この度、連邦金融機関検査協議会(FFIEC)は、検査官向けの指針である「FFIEC情報テクノロジー検査ハンドブック(ITハンドブック)」(FFIEC Information Technology Examination Handbook)の一つとして、「アーキテクチャ・インフラストラクチャ・オペレーション(AIO)ブックレット」("Architecture, Infrastructure, and Operations" (AIO) booklet)を発行しました。
AIOブックレットでは、全体的な事業構造(アーキテクチャ)、ITインフラの構成要素の導入(インフラストラクチャ)、ならびに顧客に対するサービスや価値の提供(オペレーション)に内在するテクノロジー設計について考察されており、安全かつ健全なITおよびオペレーションの原則、関連法令に対するコンプライアンス、ITシステム設計・実行に関連するリスク管理等について記載されています。
今回抜粋・抄訳している「VII章 進化するテクノロジー」においては、組織のアーキテクチャ、インフラストラクチャ、およびオペレーション機能に影響を及ぼし得るテクノロジーとして、クラウドコンピューティング、ゼロトラスト・アーキテクチャ、マイクロサービス、AI・機械学習、IoTが挙げられており、関連するリスクについて触れられています。
例えば、クラウドコンピューティングについては、サービスモデル(IaaS、PaaS、SaaS等)に応じて、関連する責任がどう分割・共有されるかを理解しておくことが適切な統制を行う上で必要になります。また、リスク管理においては、従来のシステムやネットワークの管理手法をそのまま移行するだけでは適切ではなく、クラウドアクセスセキュリティブローカー(CASB)の適用や、第三者によるレビュー(SOC、ペネトレーションテスト、脆弱性評価等)を実施していくことが重要になります。
また、AIに関するリスクの例としては、処理アプローチを辿って監視することが難しいため透明性や説明可能性に欠ける可能性がある点や、AIが自身の変数や機能を人間の介入なしに修正する“ダイナミック・アップデート”により監視や独立したレビューが困難になるという点等が挙げられています。これらは、関連法令に対する違反や、リスク許容度の超過等につながる可能性もあります。
金融業界におけるITを取り巻く環境が日々進化していく中で、各金融機関においては、AIOブックレットを含む各ITブックレットを必要に応じて参照し、検査官とコミュニケーションをとりつつ、安全かつ健全なITガバナンス・リスク管理に役立てていくことが望ましいと考察されます。