AWSのFISC準拠について理解する

what-you-need-to-know-about-fisc-and-aws-cover

FISC安全対策基準は、金融庁が金融機関のシステム管理体制を検査する際に使用する基準である。この基準に準拠するために、AWSが果たす役割と金融機関の責任について解説する。

 

金融機関の健全性評価に用いられるFISC安全対策基準

銀行、信用金庫、農業協同組合など、預金の業務を執り行う金融機関は全て、金融庁による規制の対象だ。業務の健全性・適切性の確保と、預金者の保護を目的として経営管理体制、リスク管理体制、システム管理体制などの確認が行われる。この確認作業は「金融検査」と呼ばれ、専門の検査官が業務にあたる。システム管理に対する金融検査は「金融機関等コンピュータシステムの安全対策基準・解説」に基づいている。この基準は、公益財団法人金融情報システムセンター(FISC)が作成したため、通称「FISC安全対策基準」と呼ばれるようになった。

FISCは1984年に設立され、金融情報に関連する諸問題の解決を目的とした。具体的には、「金融情報システムに関連する諸問題(技術、利活用、管理態勢、脅威と防衛策等)の国内外における現状、課題、将来への発展性とそのための方策等についての調査研究」を行っている。金融機関やメーカー、学者と連携し、各種ガイドラインや調査レポートを発行してきた。

FISC安全対策基準は設備・運用・技術に関する200以上の項目によって構成され、安全に運用するための指針となっている。金融機関がクラウドコンピューティング環境を導入するケースも増えてきたため、クラウド事業者はFISC安全対策基準への対応状況を開示するようになった。そして、AWSは対応状況リストを公開し、基準の各項目に対してどのような考えを持っているかを示している。

金融機関・SIベンダーとAWSの協力によってFISC安全対策基準に準拠する

FISC準拠について理解する上で重要なのは、AWSだけでFISC安全対策基準を完全に満たす事ができない点だ。システム運用ルールやセキュリティポリシーは金融機関側が策定するべきもので、AWSはその指示に従うことになる。外部委託業者の選定や管理についてもFISC安全対策基準は項目を設けているが、この点に関しては完全に金融機関側の対応範囲と言えるだろう。

金融機関、あるいはAWSを使って金融機関へサービス提供をするSIベンダーに対して、どのような対応を行うべきかを示した「金融機関向け『Amazon Web Services』対応セキュリティリファレンス」が発行されている。AWSソリューションプロバイダーである7社(SCSK株式会社、株式会社シーエーシー、TIS株式会社、株式会社電通国際情報サービス、トレンドマイクロ株式会社、三井情報株式会社、株式会社野村総合研究所)が共同で作成した調査報告書だ。

概要版はAWSのWebサイト、及び各社のサイトからダウンロードが可能だ。AWSへのインタビュー等を含めた詳細版については、ソリューションプロバイダーとの個別契約が必要になる。AWS利用を検討する金融機関のシステム担当者、あるいは金融機関向けSI事業を行う担当者には必読の内容だ。

AWSのFISC準拠における相関図
AWSのFISC準拠における相関図
Pocket

コメント

「AWS」のイベント・セミナー

開催
AWS Summit Tokyo 2017