EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
クラウドリスク評価
In Cybersecurity
DXの進展によるデジタルテクノロジーの利用拡大や、クラウドファーストの推進により、金融機関においてもクラウドサービスの利用が進んでいます。一方で、クラウドサービスの利用に伴うリスクの検討および対策が十分に行われていない場合、重大なインシデントにつながりかねないため、リスクを把握し、適切に管理することが求められます。
EYでは、金融機関がクラウドサービスを安全に利用するためのリスク評価や、リスクを適切に管理するための組織規程・体制の整備をご支援します。
クラウドリスクの把握、管理の重要性
近年、IT環境の変化やクラウドファーストの推進により、金融機関においてもクラウドサービスの利用が拡大しています。一方で、リスクや対策が十分に検討されずに導入されたり、リスクが放置された状態で利用されたりする場合、クラウドサービスを起因とする重大なインシデントにつながる恐れがあります。そのため、組織全体としてリスク評価を行う体制や規程等のルールを整備し、クラウドサービス利用に伴うリスクを継続的に管理する必要があります。
クラウドサービスの利用に伴うリスクは、金融機関が従来行ってきたITに関する外部委託契約や、オンプレミス型のシステム開発と観点が異なるため、組織の実態も考慮した上で、リスクを適切に把握、管理できる体制を構築することが求められます。
クラウドリスク評価のポイント
クラウドサービスの利用時には、サービスの形態(IaaS,PaaS,SaaS)に応じて、クラウド利用者・事業者のそれぞれが保有するリスクや責任分界点が異なるため、双方における責任範囲や役割を考慮した上でリスク評価を行う必要があります。
クラウド利用者としての組織は、サービスが自社の要件を満たす設計となっていること、必要な対策や設定が行われていることに加え、クラウド事業者側の管理・運用体制も併せて評価することが重要です。
EYにできること
EYは、クラウドリスク管理態勢の整備・運営から個々の課題解決まで、企業の取り組みを総合的に支援します。
① クラウドリスク管理態勢評価サービス
クラウドリスクに係る管理の枠組みおよび運用状況等についてフレームワークを活用し評価することで、クラウドリスク管理態勢の高度化のための計画策定を支援します。
② クラウドリスク技術評価サービス
クラウドサービスを利用するにあたり注意すべき技術的対策について、各種クラウドサービスのガイドラインやベストプラクティスを参照し、管理手続きやクラウドサービスの設定を調査して脆弱(ぜいじゃく)性の有無を評価します。
③ クラウドリスク管理高度化支援
クラウドリスク管理態勢評価サービスおよび技術評価サービスの結果を基に、規程・手続きに不足している項目や不備がある項目を高度化します。また、形骸化している等の運用課題が発見された場合は他社事例を踏まえ、実現可能な規程内容に更新します。
④ クラウドリスク管理態勢定常支援サービス
クラウドリスク管理態勢のPDCAについて、EYがPDCAの各フェーズでアドバイスやレビュー、または定常業務を代行することで、クラウドリスク管理態勢の定着化を支援します。
