View a markdown version of this page

サーバーレスオンボーディング - AWS 規範ガイダンス
オンボーディングソリューションセキュリティとコンプライアンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サーバーレスオンボーディング

このセクションでは、顧客オンボーディングのユースケースに焦点を当てています。サーバーレスパターンを再利用して、主要なカスタマージャーニーをモダナイズする方法の一例をご紹介します。

オンボーディングソリューション

オンボーディングソリューションは通常、単独で提供されるわけではなく、より大きな全体像の一部として提供されます。統合に必要なコンポーネントとサービスには以下が含まれます。

  1. リードジェネレーション (CRM システム)

  2. デューデリジェンス (AML、リスク、コンプライアンス)

  3. 中央クライアントデータファイル (コアバンキングシステム)

  4. デジタル署名管理 (DocuSign などのサードパーティツールを使用)

  5. バイオメトリクス検証

  6. デジタル契約管理ライフサイクル

  7. プロセスと運用モデルの自動化

メモ

これらのコンポーネントを外部アプリケーションに統合することは、この戦略の範囲外です。

次の図は、 AWS クラウドのチャットボットを通じて顧客とやり取りするためのサーバーレスアーキテクチャを示しています。

ADR を使用してソフトウェアコンポーネントの変更を検証する
メモ

アーキテクチャは、QnA Bot on AWS ソリューションと Amazon Rekognition の更新に基づいています。詳細については、 AWS 「ソリューションライブラリ」の「 の QnA Bot AWS」および AWS Machine Learning Blog」の「Amazon Rekognition が顔の検出、分析、認識機能の更新を発表しました。 Amazon Rekognition

この図表は、次のワークフローを示しています:

  1. 顧客はフロントエンドコンポーネントにアクセスして、ボットとやり取りします。この場合、フロントエンドライブラリをさまざまな方法で、既存のアセットに含めることができます。例えば、これらのコンポーネントを企業のウェブサイトに統合したり、主要なチャットアプリにリンクさせたりできます。これらのコンポーネントは JavaScript で配信され、Amazon Simple Storage Service (Amazon S3) と Amazon CloudFront を使用した静的アセット管理を通じて提供されます。

  2. フロントエンドコンポーネントは、Amazon Cognito を介して認証情報を検証するために、バックエンドコンポーネントへの接続を埋め込みます。承認されると、顧客サービスはオンボーディングソリューションのサービスと通信できます。

  3. 顧客は Amazon Lex ボットを使用してサービスとやり取りします。オンボーディングの事前定義されたシナリオは、 AWS Step Functions を使用して必要な サービスを呼び出し、プロセスを完了することによって実行されます。このシナリオは、バンキングシステムのニーズ (写真撮影の要件、多言語での翻訳、顧客の意図に合わせた自然言語処理など) に合わせてカスタマイズできます。 AWS Lambda 関数を使用して、Amazon Lex ボットのアクションを実行し、オンボーディングステージに応じて サービスを呼び出すことができます。

  4. Step 関数の出力は、Amazon EventBridge を介して銀行の内部システムに一括送信されます。Amazon EventBridge は、任意の方法で銀行の内部システムに接続できます。この通信は、別の AWS アカウントへのピア接続、または仮想プライベートネットワーク (VPN) を介した銀行システムへのネットワークピア接続のいずれかで処理できます。

  5. アーキテクチャ全体は AWS Config、、Amazon Macie AWS Artifact、および を使用してセキュリティとコンプライアンスを実現するように設計されています AWS Security Hub CSPM。

セキュリティとコンプライアンスに関する考慮事項

セキュリティの維持と機密情報の処理は、サーバーレスオンボーディングアプローチの中心です。サーバーレスオンボーディングはステートレスになるよう設計されており、PII や重要なビジネスデータは保存されません。セキュリティとコンプライアンスを継続的に確保するには、以下のサービスを導入し、正しく設定する必要があります。

  • AWS AppConfig は、コンプライアンスに合わせてカスタマイズされたルールを通じて、サービスの整合性と機密性を確保します。実行される制御により、全体的なコンプライアンスが検証され、設定のドリフトが阻止されます。

  • Macie はプロセス全体を通じてあらゆる PII を検出し、タグ付けします。

  • Security Hub CSPM は、すべてのサービスがセキュリティ範囲内で定義および使用されるようにします。

  • AWS Artifact は、 AWS サービスのコンプライアンスに関する監査証拠を提供します。

トランザクションや非否認の証拠は、カスタマーマネージドキーまたは監査目的で封印された専用のハードウェアセキュリティモジュール (HSM) を使用して、保存および暗号化されます。Amazon Glacier を使用して、整合性とセキュリティを確保しながら、低コストでデータをシールすることもできます。

注記

Amazon Glacier (元のスタンドアロンのボールトベースのサービス) は、2025 年 12 月 15 日以降、新規のお客様を受け入れなくなります。既存のお客様に影響はありません。

Amazon Glacier は、ボールトにデータを保存する独自の API を備えたスタンドアロンサービスであり、Amazon S3 および Amazon S3 Glacier ストレージクラスとは異なります。既存のデータは Amazon Glacier で無期限に安全性が確保され、引き続きアクセス可能です。移行は必要ありません。低コストの長期アーカイブストレージの場合、 は Amazon S3 Glacier ストレージクラス AWS を推奨します。これにより、S3 バケットベースの APIs、フル AWS リージョン 可用性、低コスト、 AWS のサービス 統合で優れたカスタマーエクスペリエンスを実現できます。拡張機能が必要な場合は、Amazon Glacier ボールトから Amazon S3 Glacier ストレージクラスにデータを転送するためのAWS ソリューションガイダンスを使用して、Amazon S3 Glacier ストレージクラスへの移行を検討してください。

環境へのアクセスは、運用チームのみに許可する必要があります。開発アクティビティは、自動化された継続的デリバリーによって合理化し、本番環境への人間のアクセスを阻止する必要があります。プラットフォーム上のアーティファクトとコンプライアンスレポートにアクセスするための追加のロールを、監査のためにプロビジョニングする必要があります。

AWS は、規制とコンプライアンスの基準を満たすのに役立ちます。詳細については、 AWS ドキュメントの「FINMA ISAE 3000 Type 2 Report」を参照してください。FINMA Circular 2008/21 AWS Artifact、FINMA ISAE 3000 Type 2、FINMA Circular 2018/03、Global Financial Services Regulatory Principles など、関連するバンキングアーティファクトを から直接ダウンロードすることもできます。