また、マイクロソフトが提供している「FISC 安全対策基準第 9 版」対応に関するチェックリスト・ホワイトペーパーに加え、マイクロソフト ソリューション プロバイダーであるパートナー各社が、マイクロソフト クラウド サービスにおける、マイクロソフトの対応・利用者が実施すべき対応についての見解をまとめています。なお、株式会社野村総合研究所では、FISC 安全対策基準第 9 版に対する Microsoft Azure、Office 365 の対応状況を確認した結果を踏まえ、金融機関向けのリスク アセスメント サービスおよび監査サービスを提供中です。※ 本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。「FISC 安全対策基準」最新版の第 9 版 では、金融機関などの情報システムを取り巻く環境の変化を踏まえ、抜本的な改定がおこなわれました。当基準には、金融情報システムの外部委託が進展したことや FinTech の活用などを踏まえ、IT ガバナンスに基づくリスクベースアプローチの考え方の導入および外部委託先等の統制基準の整理・拡充 (クラウド基準の整理・統合等を含む) を図ることが盛り込まれています。これらの基準をクリアするためには、マイクロソフトおよびマイクロソフトをご利用いただくお客様側での対応も必要となります。4.
金融分野における情報システムの安全対策やIT技術導入の道しるべを提供します FISC 金融情報システムセンター『金融機関等コンピュータシステムの安全対策基準・解説書(第9版)』
金融業界におけるクラウドサービスの利活用促進を目的として、FISC安全対策基準の各項目に対して、対象とするクラウドサービスの対応状況を確認・整理した結果を『金融機関向けクラウドサービス対応セキュリティリファレンス』として公開しています。
旧基準では、外部委託に関する基準とは別にクラウドに関する基準が後から追加されたため、一部重複した内容や冗長な記載となっている箇所がありました。新基準では、外部委託とクラウドに関する項目が「統制」の基準に形式面で集約されたことにより、当該項目群の体系的な理解が可能となっています(図表2参照)。PwC Japanでは、業務プロセス・システム・組織・データ分析の領域おいて、監査業務を通じて得たナレッジから保証業務のみならず、経営課題の解決のためのアドバイザリーサービスも提供します。各基準項目には、その解説文に複数の対策が記述されています。旧基準においては、文末に「~望ましい」などの表現が多用されており、どこまで適用すれば良いのかの判断基準が曖昧でした。新基準では、このような曖昧さを排する観点より、解説文の末尾の表現が改定されることで、どの対策が必須で、どの対策が任意であるかが明確化されています。そのため金融機関等では、基準項目ごとの複数の対策案をリスク評価結果に応じて取捨選択し、自機関のリスクプロファイルに適した観点より、具体的な目標設定ができるようになりました(図表6参照)。FISC安全対策基準(第9版)における主な改定ポイントに関する金融機関等は多数の情報システムを保有していますが、よりリスクの高いシステムに重点的に高い安全対策を適用することを可能とするために、新基準では、「特定システム」と「通常システム」という分類の考え方が示されています。具体的には、「特定システム」は、重大な外部性(障害発生時などによる社会的影響の高いもの)や機微情報(人種、信条などの要配慮個人情報を含むもの)を有するシステム、「通常システム」はそれ以外として定義されています(図表4参照)。© 2004 - 2020 PwC.
安全対策となるよう、安全対策基準の改 訂作業を実施してきた。 安全対策基準(第9版)改訂まで の流れ 有識者検討会の提言を踏まえた安全対策基準の改訂 外部委託に関する有識者検討会及び、FinTechに関する有識者検討会の提言内容を安対基準改訂に反映。 ただし「fisc安全対策基準」はたびたび改訂が行われており、2018年3月に公開された「第9版」では、クラウドの普及に伴う外部委託の進展とフィンテックなどの活用を踏まえて、大幅に内容が変更されています。 fisc安全対策基準とは? PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. fisc安全対策基準(第9版)における主な改定ポイント 2018-06-05 2018年3月に金融情報システムセンター(以下「FISC」)から「金融機関等コンピュータシステムの安全対策基準・解説書」(以下「安全対策基準」)の第9版(以下「新基準」)が公表されました。 All rights reserved. ただし「FISC安全対策基準」はたびたび改訂が行われており、2018年3月に公開された「第9版」では、クラウドの普及に伴う外部委託の進展とフィンテックなどの活用を踏まえて、大幅に内容が変更されています。 FISC安全対策基準とは? ã¹ãã ãºæ ªå¼ä¼ç¤¾ããã¬ã³ããã¤ã¯ãæ ªå¼ä¼ç¤¾ãæ ªå¼ä¼ç¤¾é»éå½éæ å ±ãµã¼ãã¹ãSCSKæ ªå¼ä¼ç¤¾ãæ ªå¼ä¼ç¤¾FIXERããã³æ¥æ¬é»æ°æ ªå¼ä¼ç¤¾ãå®æ½ããFISCå®å ¨å¯¾çåºæºã®åé ç®ï¼çµ±å¶åºæº26é ç®ãå®ååºæº144é ç®ãè¨ååºæº137é ç®ãç£æ»åºæº1é ç®ï¼ã®ããããã«ã¤ãã¦ç¢ºèªã»æ´çãã¾ãããCopyright © SCSK Corporation ALL rights reserved. 「Data Protection Resources」セクションのメニューから「Compliance Guides」をクリックします。 金融機関等コンピュータの安全対策基準・解説書(第9版改訂)英訳版(PDF) - FISC Security Guidelines on Computer Systems for Financial Institutions(Ninth Edition(Revised)) - 金融機関等コンピュータの安全対策基準・解説書(第9 金融機関向け「Microsoft Azure」対応セキュリティリファレンスとは? マイクロソフトのクラウドサービスである「Microsoft Azure」に関して、FISC安全対策基準の第9版改訂の各項目に対する対応状況を調査したものです。 今回は、金融機関などのシステムに求められる「FISC安全対策基準」について、最近の動向を紹介します。「FISC安全対策基準(第9版)」では、最低限の安全対策を実施した上で、クラウド利用を前提として外部の統制基準の整理・拡充を図り、ITガバナンスに基づく「リスクベースアプローチ」により管理レベルを適宜・適切に検討することが望ましいという、基本的な姿勢が示されました。クラウドのメリットが広く認知されてきている今、さまざまな分野でクラウドサービスが活用されていますが、こと金融機関の業務システムという面に限ると、まだまだ幅広く利用されているとは言えないのが現状です。2018年3月に公開された「FISC安全対策基準(第9版)」では、「金融機関において、利用者保護のために安全対策の実施は不可欠ながら、一方で顧客の利便性や企業価値向上のために、限りある経営資源を新サービスの展開・開発等に適切に配分することも重要」と、昨今のフィンテックやクラウドサービスによるビジネス環境の変化に対応した内容が盛り込まれました。リスクベースアプローチとは、すべてのシステムに一律に同じ安全基準を適用するのではなく、システム個々のリスク特性に応じた対策を講じる考え方です。こうした状況を踏まえ、経済産業省(以下、経産省)や総務省は、クラウド利用を前提としたセキュリティ管理基準の制度化など、あらゆる業種・産業での国際競争力を高める目的でクラウドの普及を後押ししてきましたが、金融機関においてもそれは例外ではありません。また、旧基準で「技術」「運用」「設備」の3つに分類されていた基準は、新基準では「統制」「実務」「設備」「監査」の4分類に再編され、外部委託とクラウドに関する項目が「統制」の基準に集約されています。想定されるリスクとそれに合わせた適切な対応を行うことが、クラウドなどの進化の早い最新技術を活用するためには必要です。金融機関に限ったことではありませんが、リスクセンシティブにとらわれすぎず、認証の強化や暗号化など必要なセキュリティ対策を講じつつ、積極的に取り入れていくことも重要です。その流れを大きく変えたのが、のちに「MUFGショック」と呼ばれる出来事でした。FISCは、日本国内の金融システムの安全性向上を目的に、1984年に設立された非営利組織です。銀行、保険、証券、クレジット会社など国内の主要金融機関のほか、コンピューターメーカーや通信企業なども多く加盟しています。FISC安全対策基準も、フィンテックやクラウドなどのような急速に進化・発展していく技術にあわせて、クラウド時代に対応する改訂の流れが加速しています。FISCによりまとめられた「FISC安全対策基準」は、金融システムの導入・運用における事実上の業界標準ガイドラインとして位置づけられています。例えば、金融庁による監査は「FISC安全対策基準」に沿った内容で行われます。また、政府は、金融庁、日本銀行、経産省、総務省をオブザーバーとして、金融機関やクラウド事業者をはじめとする関係者間でクラウド利用を健全に促進させることを目的に、有識者検討会を実施。検討会では、元々、金融機関の業務システムには高い信頼性とセキュリティが求められるため、金融庁の外郭団体である公益財団法人「金融情報システムセンター(FISC)」の「金融機関等コンピュータシステムの安全対策基準・解説書(通称:FISC安全対策基準)」への準拠が必要とされていました。オンプレミスはもちろん、クラウドも当然対象となります。といったことが議論され、その内容が「金融機関におけるクラウド利用に関する有識者検討会報告書」としてまとめられました。システムの早期導入やコスト削減などの効果が期待できるクラウドコンピューティングが広く認知され、金融機関にもクラウドファーストの大きな波が到来し、これまで“聖域”と言われてきた業務系・勘定系といった主要業務をパブリッククラウド上で構築する動きが進んでいます。また、新興のベンチャー企業が多数参入しているフィンテックへのメガバンクによる取り組みも活発化しています。具体的には、「オンプレミス型からクラウド型へのシステム移行」や「複数の金融機関が管理する共同センターシステムへの参入」など、ITガバナンスの観点から重視すべき基準が明確化されています。さらに進んだ政府のクラウド利用基本方針「クラウド・バイ・デフォルト原則」こうした議論が行われる中で課題として浮かび上がったのが、金融機関のシステムに必須の「FISC安全対策基準」がクラウドを想定していないことでした。ただし「FISC安全対策基準」はたびたび改訂が行われており、2018年3月に公開された「第9版」では、クラウドの普及に伴う外部委託の進展とフィンテックなどの活用を踏まえて、大幅に内容が変更されています。そして2012年、AWSがFISC安全対策基準へ準拠するための対策をまとめた「セキュリティリファレンス」を文書として公開したことは、パブリッククラウドが金融機関でも利用されるようになったきっかけと言えます。FISC安全対策基準に示された「統制」「実務」「設備」「監査」で求められる対策は、金融機関だけでも、クラウド事業者だけでも、基準を満足させることはできません。セキュアにクラウドを活用するためには、金融機関・クラウド事業者・SIer(エスアイアー/エスアイヤー)の役割分担と連携が重要で、これを「共同責任モデル」といいます。クラウドとオンプレミス-それぞれのメリット・デメリットを徹底比較!「VMware」で構築したオンプレの仮想化環境をクラウドに移行するためには?金融機関のシステムでは、たしかに安全対策が重要です。しかし、安全対策や検査対策を重視するがためにイノベーションへの対応が遅れれば、グローバルレベルの機会損失や競争力低下の原因になる可能性もあります。さらに、基準項目として新たに「中長期的なシステム計画策定」、「クラウド固有リスクの対策」、「共同センター利用時の対策」の3つが追加されています。IaaS、PaaS、SaaSの違いを整理して、クラウドサービスの特徴を知ろう2017年にいわゆるメガバンクの一つである三菱UFJフィナンシャル・グループ(MUFG)がパブリッククラウドであるAWSを利用して「クラウドファースト」を打ち出した後は、公開系システムへのクラウド導入以外にも、業務系・勘定系へのクラウド活用が次第に進んできています。