マイクロソフトのクラウドを利用する金融機関向けに、リスクアセスメントの代行サービスを開始 〜 世界初、マイクロソフトのクラウドサービスを金融機関に代わって直接監査・評価 〜
[18/02/20]
提供元:DreamNews
提供元:DreamNews
株式会社野村総合研究所(本社:東京都千代田区、代表取締役社長:此本 臣吾、以下「NRI」)は、Microsoft AzureやOffice 365などのマイクロソフトのクラウドサービスを利用する金融機関に代わり、公益財団法人金融情報システムセンター(以下「FISC」)の安全対策基準※1に照らして、当該金融機関の情報システムが適合しているかという観点から、マイクロソフトのクラウドサービスを利用する際のリスクに関する評価や監査を行うアセスメントサービス(以下「本サービス」)を、本日から提供します。
企業によるクラウドサービスの利用が拡大していますが、金融機関がクラウドサービスを利用するためには、FISCの安全対策基準に沿ってリスクを評価することが求められます。そのため、金融機関は個別に当該基準への適合状況を確認する必要がありますが、人材確保やノウハウ不足が原因で実施が難しく、クラウド利活用の障壁となっています。
そこでNRIは、金融機関に代わり、FISCおよび各社が定めるリスク評価項目に沿って、マイクロソフトのクラウドサービスが安全対策基準に適合しているかどうかに関する評価や監査を行うために、本サービスを用意しました。
本サービスを利用することにより、金融機関は、安全対策基準への適合状況を確認するための業務を効率化でき、結果、従来よりも容易にクラウドを導入することが可能となります。
なお、本サービスは2018年3月に改訂が予定されるFISCの安全対策基準(第9版)にも対応する予定です。
【本サービスの内容】
「評価代行」:
各金融機関固有のリスクを反映したリスクアセスメントシートを評価。
◆ 定期的なリスクアセスメント
※各社ごとのリスクアセスメントシートに対する評価代行
◆ 評価結果に関する金融機関の担当部門との意見交換
「監査代行」:
各金融機関の情報システム環境や統制ルールを加味した上で、マイクロソフト社に対して、以下の項目の確認・要求をNRIが実施。
◆ 個別情報の開示や監査の要求
※ステークホルダーからの不定期な問い合わせ対応およびマイクロソフトの
クラウドサービスに対して現地(データセンター含む)で直接監査を実施
◆ 監査項目の追加請求
※追加した統制ルールに関する金融機関へのフォローアップも実施
NRIは、金融機関が満たすべきFISC等の安全対策基準に精通し、監査の専門的なノウハウ・実績が豊富にあります。
これらの実績を踏まえ、このたび、マイクロソフト社との間で、本サービスを利用する各金融機関より各種情報を集約し、各金融機関に代わってマイクロソフトのクラウドサービスを評価・監査する契約を、世界で初めて締結しました。
今後、NRIは、本サービスを普及・促進することにより、金融機関が一層クラウドサービスを活用していくことに貢献していきます。
※1 安全対策基準:FISCが発刊している「金融機関等コンピュータシステムの安全対策基準・解説書」の略称。1985年に業界の自主基準として策定されて以来、金融情報システムに関する安全対策の共通の指針として広く活用されており、現在第8版が刊行されている。
【ニュースリリースに関するお問い合わせ】
株式会社野村総合研究所 コーポレートコミュニケーション部 宮嵜、日下部
TEL:03-5877-7100 E-mail:kouhou@nri.co.jp
【サービスに関するお問い合わせ】
株式会社野村総合研究所 スマートコミュニケーション事業一部 児島、西片
IT基盤統制推進部 徳地、高木
TEL:03-6660-8067 E-mail: info-itcc@nri.co.jp
企業によるクラウドサービスの利用が拡大していますが、金融機関がクラウドサービスを利用するためには、FISCの安全対策基準に沿ってリスクを評価することが求められます。そのため、金融機関は個別に当該基準への適合状況を確認する必要がありますが、人材確保やノウハウ不足が原因で実施が難しく、クラウド利活用の障壁となっています。
そこでNRIは、金融機関に代わり、FISCおよび各社が定めるリスク評価項目に沿って、マイクロソフトのクラウドサービスが安全対策基準に適合しているかどうかに関する評価や監査を行うために、本サービスを用意しました。
本サービスを利用することにより、金融機関は、安全対策基準への適合状況を確認するための業務を効率化でき、結果、従来よりも容易にクラウドを導入することが可能となります。
なお、本サービスは2018年3月に改訂が予定されるFISCの安全対策基準(第9版)にも対応する予定です。
【本サービスの内容】
「評価代行」:
各金融機関固有のリスクを反映したリスクアセスメントシートを評価。
◆ 定期的なリスクアセスメント
※各社ごとのリスクアセスメントシートに対する評価代行
◆ 評価結果に関する金融機関の担当部門との意見交換
「監査代行」:
各金融機関の情報システム環境や統制ルールを加味した上で、マイクロソフト社に対して、以下の項目の確認・要求をNRIが実施。
◆ 個別情報の開示や監査の要求
※ステークホルダーからの不定期な問い合わせ対応およびマイクロソフトの
クラウドサービスに対して現地(データセンター含む)で直接監査を実施
◆ 監査項目の追加請求
※追加した統制ルールに関する金融機関へのフォローアップも実施
NRIは、金融機関が満たすべきFISC等の安全対策基準に精通し、監査の専門的なノウハウ・実績が豊富にあります。
これらの実績を踏まえ、このたび、マイクロソフト社との間で、本サービスを利用する各金融機関より各種情報を集約し、各金融機関に代わってマイクロソフトのクラウドサービスを評価・監査する契約を、世界で初めて締結しました。
今後、NRIは、本サービスを普及・促進することにより、金融機関が一層クラウドサービスを活用していくことに貢献していきます。
※1 安全対策基準:FISCが発刊している「金融機関等コンピュータシステムの安全対策基準・解説書」の略称。1985年に業界の自主基準として策定されて以来、金融情報システムに関する安全対策の共通の指針として広く活用されており、現在第8版が刊行されている。
【ニュースリリースに関するお問い合わせ】
株式会社野村総合研究所 コーポレートコミュニケーション部 宮嵜、日下部
TEL:03-5877-7100 E-mail:kouhou@nri.co.jp
【サービスに関するお問い合わせ】
株式会社野村総合研究所 スマートコミュニケーション事業一部 児島、西片
IT基盤統制推進部 徳地、高木
TEL:03-6660-8067 E-mail: info-itcc@nri.co.jp