FISC の安全対策基準の変更点と対応について

2015 年 6 月 29 日に、金融情報システムセンター（FISC）が『金融機関等コンピュータシステムの安全対策基準・解説書』の改訂版（第 8 版追補改訂）を発表しました。この改訂は、安全対策基準の第 8 版追補が発表された 2013 年 3 月以来、約 2 年ぶりの改訂となります。

FISC の安全対策基準は、金融業界における情報システムの利用に関する指針となっています。金融庁による金融機関の検査の手引書として位置付けられている『金融 検査マニュアル』でも、「検査官は、システムリスク管理態勢に問題点が見られ、さらに深く業務の具体的検証をすることが必要と認められる場合には、『金融 機関等コンピュータシステムの安全対策基準・解説書』（公益財団法人金融情報システムセンター編）等に基づき確認する」とされています。

今回の改訂の大きな変更点は、「クラウド利用」と「サイバー攻撃対応」について、新たに基準が設けられたことです。金融機関では今まで、いわゆる 「パブリッククラウド」と言われる事業者のサービスを利用することは敬遠されていました。しかし、今回の改訂で安全対策の基準が設けられたことで、クラウ ドサービスの利用が進むと考えられています。

FISC の安全対策基準『第 8 版追補改訂』の主な変更点

金融機関においてクラウドコンピューティングへの関心が高まっている理由として、「システムの早期導入」や「コスト削減の効果」などが挙げられま す。FISC の調べによると、「クラウドを導入している」または「導入を検討している」金融機関は全体の 16％ ほどになるといいます。大手の金融機関では既にクラウドサービスの利用も一部進められていますが、中小の金融機関においてはまだ利用率が低いのが現状で、 16％ というのは欧米の金融機関と比べると小さな数字となっています。クラウドサービスの利用に至らない理由として、今まで安全対策の基準がなかったために、 「利用を判断する基準がない」という声も聞かれます。 今回の FISC の安全対策基準を改訂は、クラウドサービスのメリットを最大限享受する方向で考えられており、「クラウド対応」については新たに 5 つの基準、「サイバー攻撃対応」については新たに 1 つの基準が設けられました。

その中で金融機関が注目するべきポイントはどういったところなのでしょうか。

「クラウド対応」について、金融機関がクラウドベンダーを選ぶ上で、今回の基準を参考に注意すべきポイントは次の 8 つに分けられます。

1. データの所在
   クラウドベンダーに預けたデータがどこにあるのかが、明確になっているかどうか。
2. SLA（サービスレベル合意書）の締結
   提供されるクラウドサービスの内容を定義できるか。また、サービスレベル未達の際の対応はどうか。
3. 情報開示
   情報開示範囲や監督当局等による検査等への協力義務についての対応はどうか。
4. 再委託先管理
   再委託先についてはどのように管理しているか。
5. データ暗号化
   万が一の漏えい防止策として、預けたデータの暗号化についてはどうか。
6. データ消去
   契約終了時には預けたデータをきちんと消去するかどうか。
7. 立入監査
   立入監査の受入に関する方針はどのようになっているか。
8. 第三者監査
   委託元金融機関の立入監査が実効的出なかった場合、第三者による監査は可能かどうか。

セールスフォース・ドットコムの提供するシステムの機能やサービスについては、元々上記のような FISC の安全基準に十分対応できるものでした。今回の基準に合わせて、新たに SLA など契約を締結できるように準備し、全てのポイントについて対応が可能になっています。

「サイバー攻撃対応」に関しては、高度化かつ巧妙化するサイバー攻撃への対応態勢の整備として、以下の 4 つのポイントを基準として設けることとなりました。

1. 未然防止、事前対策
2. 検知策
3. 対応策
4. 教育・訓練

セールスフォース・ドットコムでは、未然防止については、様々な外部機関による脆弱性チェックを行っていたり、検知策については、24 時間 365 日有人による監視を行っていたりと、上記のポイントにも十分対応できる準備をしています。

金融機関における、Salesforce の活用法

金融機関を利用する顧客の行動は多岐に渡ります。SNS やメール、電話に窓口など様々なチャネルから接してくる顧客に対して、別々のシステムを導入していては、顧客の行動を観察することは難しくなります。 Salesforce なら、金融機関の基幹システムを除いた、様々な領域で活用でき、全ての情報を「顧客情報」にひもづけることができるので、「お客様起点」でのサービスを展 開することができます。

金融機関において、クラウドサービスを活用すべきポイントとしては、「常に最新のシステムを使うことができる」というところにあります。今後システ ムに関する安全基準に改訂があったとしても、クラウドサービスであればシステムの更新などの手間をかけることなく、安心して利用し続けることができます。

今回の FISC による『金融機関等コンピュータシステムの安全対策基準・解説書』の改訂版（第 8 版追補改訂）が発表されたのは 2015 年 6 月末のことですが、Salesforce は即座に対応し、その基準をクリアしています。Salesforce を利用することで、金融機関でも、それぞれの顧客に合わせた最適なサービスを実現することができるでしょう。

参考：

• FISC 安全対策基準が改訂、サイバー攻撃・クラウド利用への対応強化：ITpro（2015年7月24日）
• 20150708 開催：【FISC 対応セミナー】東京＜前半＞
• 20150708 開催：【FISC 対応セミナー】東京＜後半＞