アマゾン ウェブ サービス(AWS) ジャパンは12月8日、都内で「AWS FinTech リファレンス・アーキテクチャ日本版」とAWS セキュリティの方向性に関する記者説明会を開催した。
同リファレンスは、金融機関において参照されているFISCの安全対策基準をはじめとした各種のガイドラインや標準規格の主要な要求事項を網羅的に整理。AWSの環境とサービスを活用して要求事項を満たすための技術的な検討を行った上で、ベースラインとなるシステムフレームワークを作成し、AWS CloudFormationのテンプレートとして実装しており、AWS上にFinTech向けの環境を展開することが可能なソリューションとなる。
具体的には、「Fintech リファレンス・ガイド」と「Fintech リファレンス・テンプレート」から構成されている。Fintech リファレンス・ガイドはFISC API接続チェックリスト、FISC安全対策基準、PCI DSS、ISO27001を網羅的に参照し、AWSでそれらに準拠していることを確認する方法、あるいは利用可能なAWSのサービスを整理したドキュメント。Fintech リファレンス・テンプレートは設定内容をAWS上で実装したテンプレートとなる。
アマゾン ウェブ サービス ジャパン セキュリティ・アシュアランス本部 本部長 アジア・太平洋地域担当の梅谷晃宏氏は「FISCや金融庁と意見交換を行う際、金融機関のセキュリティはどうあるべきか、そしてクラウドがどのようにサポートできるのかということが議論されている」と、述べた。また、6月に行われたFinTechの有識者検討会では、金融機関が適用する規制においてクラウドを活用するために、クラウドに関する安全、リスク、特性について改めて検討し、技術の先進性が議論の焦点となったという。
例えば、設備やハードウェアなどの物理的な対策が、ソフトウェア技術によっても同等程度に達成できる場合がある。さらに、技術変化の影響を受けやすい設備・技術が技術変化の状況を踏まえることなく、字義通りに利用されるといった不確実性が残る。加えて、重要な情報システムにおいて、金融機関は監査を行うことを前提としつつ実効性は確保しなければならない、と指摘している。
そのような状況を踏まえ、梅谷氏は「従来のセキュリティの発想は、オンプレミスとクラウドで実現可能なセキュリティ要件を比較し、クラウドにおいてどの程度オンプレミス環境で実現しているセキュリティやコンプライアンスに近づけるかというものだった。現在の方向性としては、クラウド環境ならではのセキュリティサービスが登場している。AWSのセキュリティサービスを使用すれば、従来は不可能だったセキュリティ投資の目標・分析が可能になり、クラウドの安全性をオンプレミスと同等にすることなど、効率化、コスト低減、統制などを実現できる可能性がある」と強調する。
AWS FinTech リファレンス・アーキテクチャ日本版はCompliance As a Codeを実装しているため、インフラのプログラムを可能とし、コマンドライン、コンフィグ、ログで環境をすべて把握できる。システム環境の構築時から規制に準拠した機能を実装しておけば、システムを展開した後も準拠した形になり、自動化によるリスクの低減、可視化などを実現できるという。
一方で、従来からAWSのセキュリティの強みは「Infrastructure As a Code」だ。これはプログラムが可能なインフラであり、物理環境の操作やプロセス、管理、その対象・主体を、クラウド環境でソフトウェアコード、データ定義として実装することで、さまざまな運用プロセスの自動化・効率化し、実行を可能とする。これにより、クラウド環境では把握が難しいものを可視化することで、API(実行内容)、コンフィグレーション(構成情報)、ログ(実行結果)で把握を可能としている。
アマゾン ウェブ サービス ジャパン 事業開発本部 マネージャー(金融サービス)の飯田哲夫氏は、同アーキテクチャの活用により期待される効果として「金融機関とFinTech企業の両者間におけるセキュリティチェックのプロセスを効率化し、テンプレートの活用で新規サービスを効率よくセキュアに設計できる。また、セキュリティ、コンプライアンスでの要求事項の重要度を説明するための基礎材料として活用し、結果として金融機関とFinTech企業の双方がサービスレベルの高度化が実現される」と、説明した。
なお、説明会では機密データを検出・分類・保証するための機械学習によるセキュリティサービス「Macie」(Amazon S3に保存されたデータのみ)、脅威検出と監視によりAWSアカウント・ワークロードを保護する「Amazon GurdDuty」についても言及していた。MacieはAIを使い、AWS内の機密データを自動的に検出・分類・保護し、データの可視化やユーザーの動作分析、自動アラートなどを実現している。
Amazon GurdDutyは、AWS環境における脅威検出を目的としたマネージドサービスであり、悪意のあるスキャンやインスタンスへの脅威、アカウントへの脅威を検知し、重要度を「High」「Medium」「Low」に分類して顧客に通知。バックドア、ペンテスト、トロイの木馬などの検知に対応しているという。