バーゼル委報告書は、銀行障害の最大要因がサイバー攻撃ではなく変更管理にある実態を示した。(イメージ)
今回のニュースのポイント
バーゼル銀行監督委員会(BCBS)は、世界16の法域を対象に銀行のICT(情報通信技術)リスク管理の実態を調査した報告書を公表しました。報告書はサイバー攻撃などの悪意あるインシデントではなく、業務継続に影響を及ぼす「非悪意型」のシステム障害に焦点を当てて分析。その結果、金融障害の最大要因として「システム変更管理の不備」を特定しました。AIやクラウド利用が進みシステム環境が複雑化するなか、高度な新技術の導入そのもの以上に、変更管理や外部委託先を含めた運用品質の強化が求められている実態が浮き彫りになりました。
本文
デジタル化が進む金融業界ではサイバー攻撃への警戒が高まっていますが、実際の運用現場において金融インフラの安定性を脅かす最大の要因は、内部の日常的なオペレーションに潜んでいます。バーゼル委員会が16法域の監督当局を対象にまとめた報告書によると、主要行から報告された非悪意型ICTインシデントの根本原因(root causes)として最も頻繁に観測された要因は、サイバー攻撃ではなく「変更管理(change control)上のギャップ」でした。適切な承認やレビュー、厳格さを欠いた状態で実施されたシステム環境や設定の変更が、広範なチャネルで深刻なサービス停止を引き起こす最大要因となっています。
業界へのヒアリングでも、各行が年間で数百万件規模の膨大なシステム変更をこなしながらも、わずかな設定ミスやプロセスの緩みが大規模な金融障害へ直結し得るリスクが強調されています。最大リスクは外部からの攻撃ではなく、「変更管理が不十分なまま実施された日常のシステム更新や設定変更」であることが明確に浮かび上がっています。
金融機関がクラウドシフトやデジタル化を加速させるなかで、システム運用におけるリスクの不確実性はむしろ高まっています。報告書では、頻出する障害要因として、(1)変更管理のギャップ、(2)システム設計・開発・テストの不足、(3)システム容量・性能問題、(4)外部依存(外部サービス)に起因する運用障害の4つが上位に挙げられ、このうち(3)と(4)が同率3位を占めました。
具体的な事例では、データセンターの冷却設備を手順外で変更した結果、温度が急上昇して複数の金融機関のシステムを巻き込む緊急停止に追い込まれたケースや、テスト環境が本番環境と十分に一致していなかったためにデータ不整合が生じて長期障害に発展したケースが描かれています。現在の金融システムはレガシー環境と先端のクラウドが密に結合しており、外部サービスにおける変更管理の失敗であっても、ドミノ倒しのように瞬時に金融インフラ全体へ波及する連鎖障害を招くリスクを内包しています。
こうしたリスクに対し、世界の主要行はシステム変更そのものを抑制するのではなく、変更が発生することを前提として安全性を担保する「オペレーショナル・レジリエンス」の構築へ舵を切っています。報告書では業界の先進的なアプローチとして、事前承認やリスク評価、ロールバック(復旧)計画の策定を義務付けるとともに、標準的な低リスク変更については最大で85%程度まで自動化を進めて安定性を高める例が紹介されています。
実務においては、新機能を一部のユーザーから段階的に適用する「カナリアリリース」や、2つの本番環境を並行稼働させる「ブルーグリーンデプロイ」、実際のトラフィックを流し込んで検証する「シャドートラフィックテスト」、さらにはシステムを一度に大きく変えず小さな修正を繰り返す「マイクロ変更」などが重視されています。一度に変える「爆発半径(blast radius)」を極小化し、段階的に展開する手法が世界の金融機関で標準的な考え方となっています。
運用管理の自動化が進むなかで、人工知能(AI)や機械学習(ML)の活用も急速に拡大しています。金融機関では、AIを搭載したツールを用いてシステム変更に伴う障害リスクの事前予測や、ソフトウェア開発におけるコードの不具合検出、テストの網羅性向上、生産環境の常時監視など、運用の先進化を模索する動きが活発です。しかし、報告書に参加した業界の専門家らは、AIがどれほど高度な予兆を検知したとしても、重要な判断やリスク受容の局面には「適切な人間の監督(human oversight)」が不可欠であると強調しています。テクノロジーによる効率化と人間の専門性・責任をバランスよく組み合わせる体制こそが、国際的なコンセンサスとなりつつあります。
今回のバーゼル委員会の報告書は、ICTリスク管理がもはやIT部門の局所的なテクニカルイシューではなく、金融システム全体の安定性を左右する最高位の経営課題であることを決定づけました。多くの銀行はICTリスクをオペレーショナルリスクの一部として位置づけ、COBITやNIST、ISO2700x、ITILなどの国際標準フレームワークを組み合わせて運用しています。
また、16法域すべての監督当局がICTリスク管理に関する規制・ガイダンスを整備しており、リスクベースでのオンサイト検査やテーマ別レビューを通じて、変更管理・事業継続・サードパーティ管理などを厳格にチェックしています。AIやクラウドが普及するほど、金融インフラは目立つ技術革新よりも、変更管理やテスト、外部委託管理といった「地味な運用力」によって支えられる比重が高まっています。バーゼル委の報告書は、レジリエンスの鍵が最新技術の導入そのものではなく、日々の運用品質にあることを改めて示したと言えそうです。 (編集担当:エコノミックニュース編集部/Editorial Desk: Economic News Japan)
