Amazonクラウドで国内金融機関の安全基準は満たせる。SCSK、ISID、NRIの3社が調査結果を公開

2012年9月11日

一般に、国内の金融機関は厳しいセキュリティ要件を求められるため、クラウドでそれを満たすのは難しいだろうと考えられていました。

fig 「金融機関向け『Amazon Web Services』対応セキュリティリファレンス」表紙

しかしSCSK、電通国際情報サービス(ISID)、野村総合研究所(NRI)の3社は、金融庁の外郭団体である金融情報システムセンター(FISC)が策定したセキュリティに関する自主基準「金融機関等コンピュータシステムの安全対策基準」について、Amazonクラウドで対応するためのガイドライン「金融機関向け『Amazon Web Services』対応セキュリティリファレンス」(以下、セキュリティリファレンス)を公開しました。

セキュリティリファレンスは、全部で295305項目あるFISCの安全対策基準の項目それぞれについて、クラウド事業者であるAmazonクラウドの対応とSI事業者や利用者での対応を調査してまとめたもの。「ATM(自動現金預け払い機)のような、クラウドとは関係ないものは対象外として、それ以外の項目はすべて適合可能という結果になった」(ISID エグゼクティブプロジェクトディレクター クラウドエバンジェリスト 渥美俊英氏)。

調査にはAmazonクラウドも全面協力し、非公開の情報も入手、同社の公式見解として記述されています。適合可能とされたのは東京リージョンに限らず、Amazonクラウドの全データセンターが対象。

これにより、国内金融機関の情報システムにおけるクラウド活用への道筋が開けるだけでなく、金融機関以外の企業にとってもクラウド上で構築するシステムに対するセキュリティ基準を明確にすることが容易になるため、あらゆる業種業態でのクラウド活用の推進が期待されます。

自社のSI案件や、別のクラウド事業者による活用も可能

セキュリティリファレンスには、公開情報のみに基づいて対応状況の概要が記載された「サマリー版」と、Amazonクラウドの非公開情報を含み詳細に記載された「詳細版」の2種類があります。

サマリー版は複製、改変、改変後の再配布も許可されているため、これを入手したSI事業者などが必要なセキュリティ項目を抜き出して自社案件のセキュリティ要件整理のために用いたり、あるいはクラウド事業者がAmazonクラウドの項目部分を自社クラウドの対応状況に置き換えて再配布するなども可能。

これは、セキュリティリファレンスを作成した3社がこのドキュメントをクラウドやSI事業者の発展に役立ててほしいと考えたため。

一方、詳細版の入手は基本的には案件があることを前提とし、3社のいずれかに連絡したうえでAmazonクラウドと情報の秘密保持契約を結ぶ必要があります。

セキュリティリファレンスの入手先はSCSKISIDNRIのいずれかから。

データセンターに立ち入る必要はないのか?

金融機関の情報システムでは、「検査のためにデータセンターに立ち入ることが必要だからクラウドでは無理なのでは?」などと言われていました。しかし「FISC安全対策基準には、『現物確認せよ』というような項目はない。『現地で確認することが望ましい』といった表現はあるが、それは確認することが目的なのではなく、なんらかの目的のための手段であって、今回のセキュリティリファレンスではその目的にクラウドがどう対応しているのか、といったことが整理されている」(渥美氏)とのこと。

ただし、FISC安全対策基準を満たせばそれでいいのかというと、そうではありません。実際にこのセキュリティリファレンスに沿って構築したシステムを、監督機関である金融庁の検査官や監査法人がどう判断するのかは、これから構築される個々の案件に依存します。「監査などで見解が分かれたときに、そこを議論していくことでより改善していくことがこれから大事になってくる」(SCSK ITマネジメント事業部門 クラウド事業本部 基盤統括部 第一開発課長 瀧澤与一氏)。

大手金融機関によるクラウドの採用事例が相次いでくれば、大手企業や政府自治体などのクラウド利用も大きく促進されることでしょう。

あわせて読みたい

クラウド




タグクラウド

クラウド
AWS / Azure / Google Cloud
クラウドネイティブ / サーバレス
クラウドのシェア / クラウドの障害

コンテナ型仮想化

プログラミング言語
JavaScript / Java / .NET
WebAssembly / Web標準
開発ツール / テスト・品質

アジャイル開発 / スクラム / DevOps

データベース / 機械学習・AI
RDB / NoSQL

ネットワーク / セキュリティ
HTTP / QUIC

OS / Windows / Linux / 仮想化
サーバ / ストレージ / ハードウェア

ITエンジニアの給与・年収 / 働き方

殿堂入り / おもしろ / 編集後記

全てのタグを見る

Blogger in Chief

photo of jniino

Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。
詳しいプロフィール

Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
Facebookで : Publickeyのページ
RSSリーダーで : Feed

最新記事10本