【実は使える】金融システムでAWSを使う場合の３つのポイント

大手の金融機関でもAWSの採用が事例として発表されるなど、最近では金融機関でもAWSの積極的な活用が広がっています。特にFinTechで新しいサービスが次々と生まれる中、アイデアを素早く実現するためにクラウドが活用されるケースは少なくありません。

一方、「クラウドではコントロールできる環境が手元から離れてしまう」という漠然とした不安感から、特に安全性を求められる金融関連のシステムでクラウドを活用することに抵抗感があるのも事実です。

本記事では、金融システムでAWS活用を検討する場合に押さえておきたいポイントをわかりやすく解説します。

金融システムにはFISCやPCI DSSといったセキュリティ基準があります。「クラウドはこうした基準に対応ができない」、「クラウドはセキュリティ基準を満たすことができない」という話を耳にすることがありますが、これは誤りです。
AWSではインフラレイヤーとして必要な対応が講じられており、金融システムであっても、適切な構成をとることで、基準に準拠していくことが可能です。ただし、インフラレイヤーだけでなく、アプリケーションレイヤーでの対策も含めて対応をする必要があります。

どういう対策が必要なのかを正しく理解して、本来クラウドがもたらす価値をどう享受できるのかに目を向けましょう。

具体的にどんな対策を講じればよいのでしょうか。現在、AWSのソリューションを提供するベンダーのコミュニティから、金融システムでクラウドを活用する際のセキュリティ対応をまとめたリファレンスマニュアルが公開されています。各社のエンジニアが仕様や難しいルールを解釈し、厳しいセキュリティ基準に対応しながらどうクラウドを活用できるかをまとめたものです。

このマニュアルでは100項目を超えるポイントが解説され、開発から運用、監査まで、確認すべきポイントがまとまっていてこれを参考に対策を講じることができます。このリファレンスは随時更新されているので、最新版を常に確認されることをお勧めします。

最後にお伝えしたいポイントは「セキュリティ設定が正しく設定されているかを専門家と確認する」ということです。ガイドラインを参考に対策を講じていく際には、技術面の専門知識も必要です。ガイドラインはあくまで実施方針・考え方を掲載しているのみですので、実現するには技術面も把握した上で実装を行う必要があります。しかし、クラウドは変化も早く、特有のノウハウが必要とされる場合もあります。

この点において、設定項目については、金融システムでの導入実績を持つソリューションプロバイダなら、必ずノウハウを持っているので、ガイドラインと照らし合わせながら設定理由も含めて確認しながら進めていきましょう。

ソリューションプロバイダによっては、AWSセキュリティ設定診断をやっているところもあるので、適切な設定が実施できているのか診断をうけることが可能です。この時、外部に公開するシステムであれば、合わせて脆弱性診断を受けることで、総合的な安全性も確認することができて、より確実な対応が可能です。

今回は、金融システムでAWSを使うということを考えてみました。適切な設定を行うことで、高い安全性が必要なシステムでも安全基準に準拠して、クラウドを活用できることがお分かりいただけたでしょうか。

より安全性を高めるためには、専門家の診断も活用するなどしてクラウドのメリットを最大限享受できるように対応しましょう。