{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
(左から)マネーツリー株式会社の梅谷 晃宏氏、PwCあらた有限責任監査法人の宮村 和谷
2019年にデジタルトランスフォーメーション(DX)が最も進んだ業界の一つとして挙げられるのが、金融業界です。多くのFinTech(フィンテック)企業が登場し、既存の金融業務の枠にとらわれないサービスを次々と提供したことで、金融業界を取り巻く構造も大きく変化しました。しかし、同時にリスクコントロールやセキュアなインフラの構築も課題となっています。最新のIT技術を活用しつつ、リスクを低減させるためにはどのような取り組みが必要なのか。家計簿アプリをはじめとする個人資産管理サービスを提供するマネーツリーのCISO(Chief Information Security Officer/最高情報セキュリティ責任者)で、内閣官房 IT総合戦略室 政府CIO補佐官を兼任する梅谷 晃宏氏に、PwCあらた有限責任監査法人パートナーの宮村和谷がお話を伺いました。(文中敬称略)
※備考
本対談は11月13日に開催された「PwC’s Digital Trust Forum 2019 デジタル化する社会におけるサイバーセキュリティとプライバシー」のセッションを基に再構成したものです。
対談者
マネーツリー株式会社 CISO
内閣官房 IT総合戦略室 政府CIO補佐官 梅谷 晃宏氏
PwCあらた有限責任監査法人
パートナー 宮村 和谷
マネーツリー株式会社 CISO、内閣官房 IT総合戦略室 政府CIO補佐官 梅谷 晃宏氏
宮村:
最初に梅谷さんの経歴を聞かせてください。現在はマネーツリーでCISO(Chief Information Security Officer/最高情報セキュリティ責任者)を務め、内閣官房 IT総合戦略室 政府CIO補佐官も兼任されていらっしゃいます。また、FISC(The Center for Financial Industry Information Systems/公益財団法人 金融情報システムセンター)の委員会メンバーとしてもご活躍ですね。
梅谷:
マネーツリー入社以前は、大手クラウドコンピューティングサービス会社の日本法人で、クラウドサービスのセキュリティやコンプライアンス遵守の向上といったタスクにグローバルチームと共同で取り組んでいました。それ以前は、金融や医療・医薬、政府関連などのコンプライアンスソリューションの開発に携わっていました。FISCでは委員会などを通じ、クラウドを活用した金融機関向けのセキュリティやコンプライアンス、リスクの考え方などを議論しています。
宮村:
では、FISCでの議論も踏まえながら、金融機関のリスクコントロールについてお聞かせください。FISCは2016年から2017年にかけて、「金融機関におけるFinTechに関する有識者検討会」を開催していましたね。大手金融機関、ITベンダー、大学教授などの委員と金融庁のオブザーバーが参加し、金融機関のFinTechに関する安全対策の指針について議論されていました。
梅谷:
はい。2017年3月に開催された第4回では「クラウドサービス利用時の監査やリスク」をテーマに発表をする機会をいただき、それに基づいた議論もさせていただきました。そこでは原点に立ち返り、「そもそも何のためにリスクコントロールをするのか」を中心に議論しています。「リスクコントロールは実際のビジネスに役立てられないと意味がない」ということを強調しました。
情報システムのリスクを考える時に基礎となるのは、「リスクを分解すること」です。特定のリスクに対して、それをどの程度低減させるのか、または受容するかを決定するには、リスクごとに識別・分析をする必要があります。その上で、「どのリスクを、誰の責任で低減させ、最終的に何を達成するか」を明確にする必要があると思います。つまり、「リスク評価を通じて、そのテクノロジーに固有のリスク特性を把握することが大切だ」と提言しているのです。
逆に言えば、「テクノロジー的なリスク特性の把握を抜きにリスク評価をしていませんか」と問題提起をしたつもりです。同時に、経営層に対しては、「リスクコントロールはコストの側面だけでなく、企業の価値を最大化するためである」という点も強調しておきたいと思います。一連のFISCの有識者検討会の議事録は公開されていますので、ぜひ読んでみてください。発表から約3年がたちますが、こうした視点でリスクを捉えられている企業は多くないように見受けられるため、今でも十分に有益な情報かと思われます。
宮村:
「リスク評価を通じてリスク特性を把握する」ことと、「リスクコントロールは企業の価値を最大化するためである」というポイントは、これまでも私を含め監査人が口を酸っぱくして言い続けてきたことです。こうした視点が昨今、再び注目されていますね。
梅谷:
その視点がまた注目されているのは金融機関とFinTech企業、そしてITベンダーの三者が分担する安全対策責務の「バランス」を再考せざるを得ない状況に鑑みる必要があります。金融システム全体として取り扱うべきビジネスの可能性(オポチュニティ)とリスクが、きちんと配分されていないように見えます。
宮村:
安全対策責務のバランスを再考せざるを得ないとは、どういうことでしょう。
梅谷:
FinTech企業が存在しない時代には、金融機関とITベンダーの双方で金融システムのリスクを考え、その安全対策に関する責務を配分していました。そこにFinTech企業がプレイヤーとして参入したことで、安全対策責務はFISCの有識者検討会の報告書にも示されているように再配分されることになっています。しかし、現在の配分バランスは、三者がお互いに納得できているとは言えないのではないでしょうか。その結果、リスクコントロールが正しくできていない状態になってしまっていると思います。
さらに、金融機関とFinTech企業、そしてITベンダーの三者では、テクノロジーに関する知見や経験、あるいは新しいテクノロジーの採用方針などにズレがあり、結果としてリスクに対する考え方にもズレがあると感じます。これも安全対策責務の配分バランスを悪くしている一因です。
宮村:
なぜ、安全対策責務の配分バランスが悪いのですか。また、三者の間にあるリスク認識のズレとはどのようなものでしょうか。
梅谷:
安全対策責務をバランスよく配分するためには、金融システムに携わるプレイヤー全員がテクノロジーを理解し、システム全体を俯瞰してビジネスインパクトを把握し、同じ視点を共有する必要があるでしょう。その上で何がセキュリティリスクのポイントなのかを確認し、「誰が」「どの部分に対して」「どこまで責任を負うか」を明確にしなければなりません。現状ではこれらの役割分担が曖昧になる、あるいは形骸化していると感じます。
例えばITベンダーとFinTech企業が考えるリスクは、テクノロジーを活用した実務的なコントロールによって軽減されていることが多いと思います。具体的にはセキュリティやコンプライアンス上の要求事項が、どのように実際のコードやサービスやそのオプションの動作によって満たされるのかなど、具体的な動作やその検証結果をコントロール策としていることが多いと思います。一方、例外はありますが、金融機関はテクノロジー的な側面からリスクを考慮し、コントロールしていくという側面は概して弱いのではないでしょうか。
今、金融業界で課題となっているのが、各種サービスを連携するためのAPIのセキュリティチェックリストの内容に関する認識のズレです。
APIのセキュリティチェックリストには、金融機関からFinTech企業に対する遵守要件が列挙されているのですが、前提となるテクノロジー的な側面の考慮に欠ける傾向が見受けられます。また、従来の開発プロセスやテクノロジーを前提にしたチェックリストを基にしているため、FinTech企業が提供するサービスの基盤となる技術に関連したリスク、あるいはチェックするべき内容と本質的なズレがあると思います。
宮村:
現在利用されている技術の特性を理解しないまま、従来のセキュリティ対策に基づいたチェックリストで評価しようとしているのですね。
梅谷:
金融システム全体のリスクを把握するためには、そこで利用されているテクノロジーやアーキテクチャを理解し、技術に由来するリスクを正しく把握する必要があります。
金融機関は金融庁からの要請や規制対策を考慮し、関連するドキュメントやポリシーあるいはチェックリストの作成といった実務には経験豊富で知見も深いと思います。しかし新しいテクノロジーの知見や、それを活用した実務的なコントロールの構築に弱い傾向があります。一方、FinTech企業はそうしたテクノロジーには詳しく、その活用や新たなアイデアを生み出すことは得意ですが、コンプライアンス的な関連文書の整理、規制要件を考慮した全体統制の構築などは、あまり得意とは言えないのではないでしょうか。
そうした金融システムのリスクコントロール全体のリーダーシップは、金融業界での実績と知見がある金融機関に担当していただきたいのですが、それにはこれまで述べたような新しいテクノロジーへのキャッチアップを起点とした、克服すべき課題があると考えています。
PwCあらた有限責任監査法人 パートナー 宮村 和谷
宮村:
テクノロジーやアーキテクチャのリスクを把握するには、具体的にどのような部分に注目すればよいのでしょうか。
梅谷:
クラウド全体のアーキテクチャとそのメリットを理解した上で、そのリスクを評価・把握することが大切です。
クラウド環境、特にIaaS(Infrastructure as a Service)を考慮する際の要点を端的に言うと、「ソフトウェア的にプログラミング可能なインフラストラクチャである」ということを念頭に置くと理解がしやすいのではないでしょうか。あらゆるクラウド環境上のリソースをAPIやさまざまなオプションを使って設定・構築可能であるため、設計段階からさまざまな設定を織り込んで柔軟にシステムを構築可能です。例えばセキュリティやコンプライアンス、品質要件を設計開発段階から組み込み、テンプレート的に環境を用意することで、再現性の高いセキュアな環境を構築することができます。
どのようなログが取得できるのかなども、設計段階で把握可能です。「誰が、何時何分に、どの環境を操作したか」「その結果、どのようなシステム構成の変化があり、どのような構成上の差分が発生したか」などといった監査要件を整理し、直接サービスやオプションの設計に反映して、監査の効率化や自動化につなげることが可能となります。
宮村:
クラウドであれば、監査に必要なログが豊富で、監査実行の自動化も可能ですね。ただし、そのメリットは、あまり知られていないのではないでしょうか。
梅谷:
おっしゃるとおりです。金融機関側のクラウド環境の利用にあたってのリスク把握という視点も重要です。しかし、クラウド環境によるリスクコントロールの向上についても目を向けていただかないと、クラウドを使う利点を生かしきれないと思います。金融機関側でも積極的にクラウドアーキテクチャや本質的な利点を学ぶ姿勢が必要ではないでしょうか。分からない部分はITベンダーやFinTech企業の担当者に質問し、疑問を解消しつつお互いに前進していくしかないでしょう。「よく分からないから手を出さない。リスクが不明なので活用しない」では、新たな価値の創出は期待できなくなってしまい、見えにくい機会の損失が発生してしまうのではないでしょうか。
一方、ITベンダーやFinTech企業も、クラウド活用のメリットや実務的なリスクコントロールを訴求し、幅広く市場に浸透させる努力をしていく姿勢が求められると思います。
宮村:
マネーツリーではどのような取り組みをされているのでしょうか。
梅谷:
マネーツリーでは、一般ユーザー向けの「Moneytree」と、企業向けの「MT LINK」の2つのサービスを主に提供しています。Moneytreeは個人資産管理サービスで、ユーザーが所有する複数の銀行口座や証券、保険、クレジットカードやポイントなどの情報を集約し、さまざまなアプリケーションで見られるようにするものです。
一方、MT LINKは金融インフラのプラットフォームで、サイロ化している金融機関のデータを統合・標準化し、APIとして提供しています。分かりやすく言うと、PaaS(Platform as a Service)的な金融機関向けの情報交換プラットフォームのようなものです。
MT LINKは、これまで単体の金融機関では収集が難しかったデータを収集・活用し、新たな価値を提供することで、金融機関のビジネスの強化を支援することを目的としています。ユーザーが保有するさまざまな金融機関の情報を、明確な利用目的別の同意を得た上で、金融機関が提供するサービスに連携します。
こうした情報交換基盤は、金融機関以外にも適用できると考えています。例えば、シェアリングエコノミーのサービスを創造し、市場を活性させていく意味でも重要なソリューションだと確信しています。ちなみにMT LINKは2700以上の国内金融機関システムに対応し、50社以上の導入実績があります。利用者は400万人を突破しました(2020年3月時点)。
宮村:
「Moneytree」は海外でもサービスを展開していると伺っています。
梅谷:
はい。2017年からオーストラリアで提供しています。ですから、企業向けの金融インフラプラットフォームMT LINKのアーキテクチャは、日本だけでなくオーストラリアの個人情報規制にも対応するために設計されています。それができるのは、MT LINKのアーキテクチャが全てクラウド環境上にあるからです。前述したとおり、複数のコンプライアンス要件を満たすことが可能で、セキュリティ上の統制やデータ処理、また監査に活用するためのデータ収集も自動化されています。こうしたことが可能なのも、コンプライアンスやセキュリティ要件をプログラム的にアーキテクチャに反映できるというクラウド環境の特性を考慮した実装をしているからです。
また、「データフロー」、「オペレーション上のアクセスフロー」などを全体のシステムアーキテクチャと共に把握し、「どこにリスクが存在し」、「どのようにセキュリティ対策を講じる必要があるか」、「API連携する際のデータフローはどうなっているのか」などを考慮しながらシステム設計をする必要があります。
宮村:
マネーツリーではどのようにシステムの構成要素を把握しているのでしょうか。
梅谷:
マネーツリーではそれぞれのコンフィグレーションファイル(※1)、アーキテクチャ全体構成図、監視・監査用のサービスのアウトプットから確認してシステムアーキテクチャを包括的に把握し、コンプライアンス要件を満たしているかを確認しています。また、具体的なアーキテクチャやテクノロジーを考慮し、反映したチェックリストは非常に有効であると思います。
宮村:
「コンフィグレーションファイルを読む」ことはIT技術に精通していないとハードルが高そうです。
梅谷:
確かにコンプライアンスだけを専門にしている人は、尻込みしてしまう作業かもしれません。しかし、多くの情報がインターネットで入手可能ですし、簡易なトレーニングコースも現在では提供されています。豊富な基礎知識をオンラインで無償で手に入れられることが多いのではないでしょうか。また、重要なのは技術者と一緒に作業をして質問を重ねて、お互いの共通理解を深めていくことです。技術者のサポートがあれば決して難しいことではありません。また、外部のクラウドに精通したコンサルタントや監査人の意見を求めることも有効な手段と言えると思います。
宮村:
不安な部分は監査人にも意見を求めることができますね。
最後に質問です。デジタル化がさらに加速する昨今、企業が持続的に発展するためには、データの安全性や信頼性の担保が欠かせません。こうした課題に取り組むために、企業がまずやるべきことは何だと思われますか。
梅谷:
セキュアなデジタル世界を構築し、「デジタルトラスト」を実現するには、データの信頼性はもちろん、企業にはリスク管理のプロセスやテクノロジー的な特性を理解することが求められます。テクノロジーを正しく理解しないかぎり、デジタルの本質を把握することは難しく、そのリスクを把握するのはもっと困難かと思います。そのためには「新しいテクノロジーの知見を積極的に得る、リスクに着目するだけでなく、メリットにも目を向けて活用してみる」という前向きな姿勢が大切だと思います。
宮村:
ありがとうございました。
※1 コンフィグレーションファイル
動作するプログラムや構成など、システムの利用者が指定・変更できる項目を記述したファイルのこと。