急速に変化する経済環境の中で好調を維持するために、金融業界はクラウドとモバイルコンピューティングを受け入れた改革が必要でした。しかし、金融機関がデジタルトランスフォーメーションに向けて大きく前進したとしても、せっかくの最新技術が従来のITインフラストラクチャの上にそのまま構築されることはよくあります。このため、金融業界ではデジタル化に立ち遅れが生じています。レガシーインフラストラクチャと最新のクラウドベースアプリケーションに二極化された世界で金融機関が成功を収めるにはどうすれば良いのでしょうか。

銀行・金融サービス業界は急速に変化しています

テクノロジの進歩によって、これまでの常識を覆す競合企業の参入も可能になりました。スマートフォンを利用し、電子決済を積極的に活用するeコマースが消費者に受け入れられるようになり、新しいスタイルを踏襲した金融機関が参入し始めています。市場のこのような劇的な変化は顧客の要求が厳しさを増すことを意味し、取引銀行との日々のやり取りにリアルタイムでシームレス、かつカスタマイズされた経験を求められることになります。

金融機関にとって、デジタルイノベーションとビジネスアジリティは現在の顧客ベースを維持するためだけではなく、新しい顧客を引き付け、市場シェアを増やし、新たな市場セグメントでの成長機会に取り組むために欠かせません。金融規制やガバナンスコントロールを厳守し続ける必要はありますが、金融業界は急速に発展し、デジタルトランスフォーメーションは順調に進んでいます。

顧客離れのリスクを避けるため、金融機関はかつて店舗で対面接客していたときと同じレベルの顧客サービスを、デジタルエクスペリエンスとして顧客に提供しなければなりません。多くの金融機関において、ユーザエクスペリエンスは、顧客だけでなく従業員にとっても、ビジネス上で最も優先される理由となっています。

必ずしもクラウド対応インフラストラクチャではないクラウドアプリ

金融機関では、トランスフォーメーションを可能にする新しいITソリューションを採用にあたって、規制当局の厳しいポリシーを遵守し、要件を満たさなければならないという課題を抱えています。このため、リスクの回避策として従来のITインフラストラクチャに固執する傾向がみられます。銀行業務に関連する中核的なITシステムの多くは、30年以上も前から使われたレガシーシステムです。そこにあえて手を入れることを嫌い、ハイブリッド構成のITシステムが生まれました。

レガシーアーキテクチャを変更することが難しい理由はいくつもありますが、金融業界もほかの多くの業界と同様、ユーザ向けのフロントエンドを最新化している途上です。しかし、ほかの業界とは異なり、銀行はハイブリッドクラウド環境とオンプレミス環境の両方を共存させようという課題に立ち向かっています。その原因は、銀行の根本的なモダナイゼーションを阻止している規制に由来します。銀行は、データフローのポリシーと規制上の要件を遵守すると同時に、新しいクラウドベースのイニシアチブにおけるセキュリティとユーザエクスペリエンスのバランスも図る必要があります。

金融機関は、モバイルとクラウドテクノロジーを利用して全社的にデジタルトランスフォーメーションを推進する一方で、会社の境界を越えて、社外へと向かうデータフローもセキュリティの対象に含めなければなりませんクラウドベースのアプリケーションへの移行に伴い、従業員が仕事をするうえで、アプリへのアクセスにインターネットを使用してもセキュリティを保つ必要があります。

ここでは、金融機関がハイブリッドインフラストラクチャで最高のセキュリティを維持しながら、クラウドの可能性を最大限生かすために検討すべき5つの重要なステップをご紹介します。

1: ユーザエクスペリエンスの検討

銀行や金融サービス業界ではこれまで、中心に本店があり支店がそれを支えるという形態を取ってきました。従来の「ハブ&スポーク」型のネットワーク環境では、本店と支店のすべてが1本の企業ネットワークに接続され、中央のプライベートデータセンタに接続されています。この構成では、すべてのデータが高コストのMPLSバックホールリンク経由でデータセンタに戻されます。デスクトップのアプリがすべてオンプレミスにある間は、これは問題なく機能します。しかし、アプリをクラウドへ移行してしまうとこれでは立ち行かなくなってしまいます。ユーザの送信したデータが企業ネットワークを経由してからクラウドのアプリに向かうという、遠回りによりレイテンシが増大し、ユーザエクスペリエンスが損なわれるのです。

たとえば、Office 365はクラウドに常駐する共通アプリケーションですが、これらを使う場合、クラウド行きのデータトラフィックが急増し、大量の帯域幅が必要になります。レガシー環境では、データトラフィックはMPLSネットワークを介して支店からデータセンタへ向かい、その後、データセンタのセキュリティスタックを通りぬけ外部へ送られ、Office 365をホストしているMicrosoftクラウドへ移動します。その後、インバウンドのセキュリティスタックを通じて、データセンタへと逆行し、支店へ戻ります。このように何回もホップを経由しセキュリティチェックを受けたるルートを通ることで、多大なレイテンシを引き起こし、Office 365のパフォーマンスを妨げることになります。

金融機関は、従業員がクラウドベースのアプリケーションにシームレスにアクセスできるようにする必要があります。このレイテンシの問題は、従業員をインターネットやクラウドベースのアプリケーションに直接アクセスできるようにすることが解決策です。

2:あらゆる場所からセキュアなアクセスを提供する

銀行・金融サービス業界のクラウド化への動きは、新型コロナウイルスの世界的流行により突如中断されました。わずか数日の間に、本店と支店の何千人もの従業員がリモートワークを余儀なくされたのです。

残念ながら、この移行は思っていたほど容易には進みませんでした。前に立ちはだかったのは組織に残る「ハブ&スポーク」インフラストラクチャです。最終的に、リモートの従業員は、アプリケーションにアクセスするために、よりいっそう複雑な経路によってデータを送ることになりました。Office 365の例に戻りましょう。トラフィックはVPNクライアントから始まって、ロードバランサ、分散型サービス妨害（DDOS）セキュリティ、ファイアウォール、VPNコンセントレータ、侵入防止システム（IPS）、SSL、データ損失防止（DLP）、Advanced Threat Protection（ATP）など直列的に接続されたアプライアンスのスタックを経由して、データセンタとの間でやりとりされます。ここでも、トラフィックルート固有のレイテンシは、Office 365の性能が低下し、多くの場合はユーザエクスペリエンスが悪化することを意味します。もしかすると、ユーザはVPNコントロールを迂回したいという誘惑に負ける可能性もあり、これにより企業ネットワークが攻撃を受ける危険性を高めます。

VPNによるリモート接続は実績のある方法かもしれません。しかし残念ながら、VPNはクラウドの出現前に発明されたものであるため、提供される経路は効率の良いものとはいえず、むしろ、パフォーマンを落とす原因となっています。VPN接続は、トラフィックを遅くするだけではありません。ネットワーク全体をユーザやアプリケーションに公開するため、セキュリティの問題を引き起こす可能性さえあります。銀行や金融サービス業界はVPNの使用を止め、最新のアプローチに目を向ける必要があります。この新しいアプローチは、より強固なセキュリティを提供し、身元の分からないユーザに対してはネットワークへのアクセスを禁止します。

クラウドアプリケーションへの安全なリモート接続を確立して維持することは、パフォーマンスを落としたり侵入経路外部に公開することでもありません。ゼロトラストに基づいたソリューションは、ユーザからアプリケーションへのきめ細かく、直接的で安全なアクセスを可能にするもので、レガシーインフラストラクチャと組み合わせて実装できます。

3: コストと複雑さの軽減と同時にセキュリティの向上を図る

ハイブリッド構成で再検討すべきもう１つのポイントが、仮想デスクトップ基盤（Virtual Desktop Infrastructure: VDI）です。これはセキュリティを確保し、データレジデンシ（データの保管場所）を制限するために金融業界では幅広く採用されています。アプリケーションに直接アクセスするのではなく、仮想化することで画面上に情報を可視化することができるため、データの変更・抽出機能はなく、アプリケーションはサーバ上で実行されているため、会社の境界線を越えて外に出ることはありません。

VDI技術により、リモートユーザは、私物の端末を業務利用（Bring Your Own Device: BYOD）して、コアシステムや、メールなどのアプリケーションに接続できるようになり、データ漏洩や窃取など、昔からの問題は軽減されます。しかし、デスクトップの仮想化は複雑な作業で、仮想イメージの送信はネットワークの接続性に依存しているため、ユーザにとっては仮想デスクトップのパフォーマンスも問題となります。リモートアクセスパスは、VDIアクセスを可能にするためにもう一度VPNを利用する必要があり、最後の最後にやっとアプリのビューを提供します。

さらに、これらのソリューションはセットアップが難しく、維持コストもかかるだけではなく、あまりにも多用されているため、特にこのパンデミックの時期には、セキュリティリスク増加の原因となります。パフォーマンスの低いネットワークを改善しようとして、インフラストラクチャを追加すべきではありません。さらに事象が複雑化し、コストが増大するだけではなく、リスクも高まります。レガシーインフラストラクチャの上に新しいシステムの構築を進めれば進めるほど、組織のアジリティや革新性、競争力が失われていきます。これは、デジタル化への最終目的とは対極にある結末です。

複雑でコストのかかるVDIインフラストラクチャの構成を再検討しましょう。この構成をクラウドベースのセキュリティアプローチで補完することで、ユーザが何にアクセスできるかを制御し、高速で一貫性のあるユーザエクスペリエンスに、一元管理された可視性を追加することができます。

4: クラウドへの直接アクセス VS. モバイル“アプリケーション” とBYOD

銀行や金融サービス業界の本支店では、昔からファットクライアントやデスクトップシステムが使われていましたが、その使い勝手は、従業員が個人的な閲覧やSNSでのやりとりで使い慣れている私物のデバイスとはまったく異なります。

同じエクスペリエンスを提供するため、各企業はBYODの使用を許可しようとしています。現代の銀行業界で生き残るため、バンキングサービスや金融サービスのCIOが、アプリを拡張し、コアバンキングシステム（CBS）などの主要なビジネス機能をモバイルワーカが利用できるようにするプロジェクトを推進するケースが増えています。レガシーインフラストラクチャには直接アクセスさせることはできないので、一部の地域では、金融機関が次善策として、社外でも業務を行えるようモバイルアプリに多額の投資をしています。このようなコアバンキング機能を持つアプリケーションの狙いは、リモートで顧客の意思決定を支援し、業務に従事するためのシンプルで高速かつ安全な方法を、営業現場の従業員に提供することです。見積もりやポリシー、補償範囲の詳細、取引条件などのデータに必要とされる十分な情報を提供し、収集するためには、現場の従業員は、コアバンキングシステムや保険システムにアクセスしなければなりません。

リモートアクセスの課題を解決するために、融資組成および保険料見積もりエンジンのための各種モバイルアプリを開発し、これらをモバイルデバイスマネージャ（MDM）コンテナにパッケージして、コアシステムに接続するリアルタイムWebサービスまたはAPIを使用するという手段も考えられます。しかし、アプリケーションは、開発費の増加や頻繁な変更要求、エンドユーザからの要求に対する需要増など、IT部門のリーダーに新たな問題をもたらします。このようなアプローチは、IT環境全体の複雑化を加速します。ITチームは、モバイルアプリを開発する代わりに、行外の従業員がクラウドを通じて、核となるビジネス機能へ安全にアクセスできる、より効率的な方法を模索すべきです。

どこでもモバイルブロードバンドにアクセスできること、（5G対応の始まった）LTE経由でモバイル通信の速度が上がったこと、公共Wi-Fiホットスポットがあることで、どこからでも簡単にリモートワークができるようになります。従業員が、本社や支店にいるときと同じくらい簡単に、行外からCBSアプリケーションへアクセスできるようにすることは、必要なのはモバイルアプリの拡張機能ではなく、安全なBYODであることを意味します。

5: 可視化により監査を支援する

金融機関は、今後の監査やさまざまな規制要件を常に考える必要があります。ITについての内部監査は、組織のリスクエクスポージャを理解する能力について問題を提起し、データ侵害を検知・報告する組織の効率を分析します。さらに、組織はこのようなリスクに対処するために適切な対策が取られているかどうかを把握する必要もあります。金融機関は価値創造のための新たな方法を求め、新しいターゲットグループに対応し、デジタル化の変化についていこうとしていますが、それでも、監査に応えて、すべてのデータの流れを把握していることを保証する必要があります。

CIOは、誰がネットワークを利用していて、何にアクセスできるかを常に把握している必要があります。

ITの意思決定者は、所属組織にとって、監督者養成とは何を意味するかを想定したうえで、さらに独自の脅威分析およびサイバープログラムに基づいて、意思決定をする必要があります。つまり、最も重要なことは、従業員がどこで仕事をしているか、どのデバイスを使ってアプリケーションにアクセスしているかにかかわらず、すべての従業員のオン/オフネットワークにおけるトラフィックを可視化することです。クラウドとモビリティの発展に伴い、金融機関は組織の範囲内にあるあらゆるデータフローを追跡するという難問に直面しています。金融機関が必要としているのは、このトラフィックに対する可視性を得るための窓で、成功のカギはクラウドにあります。

ITに対する社内監査の要件を満足させ、サイバーセキュリティに必要なすべてのデータストリームへの視認性を得るために、高度に統合されたクラウドセキュリティプラットフォームが作業の複雑さを軽減し、監査工程を円滑化します。

ゼロトラストがレガシーインフラストラクチャの限界を解消する

ゼロトラストアーキテクチャは通常、クラウドセキュリティモデルを用いて、「デフォルト拒否」の姿勢と「ユーザ追跡」ポリシーコントロールの基本原理を持ちます。この方法で、ゼロトラストにより、セキュリティ保護がモバイルデバイスにまで拡張され、リモート従業員はオフィスを拠点にする従業員と同じレベルのセキュリティコントロールでコアアプリケーションにアクセスできるようになります。ユーザがネットワークに配置されることはなく、構成済みのビジネスポリシーで許可されたアプリケーションだけに接続できます。これは実効支配できる限度を超えて、企業ネットワークを薄く引き伸ばす従来のVPNアクセスとは対照的です。

さらに、ユーザやデバイスはまず認証を受けた後、アプリケーションへのアクセスを付与されます。ユーザがアプリケーションへと誘導されると、そのアプリケーションがデータセンタにあるか、クラウドにあるかにかかわらず、ゼロトラストがユーザの居場所とアプリケーションのホストとの間で最速の接続を実現します。企業のセキュリティ構造を通じてバックホールする必要がなくなるので、アプリケーションのパフォーマンスとユーザエクスペリエンスが大幅に向上します。

金融業界では、デジタル化への取り組みが進行しています。しかし、クラウドから最大の利益を引き出すために、金融機関は単にクラウドベースのフロントエンドアプリを実装する以上のことをすることができます。ゼロトラストというセキュリティアプローチはクラウドベースのアプリに性能、セキュリティ、ユーザエクスペリエンスを付加することで、企業によるレガシーインフラストラクチャの限界克服を可能にします。