お客様のDXの推進やクラウド活用をサポートする
NRIグループのプロフェッショナルによるブログ記事を掲載

AWS FISC安全対策基準対応リファレンスの使い方

東 多恵子 - CISA -公認情報セキュリティ監査人(CAIS-Auditor)

こんにちは、クラウドにおけるシステムリスク管理担当をしている東です。
今回のブログでは、「AWS FISC 安全対策基準対応リファレンス」参考文書の使い方をご紹介します。

 

AWS FISC安全対策基準対応リファレンス 参考文書を発行

公益財団法人金融情報システムセンター(以下「FISC」)の「金融機関等コンピュータシステムの安全対策基準」(以下「安全対策基準」)は金融機関等の情報システムの安全対策に関するデファクトスタンダードとして広く活用されています。
金融機関が安全にクラウドサービスを使うためには、FISC安全対策基準に準拠することが求められます。一方、FISC安全対策基準の項目は多岐に亘ることから、クラウド事業者に対する準拠性の確認や、準拠のために必要なクラウドサービス特有の対策の検討が、金融機関にとって高い負荷になっています。
それを受け、2024年8月28日に、『「AWS FISC安全対策基準対応リファレンス」参考文書』(以下「本参考文書」)第2版の無償提供が開始されました。 本参考文書は、AWSがリリースした「金融機関向けAWS FISC安全対策基準対応リファレンス」をより使いやすいものとするために、AWSのパートナー企業で構成するFISC対応APNコンソーシアムに参加する企業が共同で作成した文書です。

・2024/08/28 atlax / ニュース /AWS FISC安全対策基準対応リファレンスの参考文書 第2版発行

 

FISC安全対策基準に準拠することが求められるとき

近年、金融機関によるクラウド活用がますます進んでいます。
既に金融機関は重要度がそれほど高くないシステムにおいて、AWSをはじめとするクラウドの活用実績があります。
その経験を活かし、基幹系システムなど重要なシステムをクラウドに移管することが検討されています。
移管するシステムが重要なシステムであればあるほど、今まで問われなかった「クラウドのリスク」対応がなされているか、導入段階やリリース段階で経営層やリスク管理部門から求められます。
その回答として、クラウドがFISC安全対策基準に準拠していることにより、安全対策を行っている、つまりリスク対応が考慮されていることを示すことが出来ます。

 

本来の安全対策の範囲と本参考文書の位置づけ

本来、安全対策を検討する範囲は利用者環境からデータセンタまでトータルで考える必要があります。
AWSは、自身の責任範囲の安全対策内容と、お客様に実施して欲しいことを、サービス提供者の視点で「金融機関向けAWS FISC安全対策基準対応リファレンス」として公表しています。
それを受けて、金融機関の基盤担当者はクラウドに対する設定を行う必要がありますが、その際に金融機関の視点で補足解説をした文書が本参考文書となります。
利用者環境やテナントアプリ、テナント基盤部分については、本参考文書以外となるため、別途検討が必要となります。

図:安全対策実施範囲と領域/機能/組織と本参考文書の位置づけ

 

本参考文書の使い方

金融機関はFISC安全対策基準を考慮した独自のリスク評価項目により、既存システムを評価しています。
既存システムと同じ軸でリスクを評価することにより、クラウドも既存システムと比較したリスク評価することが可能となるため、クラウド独自の要素を補足することもありますが、既存のリスク評価項目で評価を行うケースが多いです。
AWSを導入する際に、その金融機関独自のリスク評価項目に回答することがありますが、その際には本参考資料を利用することにより、リスク評価が容易となります。

本参考資料を入手したい場合は、下記のお問合せ先までご連絡ください。

「金融機関向けAWS FISC安全対策基準対応リファレンス」参考文書に関するお問い合わせ先
問合せ先:info-itcc@nri.co.jp

NRIでは、FISC安全対策基準の各項目に対して、対象とするクラウドサービスの対応状況を確認し、リスクを評価・分析、監査するサービスを提供しております。ご関心のある方は下記のお問い合わせ先よりご連絡ください。

 

お問い合わせ

atlax では、ソリューション・サービス全般に関するご相談やお問い合わせを承っております。

 

関連リンク・トピックス

・atlax / クラウドの取り組み / AWS(Amazon Web Services)

・2024/01/15 AWS Top Engineer (Security)が語るAWSのセキュリティ動向2023 ~ セキュリティの民主化と生成AI活用の未来 ~

※ 記載された会社名 および ロゴ、製品名などは、該当する各社の登録商標または商標です。
※ アマゾン ウェブ サービス、Amazon Web Services、AWS および ロゴは、米国その他の諸国における、Amazon.com, Inc.またはその関連会社の商標です。
※ Microsoft、Azure は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。
※ Google Cloud、Looker、BigQuery および Chromebook は、Google LLC の商標です。
※ Oracle、Java、MySQL および NetSuite は、Oracle Corporation、その子会社および関連会社の米国およびその他の国における登録商標です。NetSuite は、クラウド・コンピューティングの新時代を切り開いたクラウド・カンパニーです。