平素よりEnterprise Cloud2.0(以下ECL2.0)をご利用いただき誠にありがとうございます。 この度、ECL2.0についてに財団法人 公益財団法人金融情報システムセンター(FISC)による金融 機関向けクラウド検討ガイドライン『金融機関等コンピュータシステムの安全対策基準 第9版改訂』 6/29にfiscの安全対策基準「第8版追補改訂」が発表されました。今回の主な変更点は「クラウド利用」と「サイバー攻撃対応」です。どのような指針になっているのでしょうか。 tel:03-5542-6055. といったことが議論され、その内容が「金融機関におけるクラウド利用に関する有識者検討会報告書」としてまとめられました。さらに、基準項目として新たに「中長期的なシステム計画策定」、「クラウド固有リスクの対策」、「共同センター利用時の対策」の3つが追加されています。FISC安全対策基準も、フィンテックやクラウドなどのような急速に進化・発展していく技術にあわせて、クラウド時代に対応する改訂の流れが加速しています。元々、金融機関の業務システムには高い信頼性とセキュリティが求められるため、金融庁の外郭団体である公益財団法人「金融情報システムセンター(FISC)」の「金融機関等コンピュータシステムの安全対策基準・解説書(通称:FISC安全対策基準)」への準拠が必要とされていました。オンプレミスはもちろん、クラウドも当然対象となります。その流れを大きく変えたのが、のちに「MUFGショック」と呼ばれる出来事でした。2017年にいわゆるメガバンクの一つである三菱UFJフィナンシャル・グループ(MUFG)がパブリッククラウドであるAWSを利用して「クラウドファースト」を打ち出した後は、公開系システムへのクラウド導入以外にも、業務系・勘定系へのクラウド活用が次第に進んできています。2018年3月に公開された「FISC安全対策基準(第9版)」では、「金融機関において、利用者保護のために安全対策の実施は不可欠ながら、一方で顧客の利便性や企業価値向上のために、限りある経営資源を新サービスの展開・開発等に適切に配分することも重要」と、昨今のフィンテックやクラウドサービスによるビジネス環境の変化に対応した内容が盛り込まれました。こうした議論が行われる中で課題として浮かび上がったのが、金融機関のシステムに必須の「FISC安全対策基準」がクラウドを想定していないことでした。ただし「FISC安全対策基準」はたびたび改訂が行われており、2018年3月に公開された「第9版」では、クラウドの普及に伴う外部委託の進展とフィンテックなどの活用を踏まえて、大幅に内容が変更されています。こうした状況を踏まえ、経済産業省(以下、経産省)や総務省は、クラウド利用を前提としたセキュリティ管理基準の制度化など、あらゆる業種・産業での国際競争力を高める目的でクラウドの普及を後押ししてきましたが、金融機関においてもそれは例外ではありません。具体的には、「オンプレミス型からクラウド型へのシステム移行」や「複数の金融機関が管理する共同センターシステムへの参入」など、ITガバナンスの観点から重視すべき基準が明確化されています。金融機関のシステムでは、たしかに安全対策が重要です。しかし、安全対策や検査対策を重視するがためにイノベーションへの対応が遅れれば、グローバルレベルの機会損失や競争力低下の原因になる可能性もあります。今回は、金融機関などのシステムに求められる「FISC安全対策基準」について、最近の動向を紹介します。クラウドとオンプレミス-それぞれのメリット・デメリットを徹底比較!「VMware」で構築したオンプレの仮想化環境をクラウドに移行するためには?さらに進んだ政府のクラウド利用基本方針「クラウド・バイ・デフォルト原則」システムの早期導入やコスト削減などの効果が期待できるクラウドコンピューティングが広く認知され、金融機関にもクラウドファーストの大きな波が到来し、これまで“聖域”と言われてきた業務系・勘定系といった主要業務をパブリッククラウド上で構築する動きが進んでいます。また、新興のベンチャー企業が多数参入しているフィンテックへのメガバンクによる取り組みも活発化しています。IaaS、PaaS、SaaSの違いを整理して、クラウドサービスの特徴を知ろうFISCは、日本国内の金融システムの安全性向上を目的に、1984年に設立された非営利組織です。銀行、保険、証券、クレジット会社など国内の主要金融機関のほか、コンピューターメーカーや通信企業なども多く加盟しています。そして2012年、AWSがFISC安全対策基準へ準拠するための対策をまとめた「セキュリティリファレンス」を文書として公開したことは、パブリッククラウドが金融機関でも利用されるようになったきっかけと言えます。リスクベースアプローチとは、すべてのシステムに一律に同じ安全基準を適用するのではなく、システム個々のリスク特性に応じた対策を講じる考え方です。クラウドのメリットが広く認知されてきている今、さまざまな分野でクラウドサービスが活用されていますが、こと金融機関の業務システムという面に限ると、まだまだ幅広く利用されているとは言えないのが現状です。FISCによりまとめられた「FISC安全対策基準」は、金融システムの導入・運用における事実上の業界標準ガイドラインとして位置づけられています。例えば、金融庁による監査は「FISC安全対策基準」に沿った内容で行われます。「FISC安全対策基準(第9版)」では、最低限の安全対策を実施した上で、クラウド利用を前提として外部の統制基準の整理・拡充を図り、ITガバナンスに基づく「リスクベースアプローチ」により管理レベルを適宜・適切に検討することが望ましいという、基本的な姿勢が示されました。想定されるリスクとそれに合わせた適切な対応を行うことが、クラウドなどの進化の早い最新技術を活用するためには必要です。金融機関に限ったことではありませんが、リスクセンシティブにとらわれすぎず、認証の強化や暗号化など必要なセキュリティ対策を講じつつ、積極的に取り入れていくことも重要です。また、旧基準で「技術」「運用」「設備」の3つに分類されていた基準は、新基準では「統制」「実務」「設備」「監査」の4分類に再編され、外部委託とクラウドに関する項目が「統制」の基準に集約されています。また、政府は、金融庁、日本銀行、経産省、総務省をオブザーバーとして、金融機関やクラウド事業者をはじめとする関係者間でクラウド利用を健全に促進させることを目的に、有識者検討会を実施。検討会では、FISC安全対策基準に示された「統制」「実務」「設備」「監査」で求められる対策は、金融機関だけでも、クラウド事業者だけでも、基準を満足させることはできません。セキュアにクラウドを活用するためには、金融機関・クラウド事業者・SIer(エスアイアー/エスアイヤー)の役割分担と連携が重要で、これを「共同責任モデル」といいます。