AWSのFISC準拠について理解する

 FISC安全対策基準は、金融庁が金融機関のシステム管理体制を検査する際に使用する基準である。この基準に準拠するために、AWSが果たす役割と金融機関の責任について解説する。

▼ ハイライト
1. 金融機関の健全性評価に用いられるFISC安全対策基準
2. 金融機関・SIベンダーとAWSの協力によってFISC安全対策基準に準拠する
3. クラウド利用を見越した設備・運用・技術に関する基準
4. FISC安全対策基準の適合性確認を経てAWSを導入したソニー銀行

1. 金融機関の健全性評価に用いられるFISC安全対策基準

 銀行、信用金庫、農業協同組合など、預金の業務を執り行う金融機関は全て、金融庁による規制の対象だ。業務の健全性・適切性の確保と、預金者の保護を目的として経営管理体制、リスク管理体制、システム管理体制などの確認が行われる。この確認作業は「金融検査」と呼ばれ、専門の検査官が業務にあたる。システム管理に対する金融検査は「金融機関等コンピュータシステムの安全対策基準・解説」に基づいている。この基準は、公益財団法人金融情報システムセンター(FISC)が作成したため、通称「FISC安全対策基準」と呼ばれるようになった。

 FISCは1984年に設立され、金融情報に関連する諸問題の解決を目的とした。具体的には、「金融情報システムに関連する諸問題(技術、利活用、管理態勢、脅威と防衛策等)の国内外における現状、課題、将来への発展性とそのための方策等についての調査研究」を行っている。金融機関やメーカー、学者と連携し、各種ガイドラインや調査レポートを発行してきた。

 FISC安全対策基準は設備・運用・技術に関する200以上の項目によって構成され、安全に運用するための指針となっている。金融機関がクラウドコンピューティング環境を導入するケースも増えてきたため、クラウド事業者はFISC安全対策基準への対応状況を開示するようになった。そして、AWSは対応状況リストを公開し、基準の各項目に対してどのような考えを持っているかを示している。

2. 金融機関・SIベンダーとAWSの協力によってFISC安全対策基準に準拠する

 FISC準拠について理解する上で重要なのは、AWSだけでFISC安全対策基準を完全に満たす事ができない点だ。システム運用ルールやセキュリティポリシーは金融機関側が策定するべきもので、AWSはその指示に従うことになる。外部委託業者の選定や管理についてもFISC安全対策基準は項目を設けているが、この点に関しては完全に金融機関側の対応範囲と言えるだろう。

aws FISC

 金融機関、あるいはAWSを使って金融機関へサービス提供をするSIベンダーに対して、どのような対応を行うべきかを示した「金融機関向け『Amazon Web Services』対応セキュリティリファレンス」が発行されている。AWSソリューションプロバイダーである7社(SCSK株式会社、株式会社シーエーシー、TIS株式会社、株式会社電通国際情報サービス、トレンドマイクロ株式会社、三井情報株式会社、株式会社野村総合研究所)が共同で作成した調査報告書だ。

 概要版はAWSのWebサイト、及び各社のサイトからダウンロードが可能だ。AWSへのインタビュー等を含めた詳細版については、ソリューションプロバイダーとの個別契約が必要になる。AWS利用を検討する金融機関のシステム担当者、あるいは金融機関向けSI事業を行う担当者には必読の内容だ。

3. クラウド利用を見越した設備・運用・技術に関する基準

 FISC安全対策基準は2011年に第8版が発行され、設備に関する項目138、運用に関する項目114、技術に関する項目53から構成される。さらに、2013年に第8版追補が発行され、「クラウドサービスの利用にあたっては、適切なリスク管理を行うこと。」という基準が追加された。そのため、前述のセキュリティリファレンスにはクラウド特有のFISC安全対策基準への対応方法が記載されている。

 設備に関する項目は、建物、コンピュータ室・データ保管室、電源室・空調機械室、電源設備、空調設備、監視制御設備、回線関連設備といった基準を含む。これらの基準は主としてAWSが対応可能であり、金融機関が責任を持つケースは少ない。設備に関するリスクをクラウド事業者に委託できる点がクラウド利用のメリットと言える。

 運用に関する項目は、管理体制の確立、入退管理、運用管理、システム開発・変更、各種設備管理、教育・訓練、要員管理、外部委託管理、システム監査、インストアブランチ、コンビニATM、デビットカード、オープンネットワークを利用した金融サービスといった基準がある。運用ポリシーはクラウド環境であっても、オンプレミス環境であっても同じであるため、金融機関はAWSと協力した上で、運用の基準を満たす責任がある。

 技術に関する項目は、ハードウェアやソフトウェア、運用体制の信頼性向上対策、障害の早期発見・早期回復、災害時対策、データ保護、不正使用防止、不正プログラム防止といった基準への準拠が求められる。部分的にはAWSが対応できる基準があるものの、基本的には金融機関の対策が必要だ。アプリケーションを自社で作成しAWSへデプロイする場合、アプリケーションの信頼性やデータ保護に関する責任は金融機関側にある。

aws FISC

4. FISC安全対策基準の適合性確認を経てAWSを導入したソニー銀行

 ソニー銀行は、AWSのFISC安全対策基準を確認した上で、システムのAWS移行を決定している。社内業務・開発環境・情報提供用Webサイトといった、勘定系を除く多くの業務について、AWS導入を検討するにあたり、3か月の時間をかけて、AWSのセキュリティモデル評価、FISC安全対策基準の適合性確認、同社独自の評価基準の確認を行ったと言う。

 AWSはFISC安全対策基準の他にも、ISO27001やPCI DSSといったセキュリティ基準に適合しているため、高い評価を獲得し、ソニー銀行での導入が決定された。データセンターやハードウェアの運用・監視はAWSが担当し、OS・ミドルウェア・パッケージ・アプリケーションの運用・監視は、ソニー銀行の責任の下、SIベンダーが担当する方法を採用している。AWS移行を実施し、全体で37%のコスト削減が見込まれた。

AWSのFISC安全対策基準準拠によって、金融機関におけるクラウド利用の道筋が示された。セキュリティリファレンスなどを活用し、金融機関が果たすべき設備・運用・技術について対策を講じたい。

お問合せボタン

関連記事はこちら