Azure における SWIFT アライアンス Connect Virtual

この一連の記事では、Azure での SWIFT のコンポーネントの使用に関するガイダンスを示します。 この記事では、このシリーズのアーキテクチャ例の基本的なコンポーネントについて説明します。

この記事の対象読者は、Azure で SWIFT コンポーネントを実装するプログラム マネージャー、アーキテクト、エンジニアです。 このドキュメントは、次にように構成されています。

• SWIFT のコンポーネントのデプロイに関する Azure アーキテクチャの概要 (この記事)。
• 各コンポーネントの詳細な参照アーキテクチャ (「関連リソース」セクションのリンク)

アーキテクチャ

次に示すのは、SWIFT ネットワークへの接続に関する大まかな参照アーキテクチャです。 SWIFT のコンポーネントについて詳しくは、Swift の用語集に関するページをご覧ください。

このアーキテクチャの Visio ファイルをダウンロードします。 vSRX-HA のタブを参照してください。

Azure での SWIFT のデプロイには、さまざまなコンポーネントが含まれています。 以降のセクションでは、主要なコンポーネントについて説明します。

お客様のデータセンターまたはコロケーション

アーキテクチャのこの部分は、ビジネス ユーザーが SWIFT コンポーネントと対話するオンプレミス サイトを表します。 オンプレミスで実行されている他のすべてのビジネス処理アプリケーションも、SWIFT コンポーネントに接続できます。 このサイトと SWIFT コンポーネントがデプロイされている Azure の間にはネットワーク接続が必要です。

SWIFT Hardware Security Module

SWIFT の Customer Security Programme (CSP) - Customer Security Controls Framework (CSCF) に確実に準拠するには、SWIFT Hardware Security Module (HSM) を物理的にホストする必要があります。 これは、オンプレミスでも、コロケーション データセンターでもかまいません。 SWIFT コンポーネントをデプロイするには、Azure と HSM を実行するサイトの間のネットワーク接続が必要です。

高可用性構成での Alliance Connect Virtual (vSRX)

SWIFT Alliance Connect Virtual は、SWIFT Multi-Vendor Secure IP Network (MVSIPN) 経由で SWIFT に接続する必要がある接続コンポーネントです。 CSP-CSCF によると、Alliance Connect Virtual は、Azure で仮想的にホストできるクラウドにデプロイ可能な接続ソリューションです。 アーキテクチャの図では、高可用性構成での Alliance Connect Virtual のデプロイが示されています。 2 つのノードにデプロイされた vSRX アプライアンスは、回復性を提供することで高可用性の要件に対応します。

SWIFT のネットワーク接続コンポーネントとメッセージング コンポーネント

SWIFT には、セキュリティが強化された金融メッセージ転送のために、さまざまな接続コンポーネントが用意されています。 接続モジュールの選択については、SWIFT のガイドラインをご覧ください。 機能要件、トランザクションの量、セキュリティ要件が、選択に影響を与える可能性があります。 次のセクションでは、支払いメッセージ転送を処理する組織が使用できる主要コンポーネントについて説明します。

Alliance Connect Virtual のネットワーク接続ソリューション

SWIFT には、3 つの Alliance 仮想接続オプションが用意されています。 お客様のメッセージ トラフィックの量と必要な回復性レベルに最も適したオプションを選択できます。 詳しくは、特定のメッセージング ソリューションに関する記事をご覧ください。

• Alliance Connect Virtual Bronze。 このオプションでは、1 つのインターネット サービス プロバイダー (ISP) を使って 1 つの VPN インスタンスを接続します。 2 つの VPN インスタンスと 2 つの ISP 接続を使うことで、回復性を向上させることができます。 このシナリオでは、トラフィックはプライマリ接続を経由し、メインの接続が失敗した場合はバックアップ接続が使われます。

• Alliance Connect Virtual Silver。 このオプションでは、プライマリ接続として Azure ExpressRoute を使い、バックアップとしてインターネットを使います。 専用の ExpressRoute 接続は、保証された帯域幅を SWIFT に提供します。 2 つの VPN インスタンスを使用する場合、バックアップ チャネルとしてローカル インターネット接続を使用すると、コストが削減されます。

• Alliance Connect Virtual Gold。 このオプションは、Alliance Connect 製品の最高のサービス レベルと回復性を提供します。 SWIFT への接続には、容量が等しい 2 つの ExpressRoute 接続が使われます。 このオプションは、1 日あたり 40,000 件を超えるメッセージを処理し、最高レベルの回復性を必要とするお客様向けに設計されています。

これらのオプションについて詳しくは、SWIFT の Web サイトで確認することをお勧めします。

さらに、3 つの接続オプション (Gold、Silver、Bronze) のそれぞれでこれらのソリューションを使う方法を示すアーキテクチャについては、Visio のファイルをご覧ください。

次のセクションでは、SWIFT 接続を必要とする組織で使用できる主要なコンポーネントについて説明します。

Alliance Access

Alliance Access に基づく構成の場合は、次のコンポーネントが必要です。

• Alliance Access、Web Platform、SWIFT Alliance Gateway (SAG)/SWIFTNet Link (SNL)、Alliance Connect Virtual ネットワーク接続ソリューション
• SWIFTNet 経由で送信されるメッセージをセキュリティ保護するオンプレミス HSM アプライアンス

Alliance Messaging Hub

Alliance Messaging Hub (AMH) に基づく構成の場合は、次のコンポーネントが必要です。

• AMH、Workbench、SAG/SNL と、Alliance Connect Virtual ネットワーク接続ソリューション
• SWIFTNet 経由で送信されるメッセージをセキュリティ保護するオンプレミス HSM アプライアンス

Alliance Lite2

Alliance Lite2 に基づく構成の場合は、次のコンポーネントが必要です。

• Alliance Lite2 AutoClient 仮想マシンと、Alliance Connect Virtual ネットワーク接続ソリューション
• オンプレミスからの物理的なトークン管理

Alliance Cloud

Alliance Cloud に基づく構成の場合は、次のコンポーネントが必要です。

• SWIFT Integration Layer (SIL) 仮想マシンと、Alliance Connect Virtual ネットワーク接続ソリューション
• オンプレミスからの物理的なトークン管理

Azure Confidential Computing への SWIFT ソリューションのデプロイ

コンフィデンシャル コンピューティングでは、高信頼実行環境 (TEE) により、保存中および転送中のデータを保護する既存の方法と同様に、使用中のデータを保護します。 TEE は、クラウド プロバイダーである Azure でもアクセスを許可されないように構成できる環境でコードとデータを暗号化および分離します。 コンフィデンシャル コンピューティングを使用すると、お客様は、データとコードが作成されてから破棄されるまで、ワークロードのデータとコードが自社の制御下にあるという検証可能な保証を得ることができます。

一部のワークロードでは、クラウド運用環境で、合法的なデータ アクセスや悪意のある従業員など、まれにしか発生しないイベントでも、ライフサイクル全体を通じて常にデータが保護されている必要があります。 AMD プロセッサと SEV-SNP テクノロジを備えた Azure コンフィデンシャル仮想マシンを使用できます。 これらの VM は、セキュリティのニーズを満たすために、ハードウェアに適用される強力な境界を提供します。 コードを変更することなく、ワークロードを Azure コンフィデンシャル VM に移行できます。 このプラットフォームでは、仮想マシンの状態が読み取られたり、変更されたりしないように保護します。

Azure コンフィデンシャル VM (DCasv5/ECasv5) は、SEV-SNP を使用する新しいハードウェア ベースの TEE を提供します。この TEE では、整合性が保証された状態で VM メモリを暗号化します。 メモリ暗号化キーは、潜在的な近隣攻撃を防ぐために、ハードウェアによって生成され、保護されます。 また、ハイパーバイザーやその他のホスト管理コードが VM のメモリや状態にアクセスすることを拒否するゲスト保護機能も強化されており、オペレーターのアクセスから保護するのに役立ちます。 銀行、医療、公共部門などの規制を受ける業界のお客様は、コードを変更することなく、パフォーマンスへの影響を最小限に抑えながら、機密性の高いワークロードをオンプレミス環境からクラウドに移行できます。

検証可能なリモート構成証明、vTPM、セキュア ブート、フル OS ディスク機密暗号化などのその他の重要な機能により、SWIFT メッセージング コンポーネントなどの機密システムのセキュリティ態勢が強化されます。

Microsoft の Microsoft Treasury グループなどのユーザーは、より高度なセキュリティ要件を満たすために、Azure Confidential Computingを使用して SWIFT 接続モジュールをホストしています。 現時点では、Azure Confidential Computing を使用してデプロイできるのは接続モジュールのみです。 Alliance Connect Virtual (ACV) 仮想アプライアンスを Azure Confidential Computing でホストすることはできません。

共有 Azure サービス (オプション)

このセクションでは、すべての SWIFT コンポーネントを補完する共有サービスについて説明します。 共有サービスには、監視、セキュリティ、コンプライアンス、その他の主要な管理と運用のサービスを含めることができます。 主要なサービスとしては、次のものがあります。

• 他のセキュリティ制御と SWIFT CSP 要件を適用するには、Azure Policy を使用することができます。
• Azure Logic Apps は、SWIFT のネイティブ メッセージングをサポートします。 メッセージングのネイティブな処理と変換に役立つ、400 を超えるコネクタが用意されています。
• Azure Monitor を使って、Azure で実行されている SWIFT インフラストラクチャを監視できます。
• Microsoft Entra ID を使って、SWIFT コンポーネントにアクセスするユーザーの認証とアクセス制御を統合できます。
• Azure Key Vault を使って、SWIFT コンポーネントに使われるキーと証明書を格納できます。 Alliance Connect Virtual を実行するときは、Key Vault は必須のコンポーネントです。

提案されているアーキテクチャでは、ネイティブの Azure サービスの使用が示されていますが、要件を満たす他の Azure またはパートナーのサービスも使用できます。

Azure のポリシー

サイバー脅威の状況に対応して、SWIFT は、一連の必須のセキュリティ制御である CSP を導入しました。 Microsoft には、CSP フレームワークで制御を評価するのに役立つブループリントがあります。 Azure Blueprints は、制御の実装を簡素化およびサポートする無料のサービスです。 これにより、継続的な監視と監査も可能になります。 Azure Blueprint を使うと、標準、パターン、制御要件を実装してそれに準拠する、反復可能な Azure リソースとポリシーのセットを定義できます。 Azure Blueprints を使用すると、運用実装のセキュリティとコンプライアンスを維持するのに役立つ、管理された Azure 環境を大規模に設定できます。 SWIFT CSP コントロールの最新の実装を使うことを検討してください。ただし、まず協力している Microsoft チームにお問い合わせください。

詳しくは、「SWIFT CSP-CSCF v2020 ブループリント サンプルの概要」をご覧ください。

Logic Apps

Logic Apps は、Azure のサービスとしての統合プラットフォーム (iPaaS) オファリングです。 これは、柔軟でコンテナー化されたクラウド規模のワークフロー エンジンです。 Logic Apps は、SWIFT メッセージングのネイティブ処理を提供し、クラウドの支払いインフラストラクチャの最新化に役立ちます。 仮想ネットワークを介したハイブリッド統合機能をオンプレミス アプリケーションに提供し、さまざまな Azure サービスを統合するのに役立ちます。 Logic Apps には、インテリジェントな自動化、統合、データ移動などのための 400 以上のコネクタが用意されています。 SWIFT コネクタは、SWIFT のフラット ファイル メッセージから XML への変換 (またはその逆の変換) を行い、ドキュメント スキーマに基づく検証を提供します。

Logic Apps サービスを使うと、支払トランザクションを高速で処理できます。 たとえば、バックエンドの SAP システムを Logic Apps 経由で SWIFT に統合して、支払トランザクションとビジネスの領収書を処理できます。 この処理の一環として、Logic Apps はトランザクションを検証し、重複や異常がないかどうかをチェックします。

共同作成者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

プリンシパルの作成者:

• Gansu Adhinarayanan | ディレクター - パートナー テクノロジ ストラテジスト
• Mahesh Kshirsagar | シニア クラウド ソリューション アーキテクト
• Ravi Sharma | シニア クラウド ソリューション アーキテクト

パブリックでない LinkedIn プロファイルを表示するには、LinkedIn にサインインします。

次のステップ

• SWIFT のインターフェイスおよび統合
• Azure Policy とは
• Azure Logic Apps とは
• Azure Monitor の概要
• Microsoft Entra Connect とは
• Azure Key Vault について

関連リソース

以下の SWIFT 向け Azure アーキテクチャのメッセージング インターフェイスを参照してください。

• アライアンス Connect 仮想を使用した SWIFT アライアンス アクセス
• Alliance Connect Virtual を使用した SWIFT の Alliance Messaging Hub (AMH)
• Azure における SWIFT アライアンス クラウド
• Azure 上の SWIFT Alliance Lite2