JAWS-UG首都圏勉強会レポート 第1回

クリーニングやIAM活用、脆弱性診断、FinTechなど旬なトピック満載

キャンセル待ち150人！Security-JAWS第1回で現場の苦労を見た

ギャップを埋めながら金融機関のクラウド化を実現

　休憩をはさんで3番目に登壇したのは、FinTechで金融業界を盛り上げるFINNOVATORSの大久保光伸さん。銀行でのクラウド活用に長らく関わり、日本企業で初のCLOUDSEC2015 APACでの講演のほか、全銀協会、金融国際情報技術展、Cloud Security Alliance 2015などさまざまなところで講演の経験を持つ。今回はFinTechセキュリティ領域の最新動向とクラウドの規制、銀行APIでのセキュリティ実装が大きなテーマだ。

FINOVATORSの大久保光伸さん

　普段は大手銀行でFinTech戦略を担当している大久保さんが、有志として参加しているのが、FinTech界隈のエコシステム構築を目論む「FINOVATORS」という同好会だ。FINOVATORSではFinTechスタートアップへのメンタリングのほか、パブリックセクター（政府行政や自治体）への提言、あるいは海外のFinTech団体との連携などを行なっている。

　さて、AWSとセキュリティに関しては、さかのぼること2年前の2014年に金融機関向けのセキュリティ設定をガイドラインとして出している。これは金融情報システムセンター（FISC）の安全対策基準に則り、アカウント管理やVPC、セキュリティグループ、データベースやストレージの暗号化、監視、通信の暗号化などさまざまな項目で望ましい設定を示したものだ。

2014年に出した金融機関向けのセキュリティ設定

　とはいえ、金融機関と一般企業で求められるセキュリティのギャップも激しかった。「AWSのマネジメントコンソールがインターネット接続だったので、そもそも金融機関からアクセスができず、話が進まなかった（笑）」（大久保さん）という苦労もあったという。逆に「クラウドに持っていけば、セキュリティも全部やってくれるんでしょ」という誤解もあるので、こうしたギャップを埋めながら、金融機関でも安全にクラウドを利用できるようにしてきたという。

セキュリティと監査の領域でのFinTechベンチャー求む

　現在、大久保さんが取り組んでいるのが銀行のAPI公開におけるガイドライン案の策定で、課題がいくつも山積しているという。たとえば、資金を移動するAPIをクラウドで利用した場合、どこまでをリスク管理するのか、金融機関からAPI経由でデータをアグリゲーションする中間業者をどこまで管理するのか、などだ。「残高照会する程度のAPIであれば、海外事業者に公開してもいいのか。あるいは資金を動かすようなAPIを使うような場合、中間業者をきちんと管理していく必要がある」と大久保さんは語る。また、外資系やFinTechスタートアップが障壁なく各機関に参加できるスキームを構築したり、現在有償の安全対策基準を入手しやすくするというのもテーマだという。

銀行APIの課題

　大久保さんは聴衆に対し、銀行APIのセキュリティ実装案を説明し、今後Security-JAWSで議論していきたいと働きかける。さらに大久保さんは指紋認証で決済できるLiquidやパズルキャプチャを提供するCapyなどのFinTechベンチャーを紹介。また、金融機関のトランザクションデータを監査側にAPI経由で引き渡すなど監査の自動化を行なう「RegTech（Regulation Technology）」という分野が今後重要になると説明した。「今、FinTech界隈で少ないのはセキュリティと監査の領域。銀行の仕組みはシンプルなので、みなさんからいろんなアイデアを出してもらえば、さまざまなオペレーションの自動化が実現できる」と大久保さんはアピールした。

FinTechではITガバナンスとセキュリティが重要。ビジネスチャンスでもある

　濃厚な3人のセッションの後は、鈴木富士雄さんがSplunkによるセキュリティアナリティクス事例、Maroon1stさんがAWSでの共有責任モデルとサービスごとの分界点、大喜多さんがセキュリティの完全性や可用性の重要性などについてそれぞれLTを披露し、2時間におよぶ勉強会も終了した。「ガチ過ぎたらどうしよう」と不安を抱えつつ参加した筆者だったが、どのセッションも現場感のあふれたわかりやすい内容で勉強になった。クラウド利用のもっとも大きな課題であるセキュリティに対して、現場のエンジニアが知識やノウハウを共有する場所として、継続的に続けてほしい勉強会だと思った。