2021/05/27

AWS FISCとは?FISCに関するAWSの情報・FISC対応APNコンソーシアム

 
  

FISCについて


FISCは財団法人金融情報システムセンターという組織の略称です。

1985年12月、FISCにより金融機関等の基準として策定された金融機関等コンピュータシステムの安全対策基準・解説書(FISC安全対策基準・解説書)は、システムアーキテクチャおよび運用に関する指針として多数の金融機関に活用されています。

本文で述べるFISCは「FISC安全対策基準・解説書」を指すものとして案内します。

FISCの活用

FISCは金融庁の監督指針でも主要行、中小・地域金融機関等がシステムリスクならびにセキュリティ対策を検討する上での参考文書としてあげられています。

FISC安全対策基準・解説書は日本の金融機関における業界標準の一つとして広く認知されており活用されています。

FISC安全対策基準・解説書では、統制、実務、設備、および監査の4つの観点からシステムの安全性に関する管理策が示されています。

FISCに関するAWSの情報


AWSからはFISC安全対策基準・解説書第8版、8版追補改訂版、第9改訂が公表されています。

それぞれFISCの管轄である金融庁が公表したFISCの改定に合わせてAWSが基準を追加しているものになります。版数についての内容が異なるため順番に説明します。

FISC安全対策基準・解説書(第8版)に関するAWSの情報
FISC安全対策基準・解説書(第8版追補改訂版)に関するAWSの情報
FISC安全対策基準・解説書(第9版改訂)に関するAWSの情報

FISC安全対策基準・解説書第8版

FISC安全対策基準・解説書第8版は2012年6月時点で公表されていたFISCに合わせたAWSの基準を回答した内容になります。

4つの観点の中の設備に関する基準を記載しています。そこでさらに大きく3つの観点に分かれています。

ひとつは設備自体のセキュリティ、電源、空調や制御装置などの物理インフラに関する基準です。

もうひとつは設備にかかわる人や管理に関する基準になります。具体的には入退室管理など設備運用に関する管理、設備に関するシステム開発・変更、維持に必要な体制の整備などの基準が記載されています。

最後にデータに関する信頼性保護に関する基準になります。具体的にはハードウェア・ソフトウェアの障害対策、リカバリー対策に関する基準が記載されています。

FISC安全対策基準・解説書(第8版追補改訂版)

FISC安全対策基準・解説書(第8版追補改訂版)はFISCが大震災への対応、Web化の進展、クラウドサービスの利用、サイバー攻撃対応を踏まえた改訂を実施したため、それに合わせて改定した基準になります。

AWSの基準としてはクラウドサービスを利用する場合の利用範囲の明確化、安全対策に関する契約締結、データ漏洩防止策を講ずること、クラウド事業者に対する立ち入り検査、モニタリング対策を講ずること、サイバー攻撃態勢を整えること、の基準を明記しています。

FISC安全対策基準・解説書(第9版改訂)

FISC安全対策基準・解説書第9版は4つの観点のうちの3つ、「統制」「実務」「監査」に沿って整理したAWSの基準になります。

FISCが直近のFinTechやクラウドサービスの発展に伴った基準分類の再編などの大幅な改定が行われており、それに合わせた基準のようです。

統制について

統制基準はAWSを活用するユーザがITガバナンスやITマネジメントを行う上で必要となる組織の内部に関する統制項目とAWSを活用するユーザが外部委託先等、外部の組織に関する統制項目により構成されています。

統制基準についてはAWSが対応の主体となる項目はないようでお客様がAWSを活用するユーザを外部の組織(外部委託先)として評価をされる際に参考となる情報について記載されています。

統制基準の対応主体についてはAWSを活用するユーザにあると印をつけており、理由としてはセキュリティとコンプライアンスは、AWSとお客様の間で共有される責任であるとする責任共有モデルを提唱していることによります。

責任共有モデル

責任共有モデルとはセキュリティとコンプライアンスはAWSと利用者の間で共有して責任をもつという考え方です。

AWS の “クラウドのセキュリティ” 責任とうたっている、サービスを実行するインフラストラクチャ、具体的にはハードウェア、ソフトウェア、ネットワーキング、AWSクラウドのサービスを実行するために確保する施設はAWS側の責任にあります。

また、お客様の “クラウドにおけるセキュリティ” 責任とうたっている、サービス利用者が選択したAWSのサービスを活用して導入する際のデータやセキュリティ施策、サービス選択やその保護手段などはサービス利用者側の責任、というものになります。

実務について

実務についても責任共有モデルに基づき、AWS自身で対応が必要な部分とAWSを活用するユーザで対応すべき項目を明確にしています。

AWS自身で対応する項目についてはISO/IEC 27001およびPCI DSSなど他の品質やセキュリティ対策に関する基準に乗っ取って基盤維持に関する基準を多数掲載しています。

AWSを活用するユーザで対応すべき項目についてはAWS上で実装するシステムおよびサービスの管理は、AWSが提供する機能および情報もしくはその他の機能を用いて管理することを明記しています。

システムおよびサービスの管理についてはAWS IAMでリソースを安全にコントロール可能なこと、AWS Cloudwatchでシステムのモニタリングが可能なこと、AWS Systems Managerを活用してAWSのサービスの運用データを一元化、タスクを自動化などFISCに遵守するための活用例を停止しています。

監査について

監査についても責任共有モデルに基づき、AWSを活用するユーザで対応すべき項目を明確にしています。

基本的にはAWSを外部委託先としての監査に役立てるべき情報について情報提供や評価方法について案内している内容になります。

FISC対応APNコンソーシアム


2020年9月にAWSは、AWS FISC安全対策基準対応リファレンスガイドをリリースしました。

さらにリファレンスガイドをより使いやすいものとするために、AWSパートナーの有志が募りリファレンスの参考文書を作成するコンソーシアムが立ち上がりました。

2020年11月20日、コンソーシアムによるキックオフミーティングが開催されました。有志には金融分野を中心にFISC対応のご支援を行っているAWSパートナー11社が参加しています。

AWSパートナー11社

AWSパートナー11社は幹事メンバー2社とコンソーシアムメンバー9社に分かれています。

幹事メンバーはPwCあらた有限責任監査法人と日本電気株式会社の2社が参加しています。

コンソーシアムメンバーには株式会社NTTデータ、SCSK株式会社、TIS株式会社、シンプレクス株式会社、株式会社電通国際情報サービス、トレンドマイクロ株式会社、株式会社野村総合研究所、株式会社日立製作所、富士通株式会社の9社が参加しています。

いずれも金融機関のシステム運用に関する高度なソリューションを提供してきた実績を持つ企業が参加しています。

コンソーシアムの活動

コンソーシアムでは参考文書の検討作業に着手しており2021年を目処に成果物を公開する予定のようです。

コンソーシアムの活動をとおし、金融機関のより一層のAWS活用とFISC安全対策基準への対応の円滑化が図っています。

AWSは本コンソーシアムの活動をサポートすることで、金融業界の顧客の積極的なクラウド移行を支援しています。

AWS FISCについて知って活用しよう!


FISCは日本の金融機関におけるセキュリティ対策およびリカバリーに関する参考文書としてあげられているため金融に関するシステムを策定する場合は確認が必要になります。

何かしらAWSで金融システムに関わるプロジェクトに関わる場合はこの記事を一読してみて確認すべき点を網羅してから望むことをお勧めします。一度ご確認ください。

ITエンジニアへのキャリアチェンジならキャリアチェンジアカデミー

この記事の監修者・著者

株式会社オープンアップITエンジニア
株式会社オープンアップITエンジニア
未経験からITエンジニアへのキャリアチェンジを支援するサイト「キャリアチェンジアカデミー」を運営。これまで4500人以上のITエンジニアを未経験から育成・排出してきました。
・AWS、salesforce、LPICの合計認定資格取得件数:2100以上(2023年6月時点)
・AWS Japan Certification Award 2020 ライジングスター of the Year 受賞

おすすめの動画

  • 【未経験からIT業界へ転職するなら】相談窓口とスキルの獲得はここで解決!IT転職が一気に有利に!【キャリアチェンジアカデミー】

  • 【費用一切不要】未経験からIT業界へ転職するならまずはここへ相談!【キャリアチェンジアカデミー】

  • 【何のエンジニアになれるのか?】未経験からITエンジニアを目指すとこんな道がある【キャリアチェンジアカデミー】