金融機関にとって2023年は、米国での地方銀行の相次ぐ破綻からシンガポールでの大手銀行の長時間に及ぶデジタルサービス障害まで、すでに波乱に満ちています。これらのインシデントは、金融サービス業界が、ビジネスと運用の両面で幅広いリスクに直面していることを物語っています。従来型の銀行では、俊敏性に優れたクラウドネイティブのデジタルバンクに対抗するためにクラウドへの移行を進めた結果、運用環境がハイブリッド化、マルチクラウド化して複雑になり、リスクがさらに増しています。
アジアの金融サービス業界のお客様と定期的に対話をしていく中で、現在特に重要なリスクと課題が、セキュリティ、イノベーション、透明性の3つの領域に集中していることがわかりました。この記事では、いくつかの事例とともに、銀行やデジタルウォレットプロバイダーなどの金融サービス企業がこれらの課題に対処するためのヒントをご紹介します。
セキュリティに関するリスク
金融機関が所有する資産とデータの価値の大きさを考えれば、そのデジタル金庫を破ろうとする犯罪者が後を絶たないのも当然でしょう。不正行為、マネーロンダリング、データの窃盗などは、金融機関が日々直面している一般的なリスクです。
また、金融機関は、顧客の利便性を高めるために、さまざまなツールやアプリケーションを導入しています。一方でこれらのツールやアプリケーションは、カスタマーエクスペリエンスを高めると同時に、IT運用の複雑化によるセキュリティリスクも高めます。しかも、監視を担当するIT運用チームが複数の国に分散していることがよくあります。この場合、結束力に欠け、技術的な問題に連携して対応するのが難しくなりがちです。
このほか、アジア地域では、管理の柔軟性や俊敏性の向上を目的に、ソリューション開発を外注から内製化に切り替える金融機関が増えています。しかし、それがデータの不備やセキュリティの脆弱性を生むことがあります。
人手不足が慢性化しているサイバーセキュリティチームがさまざまなタイプの脅威に効率的に対応するには、先を予測し、リソースを最大限に活用する必要があります。ネットワークやアプリケーションを包括的に可視化する統合されたシステムがあれば、悪質なアクティビティや潜在的な脅威の検出を効率化できます。
たとえば、香港の東亜銀行(BEA)では、FinTech戦略の実現にデジタルレジリエンスが不可欠だと考えていましたが、分散した環境が障壁となっていました。世界各国に150以上の支店を展開する同行では、各地の支店ごとに独自のSIEMシステムを運用していたため、トラブルシューティングなどで手作業が発生し、解決に時間がかかっていました。
この状況を打開するため、東亜銀行のITチームは、Splunk Cloudを活用して、すべての支店のセキュリティデータをリアルタイムで収集し、各支店のIT環境をグローバルに可視化しました。また、統合システムのメリットを活かして、本店と各支店でダッシュボードを共有し、各支店のITチームがそれぞれのセキュリティ態勢を包括的に可視化できるようにしたことで、急速に変化する脅威の状況に対応できるようになりました。
さらに、可視化と自動化ツールなどの機能を組み合わせて、デジタルレジリエンスを強化し、セキュリティ侵害のリスクを低減しています。
このように、可視化と脅威防止に対する包括的なアプローチを取り入れ、ツールを適切に活用することで(不審なアクティビティを検出するための最適なしきい値を設定するなど)、以前よりも適切な意思決定を行い、ITチームの時間と労力を削減して、セキュリティリスクの低減につなげることができます。
イノベーションに関するリスク
金融機関によって状況は異なっても、同じくらい重要なのがイノベーションに関するリスクです。IT人材の慢性的な不足により、ITチームは管理業務に追われ、現状を維持することで精一杯という状況に陥っています。CTOやビジネスリーダーの話から、エラー監視やバグ修正などの終わりのない作業の多さが、金融サービス全体の停滞を招き、独自のユースケースの開拓を妨げていることが明らかになりました。
このようなリスクに直面した企業の1つがHyphen Group社です。個人向けの金融Webサイト「Seedly」を運営し、5つの市場で1,500以上の商品を展開する同社は、イノベーションを止めることはできません。一方でイノベーションの推進と継続的な事業拡大によって、IT環境と部門横断的なプロセスが複雑化していました。
新しい商品をリリースするたびにコードとインフラの追加が必要になりますが、DevOpsプロセスが可視化されていなかったため、IT環境がこれ以上複雑になることは避けなければなりません。
Hyphen Group社は、イノベーションのリスクを回避するためにSplunkをパートナーとして選び、Splunk Observability Cloudを導入して、さまざまなタイプのエラーの検出と分類といった作業を自動化することで、問題解決プロセスを効率化し、IT管理にかかる時間を大幅に削減しました。
IT環境のオブザーバビリティを強化し、作業の自動化を推進することによって、インフラ導入のスピードが8倍向上しました。たとえば、新しい保険商品向けのプラットフォームの導入はわずか45日で完了しました。これは、以前であれば丸1年かかっていたような作業です。
透明性に関するリスク
前述のリスクは金融機関が現在直面しているものですが、お客様と話をする中で、今後顕在化すると思われるリスクが見えてきました。それが、透明性に関するリスクです。金融サービス業界では、AIの活用が進むにつれて、法的枠組みに従って透明性や可視性を確保したいというニーズが高まっています。通常、こうした枠組みでは、顧客の利益を第一に考え、透明性の高い方法で顧客のデータや資産を管理することが求められます。
その中の主な課題の1つが、AIを活用した意思決定での説明可能性の欠如です。従来の意思決定プロセスでは、どのように意思決定がなされたかを説明するのは比較的簡単でした。しかしAIを活用した場合は、複雑なアルゴリズムとさまざまなデータセットが関わるため説明が難しくなります。今話題のChatGPTの利用がその良い例です。透明性の欠如は、顧客、監督機関、株主の疑念や不信を招きます。
この課題に対処するには、顧客に影響する意思決定においてAIがどのように使われているかについて透明性を確保し、その使い方が法的枠組みに従っていることを証明する必要があります。そのためには、データを可視化し、オブザーバビリティを強化する必要があります。これによってITチームは、すばやく情報を集め、異常やエラーを特定し、必要に応じて調整を行うことができます。
具体的な対策としては、業界標準や政府の方針に準拠した監視/分析ツールを使用することが挙げられます。また、マシンデータに基づいてリアルタイムでインサイトを得ることができれば、システムの動作を包括的に把握できます。適切な機関が定めた各種の基準に準拠して開発されたツールを使用することも、顧客情報の処理などの業務が法的枠組みに沿って行われていることを証明するために役立ちます。
リスクを低減する
クラウドテクノロジーはすでに金融機関の間で浸透しています。AIもいずれ同じ道をたどることになるでしょう。アジアの金融サービス業界には、高度なテクノロジーを先取りし、ITシステムを包括的に可視化して、上記のリスクを大幅に低減しなければならないという危機感が感じられます。インドネシアの大手デジタルウォレットプロバイダーであるDANA社から、決済プラットフォームをグローバルに展開するStripe社まで、多くの金融機関が影響を最小限に抑えてシステミックリスクを低減し、競争の激しいこの業界でトランスフォーメーションを加速できるよう、Splunkはさまざまな支援を提供しています。
その他の優れたレジリエンス向上策については、E-book『デジタルレジリエンスの強化による効果』をご覧ください。
このブログはこちらの英語ブログの翻訳、中里 美奈子によるレビューです。
