始めに

2023年暮れ、とある銀行情報システム運用高度化案件を受注し、同年12月より運用高度化PJに参画している。
金融機関のシステム構築経験はあるのだが、運用は初めての経験であり、ほかの運用現場ではなかった特徴が
あったので紹介しておこうと思う。

1.銀行情報システムの運用における規約

着任早々、教育を受けたのが、システム構成や運用プラットフォームなどではなく、以下の内容であった。
１）FISCについて
・金融機関等コンピュータシステムの安全対策基準
・金融機関等のシステム監査基準
・金融機関等におけるコンティンジェンシープラン
・金融機関等におけるセキュリティポリシー

２）インサイダー取引規制
・会社関係者等によるインサイダー取引に関する金融商品取引法
株取引やその他商品取引を自分でやっている人は、売買する際など就業先行員役員の許可が必要に
なるものがあるらしい。自分はやっていないので問題なしだった。

解説）
FISC(The Center for Financial Industry Information Systems)
→金融機関をはじめとして保険会社、証券会社、カード会社、通信会社、コンピュータメーカー、
システムベンダーなどの様々な会員によって構成されている財団法人

金融情報システムに関連する研究調査や、安全対策の普及・推進活動を行っている。
就業先のとある銀行ではFISCの各基準に準拠して開発・運用を行っている。
銀行業務を行うに当たっては知っていて当然、とのことであった。

2.銀行システムの大まかな構成

１．のみっちりとした教育の後にようやくシステムの教育を受けることとなった。
ただ、こちらの教育内容については、ざっくり、さらっとしたものであった・・　
資料は最新化しておいてほしかった…

【構成】
大きく「勘定系システム」「周辺系システム」の2つに分類されている。(他の銀行などでも大体同じらしい)
勘定系システム：預金・融資・為替などの主要業務を担う中心システム
周辺系システム：フロントシステム群、全銀システム等対外系システムとの接続を担うシステム、
外為業務システム等(ほかにもあるがこのくらいで)

3.運用業務

システム運用・保守業務に関しては銀行だからといった違いは感じられない。
就業先のとある銀行だからなのかどうかは定かではないが、とにかく「セキュリティ監査」業務が非常に多い！
1日の半分はその業務に稼働を取られる。

毎営業日に前営業日(休日を挟んでいれば休日分も)のアクセス監査を行っている。
アクセス申告情報と、実際のアクセスログの突合により、申告外アクセス有無、未申請アクセス有無を、
OS、DB、SFMCやらGIOやらAWSやらの管理コンソールに対して行う。
不正アクセスを検知すると「なぜ！？なぜ！？」と担当者へ聞きに行く。
(今は我々が対応しているが、落ち着いたら行員のみなさまへお返ししようと考え中…)

あと、突出して厳しいのはアクセス利用申請。
申請した人でなければログインできないよう堅牢なアクセス管理ツールで管理されているため、
申請した人が急遽お休みしてしまうと、気軽に代わりにやるよ、と言えない。

緊急申請で作業可能な人が作業直前にアクセス利用申請して、急ぎ回覧を
お願いするといったバタバタした状況になる。

共有アカウントなどもってのほか！という文化があるため、よほどの理由がない限りは
共有アカウントは作れない。（まぁ、普通なのかもしれないけど）

rootのPW払出しなども原則行わない。当然の事と思うが、そうでない運用現場をたくさん見てきた。
もっと業務遂行に対する余裕が持てるよう、できる範囲で工夫していかねばと感じている。
また、実施した作業については、作業エビデンスへ担当者、再鑑者の押印が必須となる。
(監査対象となる。シャチハタ買いました)

4.用語の違い

銀行内で飛び交う用語について、これまでの運用現場とは違う代表的なものには以下のようなものがある。
確認・ダブルチェック　→　再鑑
クローズ　→　結了
管理者　→　役席
データ統合　→　名寄せ
顧客情報　→　CIF
平日日中時間帯　→　コアタイム
平日夜間・土日祝日時間帯　→　モアタイム
等々・・・

5.おわりに

システム運用・保守業務については他業種との差はほとんど感じないと述べたが、障害や事故発生時に
ユーザーに与えるインパクトの大きさは計り知れないものがあるため、サービスのSLA厳守、
セキュリティ事故撲滅といったことが求められる。

セキュリティ面に関しては、これまでの経験以上に神経をとがらせてメンバー管理や、
業務管理を行う必要性を感じている。
また、常にサービスの動向を意識した運用プロセス、運用CIの構築を検討・推進していこうと思う。