米国当局動向情報 連邦金融機関検査協議会(FFIEC)発行「アーキテクチャ・インフラストラクチャ・オペレーション(AIO)ブックレット」

インサイト
2022.01.28
  • グローバル
1158607726

1.はじめに

アビームコンサルティング(USA)では、金融機関の皆さまが米国当局の動向をリアルタイムに把握できるよう、各当局が発信する情報の抄訳を考察と共にご提供しています。
今回は連邦準備制度理事会(FRB)により2021年6 月30日に発信されたSR Letter 21-11「FFIECアーキテクチャ・インフラストラクチャ・オペレーション検査ハンドブック」、および添付資料として連邦金融機関検査協議会(FFIEC)発行の「アーキテクチャ・インフラストラクチャ・オペレーション(AIO)ブックレット」の一部抄訳をお届けします。

2.考察

この度、連邦金融機関検査協議会(FFIEC)は、検査官向けの指針である「FFIEC情報テクノロジー検査ハンドブック(ITハンドブック)」(FFIEC Information Technology Examination Handbook)の一つとして、「アーキテクチャ・インフラストラクチャ・オペレーション(AIO)ブックレット」("Architecture, Infrastructure, and Operations" (AIO) booklet)を発行しました。

AIOブックレットでは、全体的な事業構造(アーキテクチャ)、ITインフラの構成要素の導入(インフラストラクチャ)、ならびに顧客に対するサービスや価値の提供(オペレーション)に内在するテクノロジー設計について考察されており、安全かつ健全なITおよびオペレーションの原則、関連法令に対するコンプライアンス、ITシステム設計・実行に関連するリスク管理等について記載されています。

今回抜粋・抄訳している「VII章 進化するテクノロジー」においては、組織のアーキテクチャ、インフラストラクチャ、およびオペレーション機能に影響を及ぼし得るテクノロジーとして、クラウドコンピューティング、ゼロトラスト・アーキテクチャ、マイクロサービス、AI・機械学習、IoTが挙げられており、関連するリスクについて触れられています。

例えば、クラウドコンピューティングについては、サービスモデル(IaaS、PaaS、SaaS等)に応じて、関連する責任がどう分割・共有されるかを理解しておくことが適切な統制を行う上で必要になります。また、リスク管理においては、従来のシステムやネットワークの管理手法をそのまま移行するだけでは適切ではなく、クラウドアクセスセキュリティブローカー(CASB)の適用や、第三者によるレビュー(SOC、ペネトレーションテスト、脆弱性評価等)を実施していくことが重要になります。

また、AIに関するリスクの例としては、処理アプローチを辿って監視することが難しいため透明性や説明可能性に欠ける可能性がある点や、AIが自身の変数や機能を人間の介入なしに修正する“ダイナミック・アップデート”により監視や独立したレビューが困難になるという点等が挙げられています。これらは、関連法令に対する違反や、リスク許容度の超過等につながる可能性もあります。

金融業界におけるITを取り巻く環境が日々進化していく中で、各金融機関においては、AIOブックレットを含む各ITブックレットを必要に応じて参照し、検査官とコミュニケーションをとりつつ、安全かつ健全なITガバナンス・リスク管理に役立てていくことが望ましいと考察されます。

3.SR 21-11:FFIECアーキテクチャ・インフラストラクチャ・オペレーション検査ハンドブック

連邦準備制度理事会(FRB)
ワシントン D.C. 20551
銀行監督・規制部門

SR 21-11
2021年6月30日

各連邦準備銀行の監督担当官各位

表題:
FFIECアーキテクチャ・インフラストラクチャ・オペレーション検査ハンドブック

適用範囲:当レターは、連邦準備制度(FRS)監督下にあるすべての金融機関に適用される。連結総資産100億ドル以下の金融機関を含む。

連邦金融機関検査協議会 (FFIEC)は、「アーキテクチャ・インフラストラクチャ・オペレーション」(AIO)ブックレットを発行した。当AIOブックレットは、「FFIEC情報テクノロジー検査ハンドブック(ITハンドブック)」を構成する11のブックレットシリーズのうちの1つである。当AIOブックレットは、2004年7月発行の現オペレーション・ブックレットに優先される。

当ブックレットは、全社的規模の、プロセス志向のアプローチに重点を置く。すなわち、全体的な事業構造(アーキテクチャ)、ITインフラ構成要素の導入(インフラストラクチャ)、ならびに顧客に対するサービスと価値の提供(オペレーション)に内在するテクノロジー設計について検討する。当ブックレットでは、以下の項目について論じている。

  • 安全かつ健全なITおよびオペレーションの原則および実践、消費者金融保護、ならびに関連法令に対するコンプライアンス。
  • ITシステムの設計および実行に関連するリスクに対処するプロセス。
  • 検査官が金融商品やサービスの提供に関する評価の際に役立てられる原則。
  • 経営陣によるAIOおよび関連要素の監督。例として、ガバナンス、一般的なリスク管理に関するトピック、アーキテクチャ、インフラストラクチャ、およびオペレーションに関する具体的活動、ならびに検査官によるAIOレビューの過程で明示されるであろうテクノロジーの発展。

当AIOブックレットおよび「ITハンドブック」に含まれるその他のブックレットは、FFIECのウェブサイトhttps://ithandbook.ffiec.gov/it-booklets.aspxにて入手可能である。

連邦準備銀行は、管轄内の連邦準備制度(FRS)監督下にある金融機関および該当する監督担当者に当レターを配信すること。また、理事会の公式ウェブサイトでも質問を受け付けている 。

署名
銀行監督・規制部門
理事
Michael S. Gibson

※1 http://www.federalreserve.gov/apps/contactus/feedback.aspx を参照。

 


最終更新日:2021年6月30日


「アーキテクチャ・インフラストラクチャ・オペレーション」(AIO)ブックレットの一部抄訳はこちらをご覧ください。
 

「米国当局動向情報抄訳 メール配信サービス」にご興味のある方は以下よりお申込み下さい(有料)

Contact

相談やお問い合わせはこちらへ