[写真=亜洲経済]
グローバルIT企業の韓国内金融クラウド市場への進出が、開始から雑音に悩まされている。141個に達するセキュリティ認証を満たした韓国のクラウドベンダーとは違って、139個のセキュリティ認証のみ充足し、2個は完了というあいまいな表現を使ったためだ。業界では、セキュリティ認証に完了という表現は存在せず、これは部分充足という競合他社より劣る結果を隠すための誤魔化しだと指摘した。
19日、韓国マイクロソフトはグローバルIT企業のうち初めて金融保安院金融クラウドの安全性評価を完了したと明らかにした。これによると、韓国マイクロソフトは基本保護措置109項目と追加保護措置32項目など計141項目で自社のクラウドサービスである「アジュール(Azure)」の安全性を確認して検証した。
韓国内の金融機関がクラウドサービスを利用するには、「電子金融監督規定」と「金融分野クラウドコンピューティングサービス利用ガイド」に基づいて韓国インターネット振興院が主管する基本保護措置(セキュリティ認証)と金融保安院が主管する追加保護措置をとらなければならない。これまではKT、ネイバービジネスプラットフォーム、NHNなど、一部の韓国のクラウドベンダーだけが金融機関とともにセキュリティ認証を満たしており、アマゾンウェブサービス(AWS)、マイクロソフト、グーグルクラウドなど海外企業はこれを満たしていない状況だった。
しかし、取材結果、韓国マイクロソフトは139のセキュリティ認証だけを充足して、2つは部分充足したことが確認された。
金融保安院は、32のセキュリティ認証を充足、部分充足、未充足に分けて評価する。充足は金融保安院が要求するすべてのセキュリティ水準を満たしたときに、未充足は全く満たしていなかったときに出る評価だ。問題は部分充足だ。それなりのセキュリティに対する準備をしたが、金融保安員が要求する水準を満たしていない場合、部分充足という結果が出る。
つまり、韓国マイクロソフトは141のセキュリティ認証の全て満たしていない状況で、社内(社外を含む)の情報保護委員会に金融クラウド利用に対する許可を要請したわけだ。
些細なセキュリティ問題が個人情報の流出や財産の被害を引き起こす可能性がある金融業界で、韓国マイクロソフトは141のセキュリティ認証を全部通過できないまま、完了という曖昧な表現で金融クラウド事業に乗り出したのは問題があるという指摘だ。特に部分充足を受けた領域が、セキュリティと直結される「施錠装置」と「セキュリティ管制タブ」であるだけに、利用者の財産と直結される金融クラウド導入に慎重を期する必要があるという意見も出ている。
そのため、韓国マイクロソフトが「CSA Star」認証を通じて109の基本セキュリティ認証を省略することができるにもかかわらず受けた点と、クラウド専担組織が高い評価を受けた点など、長所まで色があせた。
さらに大きい問題は、韓国マイクロソフトの報道資料を通じてこのような事実を隠したまま、関連記事が出ているという点だ。ある業界関係者は、「会社が141のセキュリティ認証を満たしていなかったにもかかわらず、完了という根拠不明の表現を使って金融業界に充足したかのように映る恐れがある」と指摘した。
<亜洲日報の記事等を無断で複製、公衆送信 、翻案、配布することは禁じられています。>
