クラウドサービス市場が一段と急成長している。これまで各企業がオンプレミスやデータセンタで運用していた自社サーバのクラウドへの移行はさらに加速するだろう。同時に、多種多様な新しいサービスがクラウドを活用して提供されるようになってきた。

一方、なかなかクラウド化が進まない分野もある。難しいものの一つが、金融業界の勘定系システムだ。新興のフィンテック企業ならまだしも、既にシステムが動いている既存の金融機関にとって、根幹の勘定系システムをオープンシステムに移行するのは容易ではない。コストだけではなく、セキュリティの問題も多分にあると思われる。

日本における金融業界のセキュリティ基準は、金融情報システムセンター (FISC)が定める『金融機関等コンピュータシステムの安全対策基準・解説書』（最新版は今年3月に公開された第９版）に基づいている。多くのクラウドサービス事業者が、この基準への準拠を明示している。これもあり、情報系システムなど周辺システムをクラウド化する金融機関は出てきている。

日本では、FISCが定めるこの基準に基づいて金融庁による検査・監督が行われているが、世界的には当局が自らルールやガイドラインを定める国が多く、その内容もかなり厳しい。加えて、アジアの新興国を中心に金融関連データの国外持ち出しまで制限する国(Data Localization Regulations)もあり、そうなるとデータの所在を保証できないクラウド事業者は、サービスを提供できないことになってしまう。

シンガポールの例である。シンガポールには国外持ち出し制限規制はないものの、金融管理局はTechnology Risk Management Guidelines(TRM) によりシステムのリスク管理や評価を細かく定めている。その中で、シンガポールは日本と同様かそれ以上にテロのリスクや犯罪率が低いにもかかわらず、（テロ等の）脅威と脆弱性リスクの評価(Threat and Vulnerability Risk Assessment 、“TVRA”)についてまで明示している。

以前、データセンタを提供していた時の出来事である。世界的に有名な外資系の某金融機関の顧客にデータセンタをお使いいただけることになった。その顧客もやはりセキュリティには相当厳しかった。データセンタ内に個別のサーバルームを設置してご提供したのだが、特に重要なサーバエリアには、サーバルームの中にさらにセキュリティゲートを設けて万全の対策を行っていた。

ここまではよくある話なのだが、驚いたのは、サーバルームの引き渡し前の検査の過程で、サーバルームの壁を金属の器具を使って壊し始めたのだ。正確に書くと、壁の強度について検査することは事前に聞いていたが、本当に壊そうとしながら壁の強度をチェックし始めた時は、冷や冷やさせられた。結果は、もちろん壁は壊れることはなかったのだが、聞くと、隣のサーバルームから壁を壊されて侵入されたら元も子もない、と。多くの金融関係の顧客にデータセンタを提供してきたが、そこまでした顧客はさすがにいなかった。

物理セキュリティを確認するため、実際に壁を壊して確認しろ、と書かれたガイドラインはないだろう。しかし、セキュリティを重要視する企業はそこまで気にしてデータを守っている。一方で、中小金融機関や新興のフィンテック企業の一部が、十分なセキュリティ対策を講じられていない現実もある。金融庁は、三年前に「金融分野におけるサイバーセキュリティ強化に向けた取組方針」について公表しているが、その後相次いで仮想通貨流出等の犯罪が起こっていることもあり、より厳格で適切な包括的ルールの策定と運用は待ったなしと言えるだろう。