野村総合研究所は20日、Microsoft AzureやOffice 365などのマイクロソフトのクラウドサービスを利用する金融機関向けに、金融情報システムセンター(FISC)の安全対策基準に照らして、サービスを利用する際のリスクに関する評価や監査を行うアセスメントサービスの提供を開始した。

 企業によるクラウドサービスの利用は、近年、拡大しているが、金融機関がクラウドサービスを利用するためには、FISCの安全対策基準に沿って、リスクを評価することが求められている。そのため、金融機関は個別に同基準への適合状況を確認する必要があるが、実際には人材確保やノウハウ不足により実施が難しく、クラウド利活用の障壁となっていた。

 野村総研ではそうした実情を踏まえ、金融機関に代わり、FISCおよび各社の定めるリスク評価項目に沿って、マイクロソフトのクラウドサービスが安全対策基準に適合しているかどうかに関する評価や監査を行うためのアセスメントサービスを提供することにした。同サービスの利用により、金融機関は、安全対策基準への適合状況を確認するための業務を効率化でき、従来よりも容易にクラウドを導入することが可能になるという。

 今回提供するアセスメントサービスは、具体的には、「評価代行サービス」および「監査代行サービス」である。「評価代行サービス」は、各金融機関固有のリスクを反映したリスクアセスメントシートを評価するもので、定期的なリスクアセスメントのほか、評価結果に関する金融機関の担当部門との意見交換などが含まれる。

 「監査代行サービス」は、各金融機関の情報システム環境や統制ルールを加味した上で、マイクロソフトに対して個別情報の開示や監査の要求を行う。