Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > No category > イスラエルの銀行が基幹システムを入れ替えずに改正13号へのコンプライアンスを実現する方法

イスラエルの銀行が基幹システムを入れ替えずに改正13号へのコンプライアンスを実現する方法

by Tim Freestone updated 4月 13, 2026 規制コンプライアンス
Reading Time: 10 minutes

イスラエルの銀行は、レガシーインフラの運用現実に対応しながら、Amendment 13(改正13号)の要件遵守への圧力が高まっています。規制対応のためにコアバンキングシステムを入れ替えることは、コストがかかるだけでなく、業務の混乱や時間的負担、さらには大きな運用リスクをもたらします。しかし、コンプライアンスは選択肢ではなく、規制当局は強固なデータ保護、アクセス制御、監査機能を求めています。

課題は、顧客の機密データを保護し、全面的なシステム刷新を伴わずに規制に対する説明責任を維持することにあります。銀行は、既存システムの上に最新のセキュリティ制御をレイヤー化し、通信の境界でポリシーを強制し、規制当局が求める監査証跡を生成するアーキテクチャ的アプローチが必要です。本記事では、イスラエルの金融機関がコアバンキングプラットフォームを抜本的に入れ替えることなく、ターゲットを絞ったセキュリティレイヤーを実装することでAmendment 13のコンプライアンスを達成する方法を解説します。

要約

Amendment 13のコンプライアンスには、イスラエルの銀行がすべての顧客情報システムにわたり、包括的なデータ保護、アクセスガバナンス、監査能力を実証することが求められます。多くの銀行は、現在の規制コンプライアンス基準が登場するはるか以前に構築されたコアプラットフォーム上で運用されています。これらのシステムを入れ替えることは、非常に高額で運用リスクも大きいのが現実です。

解決策は、レガシーインフラの周囲に最新の制御をラップするセキュリティアーキテクチャの実装にあります。システム間で移動する機密データの保護、ゼロトラストアーキテクチャポリシーの適用、通信境界での改ざん不可能な監査証跡の取得により、コアバンキングプラットフォームを入れ替えることなく規制コンプライアンスを達成できます。このアプローチはリスクを低減し、コンプライアンス達成までの期間を短縮し、規制要件を満たしながら業務継続性を維持します。

主なポイント

  1. レガシーシステムによるコンプライアンスの課題。 イスラエルの銀行は、最新のセキュリティ機能を欠いた古いコアバンキングシステムが原因でAmendment 13の遵守に苦戦しており、全面的な入れ替えはコスト・リスクともに高い状況です。
  2. 境界ベースのセキュリティソリューション。 通信の境界でゼロトラストやコンテンツ認識型のセキュリティ制御を実装することで、レガシーインフラを大幅に変更することなくデータフローを保護できます。
  3. 改ざん不可能な監査証跡。 データの境界で詳細かつ改ざん不可能な監査ログを取得することで、アクセス制御やデータ保護対策の証拠を提供し、規制コンプライアンスを確保します。
  4. 業務を止めない継続的なコンプライアンス。 ポリシーの自動適用や既存のセキュリティ運用との統合により、Amendment 13への継続的なコンプライアンスを実現し、業務を中断することなく規制の変化にも対応できます。

レガシーバンキング環境におけるAmendment 13要件の理解

Amendment 13は、顧客データの保護、機密情報へのアクセス制御、継続的なコンプライアンスを証明する監査ログの維持といった具体的な義務を定めています。規制は成果を義務付けており、データは転送中・保存中ともに暗号化され、アクセスは最小権限原則に従い、機密情報へのすべての操作は改ざん不可能な記録としてログ化されなければなりません。

イスラエルの銀行は、1980年代から2000年代初頭に導入されたコアバンキングシステムを利用していることが一般的です。これらのプラットフォームは、現代のセキュリティアーキテクチャを前提に設計されていません。多くは暗号化機能を持たず、境界型のセキュリティモデルに依存し、現在の監査基準を満たさないログしか生成できません。独自プロトコルやレガシーOSを使用し、カスタムインターフェースを通じて多数の補助アプリケーションと連携しています。

規制上の課題は、これらのシステムが安全に取引を処理できないことではなく、Amendment 13が求める形でコンプライアンスを証明できないことです。規制当局は、きめ細かなアクセスログ、コンテンツ認識型のポリシー適用、機密データが改ざんされていないことの暗号学的証明を期待しています。レガシーシステムは、これらの機能を標準で備えていることはほとんどありません。

コアバンキングプラットフォームの入れ替えには通常3~5年、数千万シェケルのコストがかかり、切り替え時には大きな運用リスクが生じます。顧客口座の移行、連携システムの再設定、スタッフの再教育、顧客向けサービスの混乱対応など、多くの課題が伴います。このような制約から、短期間でのコンプライアンス達成にシステム入れ替えは現実的な選択肢ではありません。より実践的なアプローチは、システムの棚卸しではなくデータフローに着目することです。

まず、機密顧客データがシステム間でどのように移動しているかをマッピングします。コアバンキングプラットフォームからデータが出るすべてのポイントを特定してください。たとえば、規制当局へのレポート送信、第三者プロセッサーへのファイル転送、メールによる顧客明細の配信、支店スタッフによる口座情報アクセス、デジタルバンキングアプリからのAPIコールなどです。これらの各フローがコンプライアンス上のギャップとなり得ます。

各フローにどのような制御が現在適用されているかを評価します。データは暗号化されて転送されていますか?アクセスは、誰が、いつ、どこから、どのデータにアクセスしたかを再現できる十分な詳細でログ化されていますか?データが転送中に改ざんされていないことを証明できますか?アクセス制御は役割や状況、データの機密性に基づいて適用されていますか?多くのレガシー環境では、これらの問いのいくつかに「いいえ」と答えることになるでしょう。このフローベースの評価により、システム全体の監査を行わずともコンプライアンスギャップを明らかにし、「レガシーシステム内部で機密データを保護できないなら、システム間でデータが移動する境界で保護する」という解決策が見えてきます。

通信境界でのゼロトラスト制御の実装

ゼロトラストセキュリティは、ユーザー・デバイス・システムのいずれもデフォルトで信頼しないという考え方です。すべてのアクセス要求は、アイデンティティ・状況・リソースの機密性に基づき、認証・認可・継続的な検証を受けなければなりません。レガシーインフラを持つ銀行が、すべての内部システムにゼロトラストを導入するのは現実的ではありません。より実現可能な方法は、機密データが移動する通信境界でゼロトラスト制御を実装することです。

レガシーシステムは、ネットワーク上の位置やログイン時の単一認証イベントに基づいてリクエストを許可することが多く、リクエストされたデータの機密性や従業員の現在の役割・状況、リクエストが想定されたパターンに沿っているかどうかを評価しません。

通信境界でゼロトラスト制御を実装することで、コアシステムを変更せずにより細かいポリシーを適用できます。リクエストが境界に到達すると、ゼロトラストの強制ポイントがユーザー認証、現在の役割と権限の確認、リクエストデータの機密性評価、状況異常の検出を行い、データ転送前に暗号化(保存時はAES-256、転送時はTLS 1.3)を適用します。コアバンキングシステムは標準の認証済みリクエストとして処理し、銀行はAmendment 13が要求するセキュリティ制御を獲得できます。

この境界ベースのアプローチは、第三者プロセッサーへのファイル転送、デジタルバンキングアプリからのAPIコール、顧客情報を含むメール通信、規制当局への自動レポート送信、支店外で働くスタッフのリモートアクセスなど、さまざまなシナリオで適用可能です。いずれの場合も、データが移動するポイントでゼロトラスト制御がポリシーを強制し、レガシーシステム内部に制御を後付けしようとするのではありません。

コンテンツ認識型セキュリティは、メタデータだけでなく通信の実際の内容を評価します。Amendment 13のコンプライアンスでは、口座番号や本人確認情報、財務記録などの高度な機密データが、より機密性の低い情報よりも強力に保護されていることを示す必要があります。レガシーシステムは、異なる機密性レベルを区別することはほとんどありません。

コンテンツ認識型ポリシー適用は、転送中の実データを検査し、パターンマッチングやデータ分類ルールで機密要素を特定し、通信内容に応じた適切な制御を適用します。たとえば、支店スタッフが口座番号や国民識別番号を含む文書をメール送信しようとした場合、強制ポイントが追加認証を要求したり、配信方法を制限したり、より強力な暗号化を適用したり、ポリシー違反の場合は送信自体をブロックしたりできます。

このアプローチは、コアバンキングシステムや従業員のメールクライアントに変更を加える必要がありません。強制は通信境界で行われ、送信者やレガシーシステムには透過的です。コンテンツ認識型ポリシーは自動マスキングや編集にも対応し、規制対象情報の露出を最小限に抑えつつ、必要なデータを業務チームに提供できます。

規制基準を満たす監査証跡の生成

Amendment 13は、銀行に対し、機密顧客データへのすべてのアクセスについて詳細かつ改ざん不可能な記録を保持することを求めています。規制当局は、誰が・いつ・どこから・どの情報にアクセスし・どのような操作を行い・そのアクセスが定められたポリシーに準拠していたかを確認できる監査記録を期待しています。これらの監査記録は改ざん不可能であり、規定された期間保存されなければなりません。

レガシーバンキングシステムもログを生成しますが、多くの場合、規制基準を満たしていません。成功したログインやバッチ処理の完了など、上位レベルのイベントしか記録されず、コンテンツレベルのアクセスやポリシー判断、各操作の詳細な状況は記録されません。多くのレガシーロギングシステムでは、管理者がログエントリを変更・削除でき、改ざん不可能性の要件を満たしません。

通信境界で監査取得を実装することで、レガシーシステムを変更せずに包括的かつ改ざん不可能な記録を生成できます。機密データが移動するたびに、強制ポイントが認証済みユーザーID、リクエストされたリソースと機密性分類、ポリシー判断とその理由、送信元・送信先システム、操作の時刻と期間、転送中にデータが改ざんされていないことの暗号学的証明など、完全な状況をログ化します。

これらのログは、管理者でも変更・削除できない改ざん防止ストレージに書き込まれます。すべての通信チャネルで一貫したフォーマットが採用され、相関分析も容易です。規制当局から証拠提出を求められた際には、すべての機密データフローにわたるポリシー適用・アクセス制御・ゼロトラストデータ保護の証拠となる完全な監査証跡を提示できます。

規制当局が求めているのは単なるログではなく、特定の規制要件への準拠を証明する証拠です。コンプライアンスマッピング機能により、各監査記録には対応するAmendment 13要件が自動的にタグ付けされます。たとえば、暗号化されたファイル転送をログ化する際には、Amendment 13の暗号化要件への参照タグが付与されます。不正アクセスをブロックするポリシー判断を記録する際には、アクセス制御要件への参照タグが付与されます。

規制監査時、このマッピングにより、銀行は特定のコンプライアンス質問に迅速に対応できます。たとえば、規制当局から「顧客データの転送時暗号化の証拠」を求められた場合、監査システムは該当する暗号化要件タグ付きの記録を、期間・データ種別・事業部門ごとに即座に抽出できます。コンプライアンスマッピングは継続的な評価にも対応し、規制当局がギャップを指摘する前に、銀行自身がすべてのAmendment 13要件に対する証拠生成を確認できます。

既存のセキュリティ運用・第三者データ連携とのコンプライアンス制御統合

Amendment 13のコンプライアンスは、既存のセキュリティ運用、インシデント対応ワークフロー、ガバナンスプロセスと統合されなければなりません。銀行はすでに、セキュリティ情報イベント管理(SIEM)プラットフォーム、セキュリティオーケストレーション・自動化・対応(SOAR)ツール、ITサービス管理システム、IDおよびアクセス管理(IAM)インフラを運用しています。

通信境界アプローチは、統合を自然にサポートします。すべての機密データフローが、強制ポイントを経由して一貫した構造化監査記録を生成するため、これらの記録を既存のセキュリティ運用プラットフォームに直接連携できます。強制ポイントが異常なアクセスパターンを検知した場合、自動的にインシデントチケットを作成し、自動調査ワークフローをトリガーし、SIEM経由でセキュリティオペレーションセンターにアラートを送信できます。

この統合により、より迅速な検知と対応が可能になります。たとえば、従業員の認証情報が侵害され、攻撃者が顧客データの持ち出しを試みた場合、強制ポイントが異常リクエストパターンを検知し、即座に試行をブロック、完全な状況をログ化し、インシデント記録を作成、セキュリティチームに通知します。

統合はポリシーの自動適用にも対応します。IAMシステムが役割変更や退職により従業員のアクセス権を剥奪した場合、強制ポイントは自動的にポリシーを更新し、そのユーザーによる機密データフローへのアクセスをブロックします。

イスラエルの銀行は、決済プロセッサー、信用調査機関、規制当局、技術ベンダー、ビジネスパートナーなど、第三者サービスプロバイダーと機密顧客データを日常的にやり取りしています。各連携はコンプライアンスリスクを生み出します。第三者のセキュリティ制御がAmendment 13基準を満たしていない場合、違反やコンプライアンス不履行の責任は銀行側に残ります。

従来のアプローチでは、パートナーごとにセキュリティ評価・契約交渉・技術連携・継続的モニタリングなど、広範なオンボーディングが必要でした。通信境界アプローチでは、個々のパートナーにAmendment 13制御の実装を求めるのではなく、銀行自身の境界で制御を強制することで、コンプライアンス負担を自組織側に集約します。たとえば、銀行が決済プロセッサーに顧客データを転送する際、強制ポイントがデータを暗号化し、アクセス制御を適用し、完全な取引記録をログ化し、異常を監視します。

このアプローチにより、パートナーオンボーディングが大幅に簡素化されます。銀行は自組織の境界で一度コンプライアンス要件を確立し、すべての第三者連携に一貫して適用できます。新規パートナーも、広範なセキュリティ評価や銀行固有の制御実装を必要とせず、迅速に連携可能です。

高度なデータ保護技術により、銀行はデータ共有後も制御を維持できます。銀行が第三者に顧客データを転送する際、強制ポイントがデータに永続的な保護を付与します。たとえば、認可ユーザーがアクセスするまで有効な暗号化、第三者システム上でも銀行ポリシーを適用し続けるアクセス制御、指定期間経過後にデータを読めなくする自動失効、セキュリティ上の懸念が生じた場合に即座にアクセスを遮断するリモート失効などです。

銀行業務を止めずに継続的コンプライアンスを実現

Amendment 13のコンプライアンスは一度きりのプロジェクトではなく、システムの変化・新たな脅威・規制の進化・ビジネスニーズの変化に応じて継続的に維持されるべき運用要件です。銀行には、日々の業務を妨げたり、常時手作業の介入を必要としない、継続的コンプライアンスを支えるアーキテクチャが求められます。

通信境界アプローチは、自動化された仕組みにより継続的コンプライアンスを実現します。ポリシー適用は自動かつ一貫しており、どのシステムやユーザーが関与してもすべての機密データフローに同じ制御が適用されます。監査記録も自動生成され、手動のログ記録や文書化作業を必要とせず、継続的な証拠を作成します。コンプライアンスマッピングにより、銀行がすべての規制要件を満たしていることを常時検証できます。セキュリティ運用との統合により、問題発生時の迅速な検知と対応も可能です。

規制が進化した場合も、個々のレガシーシステムを変更するのではなく、強制境界でポリシーを更新するだけで対応できます。たとえば、Amendment 13でより強力な暗号化アルゴリズムが求められるようになった場合、銀行は強制ポイントで暗号化ベストプラクティス(AES-256やTLS 1.3など)をアップグレードするだけで、すべての機密データフローが即座に強化されます。コンプライアンスは、監査前の突貫作業ではなく、管理・測定可能なプロセスとなります。

まとめ

イスラエルの銀行は、機密データが移動する通信境界でセキュリティ制御を実装することで、コアバンキングシステムを入れ替えることなくAmendment 13のコンプライアンスを達成できます。このアーキテクチャ的アプローチは、レガシーインフラの周囲に最新の保護をラップし、ゼロトラストやコンテンツ認識型ポリシーの適用、改ざん不可能な監査証跡の生成、既存のセキュリティ運用との統合を実現します。

この戦略は、規制当局が重視する成果にフォーカスしています。すなわち、機密データが転送中・保存中ともに暗号化されていることの証明、アクセスが最小権限原則に従っていることの証明、顧客情報へのすべての操作が改ざん不可能な記録として保持されていること、インシデント発生時の迅速な対応などです。レガシーシステム内部の後付けではなくデータフローの保護に注力することで、銀行はコンプライアンス達成までの期間を短縮し、運用リスクを低減し、ビジネス継続性を維持できます。

今後、イスラエルの銀行を取り巻くコンプライアンス環境は多方面で厳しさを増します。イスラエル銀行は、これまで規制当局が満足してきた事後的な監査文書ではなく、コントロールの有効性をリアルタイムかつ機械可読で継続的に証明することを求める方向に進んでいます。同時に、DORAやバーゼルのオペレーショナルレジリエンスフレームワークは、レガシーと最新システムの両方でコントロール有効性を文書化するプレッシャーを強めており、境界ベースのアーキテクチャはこの二重責任を満たすのに最適です。オープンバンキングやAPI駆動型金融サービスの急速な拡大により、データフローは内部レガシーシステムを超え、フィンテックやアグリゲーター、組み込み金融パートナーとのエコシステム全体に広がっています。境界ベースのガバナンスフレームワークは、あらゆる新しいデータベクトルを統治できるよう拡張が求められており、このアーキテクチャを早期に採用することは、単なるコンプライアンス対応にとどまらず戦略的優位性となります。

機密バンキングデータの安全な移動とAmendment 13コンプライアンスの証明

Amendment 13のコンプライアンスは、現代の規制要件を想定していないレガシーインフラ全体で機密顧客データを保護するという課題をイスラエルの銀行に突きつけています。コアバンキングシステムの入れ替えは現実的ではありませんが、コンプライアンスは必須です。Kiteworksのプライベートデータネットワークは、このギャップを埋めるアーキテクチャレイヤーを提供します。

Kiteworksは、通信境界でゼロトラストおよびコンテンツ認識型制御を強制することで、機密データの移動を安全にします。顧客情報がシステム間を移動する際、Kiteworksはすべてのユーザーとデバイスを認証し、リクエストデータの機密性を評価し、役割や状況に応じたきめ細かなポリシーを適用し、保存時はAES-256暗号化、転送時はTLS 1.3暗号化を施してデータを保護します。これらの制御は既存インフラの上にレイヤー化され、コアバンキングプラットフォームの変更を必要としません。

プライベートデータネットワークは、Amendment 13要件に直接マッピングされた改ざん不可能な監査証跡を生成します。すべてのデータアクセス、ポリシー判断、セキュリティイベントが完全な状況とともにログ化され、規制当局が求める継続的なコンプライアンス証拠を作成します。これらの監査記録は、既存のSIEMプラットフォーム、SOARツール、ITサービス管理システムと統合され、セキュリティ運用チームが慣れ親しんだワークフローでインシデントの検知・対応を行えます。

Kiteworksは、外部パートナーと共有した後も機密情報の制御を維持することで、第三者データ連携も簡素化します。銀行は、決済プロセッサーや信用調査機関、サービスプロバイダーに送信した顧客データに対し、永続的な保護、自動失効、リモートワイプを適用できます。

レガシーシステムの運用現実に直面しながらAmendment 13の期限対応を迫られるイスラエルの銀行にとって、Kiteworksは大規模なインフラ刷新を必要としないコンプライアンス達成の道筋を提供します。カスタムデモを予約し、Kiteworksプライベートデータネットワークが貴行の規制コンプライアンスと業務継続性の両立にどのように貢献できるかをご体験ください。

よくあるご質問

Amendment 13は、イスラエルの銀行に対し、顧客情報システム全体で包括的なデータ保護、アクセスガバナンス、監査機能を確保することを義務付けています。これには、転送中および保存中のデータ暗号化、最小権限アクセス原則の適用、機密情報へのすべての操作に対する改ざん不可能な監査ログの維持が含まれます。

コアバンキングシステムの入れ替えは、非常に高額で時間もかかり(通常3~5年)、移行中に大きな運用リスクを伴います。顧客サービスの混乱やスタッフの大規模な再教育も必要となり、短期間でAmendment 13のコンプライアンスを達成する現実的な方法とは言えません。

銀行は、機密データが移動する通信境界でセキュリティ制御を実装することでコンプライアンスを達成できます。これは、既存システムの上にゼロトラストアーキテクチャやコンテンツ認識型ポリシー適用、暗号化などの最新セキュリティ対策をレイヤー化し、改ざん不可能な監査証跡を生成することで、コアプラットフォームを変更せずに規制要件を満たす方法です。

ゼロトラストアーキテクチャは、ユーザー・デバイス・システムをデフォルトで信頼せず、通信境界で認証・認可・継続的な検証を強制します。これにより、レガシーバンキングシステムを変更することなく、きめ細かなポリシーと暗号化によってデータフローを保護し、Amendment 13のコンプライアンスを実現します。

まずは試してみませんか?

Kiteworksを使用すれば、規制コンプライアンスの確保とリスク管理を簡単に始めることができます。人、機械、システム間でのプライベートデータの交換に自信を持つ数千の組織に参加しましょう。今すぐ始めましょう。

デモを予約

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks