
AWS (構築・運用・コンサル)|知る×学ぶ
金融システム担当必見!AWSのFISC安全対策基準への対応
金融機関におけるクラウド利用の加速に呼応して、金融システムの管理体制や安全管理対策基準の水準が高まっている。
堅牢な情報システム、セキュリティを構築・運用・管理をするためには、情報セキュリティに関する正しい知識を持つことに加え、国際標準や業界基準に準拠することが求められる。
こうした中、公益財団法人金融情報システムセンター(FISC : The Center for Financial Industry Information Systems)が刊行する「FISC安全対策基準」に、金融機関から注目が集められている。
そこで本記事では、アマゾンウェブサービス(以下、AWS)の利用を検討する金融機関の情報システム担当者向けに、FISC安全対策基準への対策情報、同基準に準拠してAWSを導入した事例についてご紹介する。
▼ 目次
・FISC安全対策基準とは
・わかりやすく解説!クラウド利用に関するFISC安全対策基準とは
・金融システム担当者向け!FISC安全対策基準への対策に関するAWSの情報
・FISC安全対策基準の適合性評価を経てAWSに移行した事例
1. FISC安全対策基準とは
FISC安全対策基準とは、金融庁が金融機関のシステム管理体制を検査する際に使用する基準である。
その基準は、設備・運用・技術に関する200以上の項目によって構成され、安全に運用するための指針となっている。
この基準が作成されるに至った背景を説明しよう。

銀行、信用金庫、農業協同組合など預金の業務を執り行う金融機関は、全て金融庁による検査対象であり、業務の健全性・適切性の確保と、預金者の保護を目的に経営管理体制、リスク管理体制、システム管理体制などの確認が行われる。
この確認作業は「金融検査」と呼ばれ、専門の検査官が業務にあたる。
システム管理に対する金融検査は「金融機関等コンピュータシステムの安全対策基準・解説」に基づいている。
この基準は、公益財団法人金融情報システムセンター(FISC : The Center for Financial Industry Information Systems)が作成したため、通称「FISC安全対策基準」と呼ばれるようになった。

FISCは1984年に設立された。
その目的は、金融情報に関連する諸問題の解決である。
具体的には、「金融情報システムに関連する諸問題(技術、利活用、管理態勢、脅威と防衛策等)の国内外における現状、課題、将来への発展性とそのための方策等についての調査研究」であり、金融機関やメーカー、学者と連携し、各種ガイドラインや調査レポートを刊行している。

金融機関がクラウドを導入するケースが増えてきたため、クラウド事業者はFISC安全対策基準への対応状況を開示するようになった。
パブリッククラウド市場を牽引するAWSも、FISC安全対策基準への対応状況を公開し、基準の各項目に対する考えを明示している。
2. わかりやすく解説!クラウド利用に関するFISC安全対策基準とは
FISC安全対策基準は2011年に第8版が刊行され、設備に関する項目138、運用に関する項目114、技術に関する項目53から構成される。
さらに、2013年に第8版追補が刊行され、「クラウドサービスの利用にあたっては、適切なリスク管理を行うこと」という基準が追加された。
そのため、前述のセキュリティリファレンスにはクラウド特有のFISC安全対策基準への対応方法が記載されている。
これらについて整理すると共に、金乳機関とAWSの責任範囲について整理する。
2-1. 設備に関する基準
設備に関しては、下記の基準を含まれる。
- 建物
- コンピュータ室
- データ保管室
- 電源室
- 空調機械室
- 電源設備
- 空調設備
- 監視制御設備
- 回線関連設備
これらの基準は主としてAWSが対応可能であり、金融機関が責任を持つケースは少ない。
設備に関するリスクをクラウド事業者に委託できる点がクラウド利用のメリットと言える。
2-2. 運用に関する基準
運用に関しては、下記の基準を含まれる。
- 管理体制の確立
- 入退管理
- 運用管理
- システム開発、変更
- 各種設備管理
- 教育、訓練
- 要員管理
- 外部委託管理
- システム監査
- インストアブランチ
- コンビニATM
- デビットカード
- オープンネットワークを利用した金融サービス
運用ポリシーはクラウド環境であっても、オンプレミス環境であっても同じであるため、金融機関はAWSと協力した上で、運用の基準を満たす責任がある。
2-3. 技術に関する基準
技術に関しては、以下の基準が含まれる。
- ハードウェアやソフトウェア
- 運用体制の信頼性向上対策
- 障害の早期発見・早期回復
- 災害時対策
- データ保護
- 不正使用防止
- 不正プログラム防止
部分的にはAWSが対応できる基準があるものの、基本的には金融機関の対策が必要だ。
アプリケーションを自社で作成しAWSへデプロイする場合、アプリケーションの信頼性やデータ保護に関する責任は金融機関側にある。

3. 金融システム担当者向け!FISC安全対策基準への対策に関するAWSの情報
FISC準拠について理解する上で重要なのは、AWSだけでFISC安全対策基準を完全に満たす事ができない点だ。
主な理由は、システム運用ルールやセキュリティポリシーは金融機関側が策定するべきもので、AWSはその指示に従うことになるためだ。
外部委託業者の選定や管理についてもFISC安全対策基準は項目を設けているが、この点に関しては完全に金融機関側の対応範囲と言えるだろう。

図 1. AWS、金融機関、SIer の相関図
そこでAWSは、金融機関やSIベンダーに向けて「Amazon Web Services対応セキュリティリファレンス」を刊行し、責任共有モデルに基づき整理された確認事項やFISC安全対策に関する情報、および参考資料を公開している。
概要版はAWSのWebサイトからダウンロードが可能だ。
(https://aws.amazon.com/jp/compliance/fisc/)
AWS利用を検討する金融機関のシステム担当者、あるいは金融機関向けSI事業を行う担当者には必読の内容である。
4. FISC安全対策基準への適合性評価を経てAWSに移行した事例
ソニー銀行は、社内業務、情報提供用のWebサイト、開発環境などをAWSに移行するにあたり、下記について慎重にAWSを評価した。
- AWSのセキュリティモデルの評価
- FISC安全対策基準の適合性評価
- 同社の独自評価
結果、AWSはFISC安全対策基準の他にも、ISO27001やPCI DSSといったセキュリティ基準に適合していた。
AWSへの移行を決定したソニー銀行は、全体で37%のコスト削減を実現した。
尚、データセンターやハードウェアの運用・監視はAWSが担当し、OS・ミドルウェア・パッケージ・アプリケーションの運用・監視はソニー銀行の責任の下、SIベンダーが担当する方法を採用している。
さいごに
AWSはFISC安全対策基準準拠によって、金融機関におけるクラウド利用においても道筋を示している。
伊藤忠テクノソリューションズ株式会社はAWSのAPNプレミアコンサルティングパートナーの位置づけにあり、AWSのコンサルティング、設計、構築・運用までをワンストップでサポートするサービス『CUVIConAWS』を提供している。
CUVIConAWSの詳細については以下をご覧いただきたい。