月の時点では全システムのうち約80%がAWSで稼働しており、時間の経過とともに稼働率は上がっていくものと見られます。クラウド化によって、最大60%のコスト削減とシステム導入までのリードタイム短縮が実現されました。さらに、システム構築や運用保守の人的リソースを顧客要望の改善や新たなサービスの開発にシフトできるようになったという変化もありました。

  • 住信SBIネット銀行における事例
     住信SBIネット銀行は三井住友信託銀行とSBIホールディングスが出資し、2007年に設立されたインターネット銀行です。こちらもソニー銀行と同時期の2013年にAWSの利用を開始し、2017年には本格的なAWSの利用を開始しました。2020年に1月にはインターネットバンキングシステムのデータベースをAWSへと移行しました。増えていく膨大なデータを取り扱うサービスを開発するには、クラウドを活用する方がより大幅なコスト削減や顧客への迅速なデリバリーが実現できるので、そういった目的でのクラウド化も今後進んでいくものと見られます。実際のクラウド化の効果としては、コストが約40%削減され、システム導入までのリードタイムが約60%短縮しました。

 両社は当初よりシステム構成見直しのコストやクラウドのリスクよりもクラウド化による長期的なメリットを強く意識していると言えます。その上で、セキュリティリスクの克服には、クラウドを取り巻く外部環境と、ガバナンス等の内部環境両方の動きが大きく貢献したと考えられます。
 ソニー銀行では、外部環境としてFISCや金融庁のガイドラインの改訂や、クラウド事業者が日々アップデートするクラウドのサービス内容を把握し、常に最適な運用方法を模索しています。また、内部環境に関してはクラウド利用をベースとしたガバナンス体制を確立し、実際のクラウド利用時の具体的な社内規定を設けました。
 住信SBIネット銀行では、クラウド事業者と金融機関の責任範囲やクラウドサービスの詳細、データの持つ価値やクラウド化によるメリットを把握し、クライアントに理解してもらうことに注力しました。そして、社内でCCoC(Cloud Center of Excellence)と呼ばれるクラウド活用の専門組織を構築し、全社的にクラウドを推進していくためのルール作り等のガバナンス体制強化を行いました。いずれも、周辺系システムのクラウド化にてFISCや金融庁、クラウド事業者などのステークホルダーと連携し、会社的なクラウド推進プロセスを確立し、勘定系システムのクラウド化に辿り着いたと考えられます。
 補足として、勘定系システムと一口に言っても、銀行の規模やカテゴリによって異なってきます。そのため、大手都銀は先述のような金融システムの持つ特性や社内の体質により、中小銀行やインターネット銀行と比較すると勘定系クラウドへの移行には時間を要すると推測されます。

5.金融システムのクラウド化の今後

  昨今ではサイバー攻撃やキャッシュレス決済などFintech関連でのインシデントが頻発しており、全ての攻撃を完璧に防ぐことはほぼ不可能です。そのため、金融庁やFISCと連携しながら攻撃の影響を最小限に抑えるためのサイバーレジリエントなシステムを構築していくことが重要となってきます。抜け目のないセキュリティ対策は存在しないので、そこに注力しすぎるよりは、官民一体となってクラウドによって得られるメリットを追求していくことが望ましいのではないでしょうか。
 近年ではインターネットバンキングや金融EDIが発展しており、クラウドへの投資に対するリターンは今後も大きくなっていくことが予想されます。サイバーレジリエントなシステム構成にアップデートしていきつつ、これまでのコスト削減やシステム導入のリードタイム短縮といった守りのクラウド化から、効率的なデータ収集や利活用による新たなビジネスモデル創出といった攻めのクラウド化を行う方向にシフトしていくものと考えられます。
 

執筆者
金澤 春佳
株式会社Dirbato(ディルバート)
コンサルティンググループ コンサルタント

アプリケーションエンジニアとしてサーバーサイドの開発に従事。これまでに通信や人材サービス業界のクライアントを担当。趣味はレストラン開拓。

この記事が気に入ったらサポートをしてみませんか?