本文へジャンプします。

TOP

ニフクラクラウドナビ

クラウド トップ>クラウドナビ>クラウド初心者向け>金融機関のクラウド活用に必須の「FISC安全対策基準」への準拠確認とは?

金融機関のクラウド活用に必須の「FISC安全対策基準」への準拠確認とは?

システムの早期導入やコスト削減などの効果が期待できるクラウドコンピューティングが広く認知され、金融機関にもクラウドファーストの大きな波が到来し、これまで“聖域”と言われてきた業務系・勘定系といった主要業務をパブリッククラウド上で構築する動きが進んでいます。また、新興のベンチャー企業が多数参入しているフィンテックへのメガバンクによる取り組みも活発化しています。

こうした状況を踏まえ、経済産業省(以下、経産省)や総務省は、クラウド利用を前提としたセキュリティ管理基準の制度化など、あらゆる業種・産業での国際競争力を高める目的でクラウドの普及を後押ししてきましたが、金融機関においてもそれは例外ではありません。

今回は、金融機関などのシステムに求められる「FISC安全対策基準」について、最近の動向を紹介します。

金融機関も注目するクラウド。しかし、導入には課題も…

金融機関も注目するクラウド。しかし、導入には課題も…

クラウドのメリットが広く認知されてきている今、さまざまな分野でクラウドサービスが活用されていますが、こと金融機関の業務システムという面に限ると、まだまだ幅広く利用されているとは言えないのが現状です。

その流れを大きく変えたのが、のちに「MUFGショック」と呼ばれる出来事でした。

2017年にいわゆるメガバンクの一つである三菱UFJフィナンシャル・グループ(MUFG)がパブリッククラウドであるAWSを利用して「クラウドファースト」を打ち出した後は、公開系システムへのクラウド導入以外にも、業務系・勘定系へのクラウド活用が次第に進んできています。

元々、金融機関の業務システムには高い信頼性とセキュリティが求められるため、金融庁の外郭団体である公益財団法人「金融情報システムセンター(FISC)」の「金融機関等コンピュータシステムの安全対策基準・解説書(通称:FISC安全対策基準)」への準拠が必要とされていました。オンプレミスはもちろん、クラウドも当然対象となります。

そして2012年、AWSがFISC安全対策基準へ準拠するための対策をまとめた「セキュリティリファレンス」を文書として公開したことは、パブリッククラウドが金融機関でも利用されるようになったきっかけと言えます。

また、政府は、金融庁、日本銀行、経産省、総務省をオブザーバーとして、金融機関やクラウド事業者をはじめとする関係者間でクラウド利用を健全に促進させることを目的に、有識者検討会を実施。検討会では、

  • 金融機関がクラウド技術の特性とリスクを正しく把握したうえで、リスクを適切に管理し、クラウドの持つポテンシャルを最大限に活用するにはどうすればいいのか
  • 安全対策の在り方については、どのようなものが相応しいか

といったことが議論され、その内容が「金融機関におけるクラウド利用に関する有識者検討会報告書」としてまとめられました。

こうした議論が行われる中で課題として浮かび上がったのが、金融機関のシステムに必須の「FISC安全対策基準」がクラウドを想定していないことでした。ただし「FISC安全対策基準」はたびたび改訂が行われており、2018年3月に公開された「第9版」では、クラウドの普及に伴う外部委託の進展とフィンテックなどの活用を踏まえて、大幅に内容が変更されています。

FISC安全対策基準とは?

FISCは、日本国内の金融システムの安全性向上を目的に、1984年に設立された非営利組織です。銀行、保険、証券、クレジット会社など国内の主要金融機関のほか、コンピューターメーカーや通信企業なども多く加盟しています。

FISCによりまとめられた「FISC安全対策基準」は、金融システムの導入・運用における事実上の業界標準ガイドラインとして位置づけられています。例えば、金融庁による監査は「FISC安全対策基準」に沿った内容で行われます。

2018年3月に公開された「FISC安全対策基準(第9版)」では、「金融機関において、利用者保護のために安全対策の実施は不可欠ながら、一方で顧客の利便性や企業価値向上のために、限りある経営資源を新サービスの展開・開発等に適切に配分することも重要」と、昨今のフィンテックやクラウドサービスによるビジネス環境の変化に対応した内容が盛り込まれました。

具体的には、「オンプレミス型からクラウド型へのシステム移行」や「複数の金融機関が管理する共同センターシステムへの参入」など、ITガバナンスの観点から重視すべき基準が明確化されています。

リスクベースアプローチとは?

「FISC安全対策基準(第9版)」では、最低限の安全対策を実施した上で、クラウド利用を前提として外部の統制基準の整理・拡充を図り、ITガバナンスに基づく「リスクベースアプローチ」により管理レベルを適宜・適切に検討することが望ましいという、基本的な姿勢が示されました。

リスクベースアプローチとは、すべてのシステムに一律に同じ安全基準を適用するのではなく、システム個々のリスク特性に応じた対策を講じる考え方です。

また、旧基準で「技術」「運用」「設備」の3つに分類されていた基準は、新基準では「統制」「実務」「設備」「監査」の4分類に再編され、外部委託とクラウドに関する項目が「統制」の基準に集約されています。

さらに、基準項目として新たに「中長期的なシステム計画策定」、「クラウド固有リスクの対策」、「共同センター利用時の対策」の3つが追加されています。

「共同責任モデル」でセキュアにクラウドを活用

FISC安全対策基準に示された「統制」「実務」「設備」「監査」で求められる対策は、金融機関だけでも、クラウド事業者だけでも、基準を満足させることはできません。セキュアにクラウドを活用するためには、金融機関・クラウド事業者・SIer(エスアイアー/エスアイヤー)の役割分担と連携が重要で、これを「共同責任モデル」といいます。

近年はクラウドを導入する金融機関が増加しており、それに伴って「FISC安全対策基準」への対応状況について、ニフクラをはじめ各クラウド事業者の多くがFISC安全対策基準への準拠状況を説明するチェックシートやリファレンス情報を用意するようになりました。FISC安全対策基準への対応状況を確認したい場合、事業者に問い合わせてみるといいでしょう。

金融機関のシステムでは、たしかに安全対策が重要です。しかし、安全対策や検査対策を重視するがためにイノベーションへの対応が遅れれば、グローバルレベルの機会損失や競争力低下の原因になる可能性もあります。

想定されるリスクとそれに合わせた適切な対応を行うことが、クラウドなどの進化の早い最新技術を活用するためには必要です。金融機関に限ったことではありませんが、リスクセンシティブにとらわれすぎず、認証の強化や暗号化など必要なセキュリティ対策を講じつつ、積極的に取り入れていくことも重要です。

FISC安全対策基準も、フィンテックやクラウドなどのような急速に進化・発展していく技術にあわせて、クラウド時代に対応する改訂の流れが加速しています。

クラウド移行のポイントを徹底解説無料ebookをダウンロード

導入のご相談はお電話でも受け付けております。

0120-22-1200

0120-22-1200

受付時間:平日9:00〜17:45
※携帯電話・PHSからもご利用可能