見出し画像

【その16】FinTech ~クラウドのセキュリティとコンプライアンス~

こんにちは。トラぺジウムです。

前回の続きで、

今回は、クラウドのセキュリティとコンプライアンスについての重要な点を書いていきたいと思います。


【1】セキュリティ

クラウド導入への最大の懸念・不安は機密性の確保です。

しかし、クラウドでのデータ漏洩事案のほとんどが

クラウド事業者でなく利用者側の設定ミスや脆弱性への対処漏れといった不備に起因して発生しています。

対策としては、

(1)

ISO27001、27017、27018PCIDSS(Payment Card Industry Data Security Standard)などの認証取得状況、SOC(Service Organization Control)レポートなどの監査法人による保証報告書などを通じ、導入候補となるクラウドの統制状況を確認しておく。


(2)

SaaS・PaaS・IaaSそれぞれの責任分担範囲を正確に理解し、自社管理範囲におけるセキュリティ対策をリスクベースで実施する。

(SaaS・PaaS・IaaSについてはこちらの記事に書いてあります。)

(3)

WAF、IDS/IPS、ファイアウォール等のセキュリティアーキテクチャの設計・構築に加え、CASB(Cloud Access Security Broker:ユーザーと複数のクラウドプロバイダーの間に単一のコントロールポイントを設け、ここでクラウド利用の可視化や制御を行うことで、全体として一貫性のあるポリシーを適用できるようにするというもの)による監視などの、運用面も含めて万全のセキュリティを確保する。


の三つが挙げられます。


【2】各国のデータ規制

クラウド利用時は、サービスの種類や保管するデータの内容により各国のデータ関連規制を考慮する必要があります。

従来は自社のオンプレミス環境であれば日本企業の場合は日本国内保管であったものが、

利用するクラウドサービスによって海外へ越境する場合があります。

よって、自社のデータがどこの地域に保管され、どのような規制を受け得るのかを把握し、

その上で適切なクラウドを利用する必要があるのです。


各国のデータ関連の規制の一例を以下にまとめておきます。

・日本

⇒ 個人情報保護法


・EU

⇒ GDPR(一般データ保護規則)


・アメリカ合衆国

⇒ FISMA(Federal Information Security Management Act)

⇒ CLOUD法(Clarifying Lawful Overseas Use of Data Act)


【3】マネーロンダリング規制

マネーロンダリング(資金洗浄)とは、

麻薬取引や賄賂で得た不正資金、テロ資金等を口座から口座へと移動させ、資金の出所や受益者を分からなくする行為を指します。

この規制はクラウド固有のものではありませんが、

日本国内のマネーロンダリングやテロ資金供与の動向のみならず、

海外当局のの監督もふくめた国際的な対策が求められています。

KYC(Know Your Customer)はその一例です。


【4】FISC安全対策基準

金融情報システムセンター(FISC)の「金融機関等コンピュータシステムの安全対策基準・解説書」(FISC安全対策基準)は

金融機関のシステム構築や検査を行うのに、安全対策に指針として活用されています。

金融分野でのクラウド利用にあたっては、FISC安全対策基準のリスクベースアプローチの考え方を理解するとともに、

クラウド事業者の責任範囲におけるFISC安全対策基準への準拠性を確認しておくことは必要不可欠でしょう。


【5】参考文献

技術評論社「フィンテックエンジニア養成読本」

「デジタルプラットフォームとしてのクラウド」より






この記事が気に入ったら、サポートをしてみませんか?
気軽にクリエイターの支援と、記事のオススメができます!
ありがとうございます!
22

こちらでもピックアップされています

FinTech Engnieering
FinTech Engnieering
  • 22本

FinTechとは何か、またFinTechによってもたらされた金融システムの革命やそれを取り巻く技術について書いていきます。 この内容は「フィンテックエンジニア養成読本」を参考にしています。 https://gihyo.jp/book/2019/978-4-297-10866-3

コメントを投稿するには、 ログイン または 会員登録 をする必要があります。