 |
菱沼 章太朗
Shotaro Hishinuma
日本アイ・ビー・エム株式会社
金融第二事業部
エグゼクティブITA
|
 |
深津 晋一郎
Shinichiroh Fukatsu
日本アイ・ビー・エム株式会社
金融第一事業部
Client Executive |
 |
三品 拓也
Takuya Mishina
日本アイ・ビー・エム株式会社
東京基礎研究所
リサーチ・サイエンティスト
|
| 大手金融機関様を担当するSEとして、お客様のビジネス変革を実現するプロジェクトをアーキテクチャ面でリード。近年はDSP基盤や日本におけるFS Cloudの展開などCloudやOpenShift®の技術を活用したプロジェクトに従事。 |
大手金融機関様の担当営業として活動する傍、FS Cloud推進リーダーとして、オファリング整備およびマーケット展開に関する企画推進を担当。DSPの国内立ち上げにもビジネス推進の立場で参画。
|
入社以来、セキュリティー、コンプライアンス及びクラウドを含むデリバリーオートメーションに関する研究に従事。
|
Cloudの利用を促進するための阻害要因(取り巻く背景)
「金融機関のゼロトラストを意識すると、実質的にクラウドはIaaSしか使えない」
某大手銀行のCIOの発言は、金融機関が抱える苦悩を端的に表しています。システムの構築スピードを向上させるには、パブリッククラウドを適切に利用してコストを抑えることが必須の検討事項ですが、一方で、システムに求められる法規制やセキュリティなどの要件への的確な準拠に多大な労力を要するために、検討自体を断念しているケースも少なくないのが実情です。要件準拠の確認は、構築時のみならず(機能の拡張時を含む)維持保守においても定期的な実施が必要となります。加えて、クラウドの機能拡張はユーザー側でコントロールできないため、意図しないデフォルト値の変更が意図しないタイミングで入る可能性がある点も、中長期的に労力が軽減されない理由となっています。
IBMはこれらの労力とクラウド利用のリスクを軽減するために、IBM Cloudを土台に構築された金融サービス向けパブリッククラウドのソリューション「IBM Cloud for Financial Services™」(以降FS Cloud)を2019年に世界で初めて発表しました。さらに2021年4月には、Red Hat® OpenShift®などのクラウドネイティブなサービスに拡張することが発表されています[1]。FS Cloudには、パブリッククラウド、ミドルウェア、構築・運用サービスのすべてを提供するベンダーであるIBMの特徴的なポジショニングが現れていると筆者は考えます。FS Cloudを利用することで、銀行様とそのパートナー様はクラウドの活用がより容易になり、新しいビジネスモデルの提供に集中することができます。
FS CloudにおいてIBMが提供するもの
FS Cloudにおいて、IBMは(1) IBM Cloud Policy Framework for Financial Services (以下Policy Framework), (2) Security & Compliance Center(以下SCC) , (3)Unique Cloud Feature, (4) ISV – Ecosystemを提供しています。
IBM® Cloud for Financial Servicesのサイト[2]にて発表されている内容で概要が掴めると思いますが、(3)Unique Cloud FeatureはIBM Cloud Hyper Protect Crypto Servicesに代表されるような金融のサービスを安全に稼働させるために活用する他社のCloudには無いサービス、 (4) ISV – EcosystemはAdobeなどに代表されるパートナー様がIBM Cloud上での金融のお客様へのサービス提供を容易にするものです。
一方で、 (1)Policy Frameworkと(2)SCCに関しては、発表後に機能が拡張されており、個別の機能に関しても順次発表が出ているため、全体像が掴みにくくなっています。そこで本稿では、(1)Policy Framework及び(2)SCCの内容と、それぞれの関係性を中心に記載します。
Policy FrameworkはFS Cloudの設計のコアとなる要件であり、これに基づいてFS Cloudは設計されています。また、金融機関に求められるセキュリティ基準や規制要件を数百の統制として整理しており、これとのFit&Gapを実施することで金融システムに求められる要件の把握が容易になります。FS Cloudは当初、Bank of Americaとの協業によって具現化されたため、米国の要件を中心に整理されていましたが、現在はBNPパリバや日本の金融機関も含めた協力体制のもとで推進されており、各国・各行のセキュリティ基準や規制要件とのFit&Gapや、その結果に基づく拡張の検討等が実施されています。
また、IBMではセキュリティ基準や規制要件の変化にも追従してPolicy Frameworkのアップデートを継続的に実施する予定です。従って、Policy Frameworkの利用は、金融機関が規制要件の変更とその影響を適切に判断する際にも役立ちます。
- Security & Compliance Center (SCC)とは
SCCはIBM Cloudで利用できるサービスの一つで、セキュリティーとコンプライアンス管理の観点からクラウドの設定が適切に実施されているか否かを確認するために利用します。
図1に示すように、SCCにおける管理はGoal、Control、Control Group、Profileといった構成要素で成り立っています。Goalにはセキュリティに関する具体的な検証内容やその実施方法などがパラメーターとして定義されており、Control GroupもしくはControlという塊でグルーピングされています。Profileとは、複数のControl Groupを束ねたものです。
図1. SCCの構成要素
IBMがSCC上で提供しているProfileには、セキュリティーのベストプラクティスであるCIS Benchmark [3]やクレジットカード業界のセキュリティー基準であるPayment Card Industry Data Security Standard(PCI DSS)[4]などがあり、2021年5月の時点では46のProfileが標準で提供されています。PCI DSSの現時点での最新バージョンである3.2に対応した PCI DSS 3.2というProfileを例に取ると、図2に示すようにGoalが階層で分類されており、最下層のGoalには具体的な要件が記載されています。
図2. ProfileごとのGoal表示例 (PCI DSS 3.2の場合)
Profileの多くはIBM Cloudを対象にしたものですが、Amazon Web ServicesやMicrosoft Azure、Google Cloud Platformを対象としたものも存在しています。また、図3に示すように、各Goalに対して、それが実際に設定されていることを確認するためのGoal logic(スクリプト)も提供されています。
図3. GoalごとのGoal logic表示例 (スクリプト)
FS CloudにおけるSCCの活用
前述のPolicy Frameworkに基づくProfileとして、”IBM Cloud for Financial Services v0.1”が提供されています。このProfileには、以下のリストに示す10のControl Groupをはじめ、44のControl、そして約100のGoalが定義されています(2021年6月現在)。
表1. IBM Cloud for Financial Services™ v0.1で定義されているControl Group一覧
- Access Control
- Audit and Accountability
- Configuration Management
- Security Assessment & Authorization
- Audit and Accountability
- Identification and Authentication
- Risk Assessment
- System and Services Acquisition
- System and Communication Protection
- System and Information Integrity
例えば、” System and Communication Protection”というControl Groupには、以下のリストに示した8のControlが定義されています。その中の一つである “SC-7: Boundary Protection” に紐づくGoalを具体的に見ていくと、“Check whether Cloud Object Storage is accessible only by using private endpoints” といったように、セキュリティ基準を満たすための具体的な実施項目が定義されています。
表2. System and Communication Protectionで定義されたControl一覧
- SC-5: System Documentation
- SC-7: Boundary Protection
- SC-8: Transmission confidentiality and Integrity
- SC-12: Cryptographic Key Establishment and Management
- SC-13: Cryptographic Protection
- SC-23: Session Authenticity
- SC-28: Protection of Information at Rest
- SC-36: Distributed Processing and Storage
つまり、図4に示すように、各金融機関が満たすべき要件とPolicy Frameworkとの間でFit&Gapを行い、SCCをカスタマイズすることで、クラウド上で稼働するシステムの確認が自動的に実施されます。これはシステムの初期構築段階における安全性が向上するだけでなく、システム拡張時や定常的な運用においても、定期的な確認によってセキュリティ要件の遵守状況を容易に確認できることを意味します。もちろん要件は機械的にチェックできるものだけではありませんが、それでも従来と比べると大きな効果が望めます。
図4. SCCによる設定確認のイメージ
SCCの実プロジェクトへの適用状況
IBMでは、金融サービス向けCloud上で、認証、諸届、口座照会、振替、資金移動といった銀行や金融業界共通のサービスを実行するプラットフォームとして、デジタルサービス・プラットフォーム(DSP)基盤を提供しています。実例として、あるプロジェクトではこのDSP基盤においてSCCを利用し、保守運用の負荷の軽減を行なっています。ただし、金融業界に特化したProfile 「IBM Cloud for Financial Services」のバージョンがv0.1であるため、現在はこれを使用せず、「IBM Cloud Best Practices Controls v1.0」を利用しています。「IBM Cloud for Financial Services™」のProfileも、将来的には適用を検討しています。
SCCと他ツールの連携
IBMは、SCCに関して、Open Security Controls Assessment Language (OSCAL)への対応を実施することを発表しています。OSCALはアメリカ国立標準技術研究所(National Institute of Standards and Technology: NIST)がセキュリティ管理規定を文書化した上で評価するために定めた文書規定で、機械判読可能(マシンリーダブル)である点が特徴です。この適用によって、様々なツールとの連携が可能になります。
一例として、対象のOpenShiftクラスタがCIS Benchmark for OpenShift v1.5に準拠しているかどうかを定期的にチェックするチェックツール「コンプライアンス・オペレーター」との連携についてご紹介します。(図4)。
Red Hat® OpenShift®の Kubernetes Serviceである「Red Hat OpenShift on IBM Cloud」(ROKS)クラスタに対しては、IBM Researchが作成したROKS用のProfileを利用することで、コンプライアンス・オペレーターによるチェックが可能となります。チェックの結果はセキュリティ設定チェックリストを記述する言語であるXCCDF (eXtensible Configuration Checklist Description Format)形式で出力されますが、IBMではこれをOSCALに変換するツールを開発することを発表しています。アメリカ国立標準技術研究所は、IBM OpenPages GRC Platformに代表されるGRC(Governance, Risk and Compliance)のためのツールについてもOSCALへの対応を求めています。将来的には図6に示すような形で様々なツールが連携することが期待されています。
図5. SCCとコンプライアンス・オペレーターとの連携
図6. SCCと他ツールとの連携
最後に
このように、FS Cloudを中心としたクラウドを安全に利用するための取り組みは日々進化しており、IBMとしても注力している分野であることがおわかりただけると思います。一方で、テクノロジーの変化が極めて早いため、個々の発表から全体像を的確に把握することは難しく、こうした理解のために本稿が有用となれば幸いです。
[参考文献]
[1]IBM News Room, 「IBM Cloud for Financial Services Accelerates Innovation with Support for Red Hat OpenShift and Other Cloud-native Services」, https://newsroom.ibm.com/2021-04-07-IBM-Cloud-for-Financial-Services-Accelerates-Innovation-with-Support-for-Red-Hat-OpenShift-and-Other-Cloud-native-Services#assets_all
[2] IBM® Cloud for Financial Services, https://www.ibm.com/jp-ja/cloud/financial-services
[3]CIS Benchmark, https://www.cisecurity.org/cis-benchmarks/
[4]Payment Card Industry Data Security Standard(PCI DSS), https://ja.pcisecuritystandards.org/minisite/env2/
*ProVISION 記事一覧はこちらから
IBM、IBMロゴ、およびibm.comは、米国やその他の国におけるInternational Business Machines Corporationの商標または登録商標です。他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。現時点での IBM の商標リストについては、ibm.com/trademarkをご覧ください。
Adobe, Adobeロゴ, PostScript, PostScriptロゴは、Adobe Systems Incorporatedの米国およびその他の国における登録商標または商標です。
Red Hat、OpenShiftは、Red Hat Inc.または子会社の米国およびその他の国における商標または登録商標です。
#Cloud
#Cloud#Highlights#Highlights-home#ProVision#ProVISION#ProVision-Cloud