金融情報システムセンター
理事長
渡辺 達郎 氏
――金融情報システムセンター(FISC)の活動について…。
渡辺 金融機関の経営者を含め、システム関係者の一番の関心事項は、なんといってもサイバー攻撃対応だろう。常に小さな攻撃は行われており、これが大きな事案になれば相当な痛手を負うことになる。そこで、当センターでは昨年6月から有識者を集めてサイバー攻撃対応に関する検討会を開き議論を重ね、今年2月にその報告書を取り纏めて公表している。その内容を簡単に説明すると、今までのサイバー攻撃対応はとにかくウィルスが入ってこないように入り口で遮断することに重点を置いてきたが、もはやそれでは追いつかず、今後は仮にウィルスが入ってきた場合でも対応出来るように多重の防御態勢が必要ということだ。この報告を具体的にどのようなルールにしていくのかを、現在、安全対策専門委員会で検討している。新しい安全対策基準は来年に完成する予定だ。
――サイバー攻撃対応に関する有識者検討会では共同対応機関設立についての議論もあった…。
渡辺 米国、欧州、及び韓国などには、金融機関同士が相互に協力してサイバー攻撃に対応する金融アイザック(ISAC=Information Sharing and Analysis Center)という機関があり、日本でも同じような共同対応機関を設立したらどうかという議論があった。有識者検討会の報告書では、この設立の仕方に関し、国内に既に存在しているサイバー情報の共有体制等の枠組みを発展させる方法、あるいは新たな組織や枠組みを作り、既存の枠組みと連携、役割分担する方法が考えられると結論付けた。今後、組織構成、費用負担、役割分担や具体的に担う機能・提供サービスについて、関係者の間で更なる実務的な検討が必要になると考えている。
――民間では8月1日付けで「金融ISAC」という社団法人が設立され、現在、会員を募集しているが…。
渡辺 これは色々な意味で関心を持って見ている。サイバー攻撃を受けるリスクについては、国際的に活動する大手金融機関だけでなく、中小金融機関も相応に狙われる可能性がある。その時のために我々もある程度の準備は必要だ。「金融ISAC」も含めて共同対応機関に関する議論・検討については、様々な整理が必要になると思うが、FISCとしても支援していきたいと考えている。
――コンピュータ技術が進む中で、金融分野は他の分野に比べてクラウドコンピューティングの利用が遅れている…。
渡辺 重要データを外部環境に保管することによる情報セキュリティの懸念やクラウドサービスの信頼性に対する不安を持つ金融機関が多くみられる。しかし、クラウドコンピューティングを使えば大幅なコスト削減が出来て、日本の金融機関の競争力も高まってくる。実際に使うか使わないかはそれぞれの金融機関の経営判断だが、ビッグデータによる色々な分析や細かいサービスを上手く使いこなせるかどうかで今後の日本の金融界が大きく変化していくということを考えれば、少なくとも使える環境は整えておくべきだろう。当センターでは今年4月から毎月1回、学界、金融業界及びベンダーの有識者を集めて金融機関のクラウド利用に関する検討会を行っている。国立情報学研究所の喜連川優所長を座長に迎え、「金融機関がクラウド技術の特性とリスクを正確に把握した上で、リスクを最小限に抑えつつ、クラウド技術のポテンシャルを最大限に活用していくためにはどうしたらよいか」をテーマに議論しているのだが、ポイントは、リスクを出来るだけ事前に把握して、それに備えたリスク管理や契約管理を適切に実施していれば、残るリスクはそれほど大きくないということだ。考えられるリスクをしっかり議論し、それを踏まえて必要となる留意ポイントを策定する。検討会は引き続きあと2回行われる予定で、その結果を新しい安全対策基準に盛り込んでいくことになる。
――これまで一つだった安全対策基準を、今後は業態別に分けていくということだが…。
渡辺 FISCは今年で設立30年になるが、これまでの安全対策基準は銀行も証券会社も保険会社もすべてひとつの安全対策基準だった。30年前はそれでもよかったのかもしれないが、今となっては証券会社のトレーディングシステムと銀行の預金管理の決済などがすべて同じ安全対策基準というのはかなり違和感がある。現場の声を聞いても「使いづらい」と言う意見が多くなっている。そこで、銀行と証券と保険の3つに安全対策基準を分ける取り組みを始めた。すでに証券会社用の安全対策基準は試行版が完成しており、現在は保険会社用の安全対策基準を策定中だ。その後ネット銀行に関する検討を行い、業態別編の発刊を来年度予定で取り組む計画だ。
――今後の重要な検討テーマは…。
渡辺 ITガバナンスの問題だ。当センターでは、これまでハードウェアやソフトウェアに関する安全対策基準づくりには充分に力を注いできたが、半面、それを使っている人間の組織やガバナンスについては充分に行き届いていたとは言えない。技術が急激に発展していく中では仕方が無かった部分もあると思うが、もはやそれだけで良いというような時代は終わった。現在起きている事案の多くは、ITを使っている人間の組織の中にその原因がある。特定のポストの人に権限が集中してしまうことで牽制機能が働かないという問題があるにもかかわらず、どのような組織設計をすれば相互に牽制されて盲点が生じないのか、といったことを充分検討できていない。これらは一般的な会社の例だが、これを金融情報システムに置き換えると、例えば「共同センター」の問題が浮き上がってくる。地銀などが窓口業務の省力化や経費負担を軽減するために利用する「共同センター」には幹事行とベンダーが存在し、その二つにほぼすべてが任せられている。且つ、ベンダーは幹事行よりも内部事情をよく知っている。そうなると、幹事行をはじめとする参加行すべてがベンダーの言いなりになりかねないという状態が生じてしまう。このような状況の中で、何かトラブルがあった場合にそのトラブルの内容が参加行サイドには分からないという事態に発展する可能性がある。このため、今は応急処置的なルール改定に向けた検討を行っているが、この問題に関しては根本的な対策が必要だと考えている。この他にも、システム統合、委託先管理、アジアの安全対策基準の調査などがある。例えば、地銀の再編などを容易に行うためにはシステム統合がスムーズに行われる事が欠かせない。共同センターの問題でもそうだが、委託先をきちんと管理することはトラブル防止のための最大事項だと言えよう。そして、アジアとの関係構築にあたっては、国家間での安全対策基準の差を踏まえて、その対策を行うことが必要になってくるだろう。安全対策基準の低い国からウィルスが持ち込まれたりする可能性もあるからだ。そのための調査・研究には力を入れていくべきだと考えている。
――今後、地方会員との関係強化にも取り組んでいくということだが、具体的に…。
渡辺 これからの金融機関は、ITを使いこなさなければやっていけない。しかし、コンピュータ関係の有識者のほとんどは東京近郊に集中しているため、どうしても地方での知識習得機会のギャップは大きくなっている。こういった背景から、我々が地方で行うセミナーは大変好評で、地銀の経営者からも喜んでもらっている。これまで地方の会員企業からの依頼で出張講演などを行う訪問サービスについては実費をいただいていたが今年7月受付分から無料化したことに加え、地区別に行うセミナーの回数も増やすことにも取り組んでおり、地方の金融機関にもっと当センターを利用してもらいたいと考えている。このような研修を充実させることで人材リソースが確保されれば、何かを独自開発する際にもきっと役立つだろう。差別化に取り組んで成功した銀行だけが生き残っていく時代。FISCの行うIT人材育成を目的とした施策が、地方の金融機関のIT人材の底上げにつながっていけば良いと願っている。(了)