CSA クラウドにおける金融サービスの現状 (2023.06.05)
こんにちは、丸山満彦です。
金融業界でも、クラウドは普通につかわれていますよね。。。
金融機関の方と話をしたのですが、その時はすべての金融機関の方がクラウドサービスを利用していましたね。。。
そんな時代ですね。。。
気になる領域は、
- Zero Trust
- Cloud Regulation
- Multi-cloud management
- Financial Shared responsibility model
- Confidential Computing
のようですね。。
・2023.06.05 State of Financial Services in Cloud
| State of Financial Services in Cloud | クラウドにおける金融サービスの現状 |
| Due to this trend, CSA has been conducting surveys to better understand the adoption of cloud computing technology in the finance industry, bringing together a community of contributors from global banks, fintech, payment processors, insurance companies, financial supervisory authorities, data protection authorities, and other national regulatory bodies. Now, with this latest report, we aim to better understand: | このような動向を受け、CSAは金融業界におけるクラウド・コンピューティング技術の採用状況をよりよく理解するため、世界の銀行、フィンテック、データ処理者、保険会社、金融監督当局、データ保護当局、その他各国の規制団体の関係者を集めて調査を実施してきた。この最新報告書では、以下をより深く理解することを目的としている: |
| ・Financial institutions’ level of adoption of cloud solutions and requirements compared to prior surveys conducted in 2019-2020. | ・2019年から2020年にかけて実施された事前調査と比較した、金融機関のクラウド・ソリューションの導入レベルと要件。 |
| ・Current challenges facing the financial services industry. | ・金融サービス業界が直面している現在の課題。 |
| ・Opportunities for CSA to create guidance on protecting financial data and related assets within secure cloud services. | ・CSAが安全なクラウドサービス内で金融データと関連資産を保護するためのガイダンスを作成する機会。 |
| Most evident from this report is that cloud services are becoming well-rooted in all aspects of financial services and are expected to be used for a very long time. No longer is the question as to whether cloud will be adopted, but about the execution of how: how to adopt cloud-native security, how to apply Zero Trust methodologies, and how to educate all relevant stakeholders. | 本報告書から最も明らかなことは、クラウドサービスが金融サービスのあらゆる側面に根付きつつあり、非常に長期にわたって利用されることが予想されるということである。クラウドが採用されるかどうかはもはや問題ではなく、クラウド・ネイティブなセキュリティをどのように採用するか、ゼロ・トラストの手法をどのように適用するか、関係するすべての利害関係者をどのように教育するかといった、方法の実行が問われている。 |
| Key Takeaways: | 主な要点 |
| ・98% of organizations are using some form of cloud computing, up from 91% in 2020. | ・組織の98%が何らかのクラウドコンピューティングを利用しており、2020年の91%から増加している。 |
| ・57% of organizations currently use multiple cloud providers for their IaaS/PaaS needs. | ・57%の組織が現在、IaaS/PaaSのニーズに対して複数のクラウドプロバイダーを利用している。 |
| ・59% of organizations store or process regulated banking information within cloud services, with only 25% having no future plans to do so. | ・59%の組織が、規制対象となる銀行情報をクラウドサービス内で保存または処理しており、将来的にそのような計画を持たない組織は25%に過ぎない。 |
| ・A common pain point is the need for broader awareness of approaches to auditing cloud services by regulators and auditors. | ・共通のペインポイントは、規制当局や監査人によるクラウド・サービスの監査アプローチに対する幅広い認識が必要であることだ。 |
| ・65% of organizations use CSA’s CCM and CAIQ to demonstrate adherence to frameworks, establish an internal cloud security controls framework, and establish an internal cloud risk management approach. | ・65%の組織が、CSAのCCMとCAIQを利用して、フレームワークへの準拠を実証し、内部クラウドセキュリティ管理フレームワークを確立し、内部クラウドリスクマネジメントアプローチを確立している。 |
報告書
目次...
| Acknowledgment | 謝辞 |
| Preface | 序文 |
| Executive Summary | 要旨 |
| Survey Methodology | 調査方法 |
| Survey Results | 調査結果 |
| Cloud Adoption Continues to Increase | クラウドの導入は増加の一途をたどっている |
| Multi-Cloud is Reality for Financial Services | マルチクラウドは金融サービスの現実 |
| Zero Trust Adds Integrity to Access Within Financial Cloud | ゼロ・トラストが金融クラウド内のアクセスに完全性を加える |
| Managing Data Improves in the Cloud | クラウドにおけるデータ管理の改善 |
| Business Continuity Crucial for Operations in the Cloud | クラウドにおける事業継続は重要である |
| Meeting Regulatory Requirements in the Cloud | クラウドにおける規制要件への対応 |
| Data Privacy, Sovereignty, and Localization | データのプライバシー、主権、ローカライゼーション |
| Regulator Understanding of Auditing Practices for Cloud Services | 規制当局によるクラウドサービスの監査実務への理解 |
| CCM Harmonizes Security Approach to Cloud | CCMはクラウドに対するセキュリティ・アプローチを調和させる |
| Cloud HSMs and Confidential Computing Enhance Key Management | クラウドHSMと機密コンピューティングが鍵管理を強化する |
| Skills Gap Still Exists in Cloud Security | クラウド・セキュリティにはまだスキル・ギャップがある |
| Check out Key Management activities from CSA. | CSA の鍵管理活動をチェックする。 |
| Cloud Key Management Working Group | クラウド鍵管理ワーキンググループ |
| Confidential Computing Working Group | 機密コンピューティング・ワーキング・グループ |
| Cloud Infrastructure Security Training | クラウド・インフラ・セキュリティ・トレーニング |
| Opportunities in Financial Services and Cloud | 金融サービスとクラウドにおける機会 |
| Keeping up with New Technologies and CSP Features | 新しい技術と CSP の特徴に対応する |
| Demonstrating Adequate Assurance Cloud Security for FSI | FSIのための十分な保証クラウドセキュリティの実証 |
| People: Maintain relevant knowledge (e.g. platform-specific training, micro trainings) | 人 関連知識の維持(プラットフォーム別トレーニング、マイクロトレーニングなど) |
| Training | トレーニング |
| Process: Mappings to FSI Frameworks, Validating to STAR | プロセス: FSIフレームワークへのマッピング、STARへの検証 |
| CCM and Industry Standards | CCMと業界標準 |
| Technology: CSPs Supporting FSI with Advancements in Security Technologies | 技術: セキュリティ技術の進歩でFSIをサポートするCSP |
| New Features, Artificial Intelligence Integrations | 新機能、人工知能の統合 |
| Enterprise and Cloud Risk Management | エンタープライズとクラウドのリスクマネジメント |
| Threat Intelligence and Context Still Needed in the Cloud | クラウドには脅威インテリジェンスとコンテキストがまだ必要である |
| CSA Financial Services Initiatives | CSAの金融サービスへの取り組み |
| Education | 教育 |
| Research | リサーチ |
| Industry Briefings | 業界向けブリーフィング |
| Assurance Framework and Programs | 保証フレームワークとプログラム |
| Conclusion | 結論 |
| Demographics | 人口統計 |
要旨...
| Executive Summary | 要旨 |
| The Financial Services Industry (FSI) adoption of cloud services has grown extensively in recent years and is expected to increase with further adoption and integration of cloud service provider (CSP) functions replacing traditional technology of banking, commerce, and other methods of performing financial transactions and exchanging financial data. | 金融サービス業界(FSI)のクラウドサービス導入は近年急速に拡大しており、クラウドサービスプロバイダ(CSP)機能のさらなる導入・統合により、銀行業務、商取引、その他の金融取引や金融データ交換の伝統的な技術に取って代わることが期待されている。 |
| The intention of this report was to evaluate the current state of adoption, compared to the industry’s readiness just three years ago when CSA conducted a similar survey and identify the current issues and opportunities that FSI leaders are addressing in their progression to further utilizing cloud services. | 本報告書の意図は、CSAが同様の調査を実施したわずか3年前の業界の準備状況と比較して、導入の現状を評価し、FSIのリーダーがクラウドサービスのさらなる活用に向けて取り組んでいる現在の課題と機会を特定することである。 |
| In interviews associated with this report, CISOs and cloud architects for fintech said that harnessing the scalability and quick- to-market capabilities to bring innovation to market was a much more cost-effective approach than some of their prior practices. Additionally, banking professionals, in part from the COVID pandemic, said leveraging cloud for remote workers or ability to deploy new software services more quickly with dynamic updates were primary reasons along with the ability to harmonize security policies for consistent deployments that met regulation. | 本報告書に関連したインタビューでは、フィンテックのCISOやクラウド・アーキテクトが、イノベーションを市場に投入するためにスケーラビリティと迅速な市場投入能力を活用することは、以前の慣行よりもはるかに費用対効果の高いアプローチであると述べている。さらに、銀行関係者は、COVIDの流行もあり、リモートワーカー向けにクラウドを活用することや、ダイナミックアップデートで新しいソフトウェアサービスをより迅速に展開できることが、規制を満たした一貫性のある展開のためにセキュリティポリシーを調和させる能力とともに、主な理由であると述べている。 |
| Regulation was one of the greatest influencing factors from the report. Despite the increase in use of cloud computing to host regulated data, concerns remained on how Cloud Service Providers could understand and demonstrate compliance with global legislation. | 規制は、報告書から最も大きな影響を受けた要因の1つである。規制対象データをホストするためにクラウドコンピューティングの利用が増加しているにもかかわらず、クラウド・サービス・プロバイダがグローバルな法規制をどのように理解し、コンプライアンスを実証できるのかという懸念が残っていた。 |
| Still, new approaches create new types of risk and respondents said that while use of cloud services is increasing, | それでも、新たなアプローチは新たなタイプのリスクを生み出し、回答者は、クラウドサービスの利用が増加している一方で、その導入ペースには注意が必要だと述べている、 |
| the pace of adoption will need to be at the speed at which CSPs and Financial Services can both demonstrate the capabilities to show adherence to regulation and overall data protection and staff are comfortable with managing. | 導入のペースは、CSPと金融サービスの双方が、規制とデータ保護全般の遵守を示す能力を実証し、スタッフが管理に納得できるスピードに合わせる必要がある。 |
| Other themes beyond regulation identified in the report include the importance of data management, integrity of access, threat intelligence and good enterprise risk management. | 規制以外のテーマとしては、データマネジメントの重要性、アクセスの完全性、脅威インテリジェンス、優れたエンタープライズ・リスク・マネジメントなどが挙げられている。 |
| Most evident from the report is that cloud services are becoming well-rooted into all aspects of financial services and are expected to be used for a very long time. No longer is the question as to whether cloud will be adopted but more about the execution of “how”. How to adopt cloud-native security, how to apply zero trust methodologies, how to educate all relevant stakeholders from staff to regulators to cloud partners. | 報告書から最も明らかなのは、クラウドサービスが金融サービスのあらゆる側面に根付きつつあり、非常に長期にわたって利用されることが期待されているということだ。もはやクラウドが採用されるかどうかは問題ではなく、「どのように」採用されるかが重要なのだ。クラウドネイティブ・セキュリティをどのように採用するか、ゼロトラスト手法をどのように適用するか、スタッフから規制当局、クラウドパートナーに至るまで、すべての関係者をどのように教育するか、などである。 |
| The information shared with CSA in this report has helped identify future research, standards requirements, training and education that the CSA community may have interest in developing. At the end of the report, we share some of these suggestions that will be socialized with our FS Leadership Council for consideration. | 本報告書でCSAと共有された情報は、CSAコミュニティが開発に関心を持つであろう将来の研究、標準要件、トレーニング、教育の特定に役立った。報告書の最後に、これらの提案のいくつかを紹介し、FS リーダーシップ・カウンシルで検討する予定である。 |
気になる領域...
要約
Comments