ITとかCockatielとか

技術のこととか。飼鳥(オカメインコ)のこととか。気になったこととか。基本的には備忘録。

金融機関システムのクラウド利用でおさえておくべきこと

サマリ

  • 金融機関システムは「金融検査マニュアル」に沿って行われる。
  • 金融検査マニュアルには「FISC安全対策基準」がリファレンスのひとつとして記載されており、実際に用いられる。
  • クラウド利用時は上記のマニュアル、基準に対応できる準備を行う必要がある。
  • 準備段階のヒントとして、「金融機関におけるクラウド利用に関する有識者検討会報告書」といった文書が活用できる。
  • 上記をインプットとしつつ、実際に取り扱っているデータの機密性や漏洩リスクなどを勘案し、個別に判断を行いながらシステム構築を行うことが肝要。

はじめに

金融機関システムは厳格なセキュリティが求められますが、それを担保するたのマニュアルや基準が存在します。

さらに、クラウド利用においては、従来のオンプレミスよりも注意すべき点がたくさんあるはずです。

ということで、金融機関システムをクラウドを使って構築する場合に確認すべき文書等を整理します。

FISC

  • 金融情報システムセンター、The Center for Financial Industry Information Systems
  • HP:https://www.fisc.or.jp/
  • 歴史:昭和59年11月 財団法人として設立。平成23年4月、公益財団法人に移行。
  • 概要:https://www.fisc.or.jp/about/
    • 活動の基本は、金融情報システムに関連する諸問題(技術、利活用、管理態勢、脅威と防衛策等)の国内外における現状、課題、将来への発展性とそのための方策等についての調査研究。
    • 調査研究から得られた知見は各種ガイドライン、調査レポートなどに反映している。
    • ガイドラインのひとつに『金融機関等コンピュータシステムの安全対策基準』がある。

金融機関等コンピュータシステムの安全対策基準

  • FISCが作成している安全対策基準。(https://www.fisc.or.jp/publication/
  • 「FISC安全対策基準」と略される。
  • 正式名は『金融機関等コンピュータシステムの安全対策基準・解説書』
  • 発刊は昭和60年、以降の改版の歴史はこちら(PDFリンク)(P.2)参照。
  • 最新は、「第9版」(2018年3月)で、その後改訂されている(第9版改訂版、2019年3月)。

FISC安全対策基準の内容

金融検査マニュアル

・検査官は、システムリスク管理態勢に問題点が見られ、さらに深く業務の具体的検証をすることが必要と認められる場合には、「金融機関等コンピュータシステムの安全対策基準・解説書」(公益財団法人金融情報システムセンター編)等に基づき確認する

クラウド事業者の対応例

上でもリンクしたものだが、AWSからはFISC安全対策基準第8版ベースの回答が出されている。

クラウド事業者の対応状況

各社の対応状況については、以下が詳しい。

金融機関におけるクラウド利用に関する有識者検討会報告書

クラウド関連文書として、FISCより以下が公開されている。 https://www.fisc.or.jp/topics/003317.php https://www.fisc.or.jp/document/fintech/file/190_0.pdf

文書は以下の3章で構成されている。

 Ⅰ クラウドの特性

 Ⅱ リスク管理に関する基本的な考え方

 Ⅲ 具体的なリスク管理