皆さん、こんにちは。富士通クラウドテクノロジーズの鮫島です。
今回は、久しぶりに情報セキュリティの話をします。
今だ終息の道筋が見えないコロナ禍ですが、さまざまな業種で働く人と顧客の感染リスクを減らす取り組みが行われています。
対面業務が多く、何かと店頭に出向く機会が多い業種の一つに金融機関がありますが、そんな金融機関でも感染リスクを避けるために、インターネットバンキングの利用は増加傾向にあるようです。
しかし、肝心のインターネットバンキングの申し込みに印鑑と書類の郵送が必要であったり、デジタル化はまだまだ多くの余地が残っている業界でしょう。ニフクラにおいても、金融機関からの問い合わせはコロナ以前に比べ増加にあります。
ここからが本題です。
金融機関の情報システムは、さまざまな個人情報・機微情報を扱うことから特に高いセキュリティ水準を要求されますが、安全対策基準のガイドラインとして幅広く利用されているのが公益財団法人「金融情報システムセンター(FISC)」の「金融機関等コンピュータシステムの安全対策基準・解説書」(以後:FISC安全対策基準)です。
近年、金融機関ではフィンテックやDXへの対応を迅速かつ低コストに行えるクラウドサービスの利用が拡大していますが、FISC安全対策基準も、クラウドサービスの利用や激化するサイバー攻撃に対応するために大規模なアップデートが幾度も行われています。
もちろん、当社をはじめとするクラウド事業者では、FISC安全対策基準への準拠状況をドキュメントとして公開する取組を行っていますので、金融機関がクラウドサービスを導入することの障壁がさらに低くなってきていると言えます。
先日も、「ニフクラのFISC安全対策基準への対応状況について」というドキュメントを最新版の第9版(令和2年3月)に更新しました。
FISCとは?
FISCとは、「公益財団法人 金融情報システムセンター(FISC:The Center for Financial Industry Information Systems)の略称です。
金融情報システムに関連する諸問題(技術、利活用、管理態勢、脅威と防衛策等)の国内外における現状、課題、将来への発展性とそのための方策等についての調査研究」を活動の基本としている組織です。
※引用元:金融情報システムセンターサイトのFISCのご紹介>FISCの概要より
FISC安全対策基準とは?
FISCが金融機関の情報システム向けの安全対策基準をまとめたドキュメントが、「金融機関等コンピュータシステムの安全対策基準」・解説書」であり、これを略して「FISC安全対策基準」とか、極端な場合は単に「FISC」(短縮しすぎて本来の意味が分からない)などと呼ばれています。
●使い方の例
・御社クラウドのFISC安全対策基準適合性を示す資料はありますか?
・FISCの実16で御社クラウドで行っている対策を教えてください
こういう感じです。
ところで、「FISC安全対策基準」そのものをご覧になったことがある方は、意外と多くないと思います。
これはFISCの刊行物として販売されているものであり、書籍版とPDF版があります。
FISC 金融情報システムセンター刊行物ご案内
かくいう当社でも、コロナ禍以前は書籍版を購入していました。
※豆知識ですが、親会社が会員の場合、関連会社も会員価格で購入できるようです。
FISC安全対策基準とリファレンス情報の利用方法
金融情報システムのオーナーもしくは金融情報システムの構築や運用を請け負っているならば、常に最新情報を入手しておくべきものと言えます。FISCの会員になっていれば、FISC安全対策基準の更新情報はキャッチアップしやすいはずです。
それでは、3つの立場でFISC安全対策基準とどのようにかかわっていけばいいかをご説明します。
金融機関(金融情報システムのオーナー)
まずは、金融機関ですがFISC会員であるという前提で話を進めます。
自社の情報システムがFISC安全対策基準に準拠しているか、定期的に更新情報をチェックして、必要に応じて対策を行う必要があります。「必要に応じて」と申し上げたのは、自社の情報システムに不要な対策項目がFISC安全対策基準の中に存在することもあるからです。
たとえば、損保会社がクレジットカード会社向けの安全対策基準の項目に対応する必要はないでしょう。
具体的な例ですが…
「実133 VI.実務基準9 個別業務・サービスにデビッドカード・サービスの口座番号、暗証番号等の安全性を確保すること。」という項目が実際に存在しますが、デビッドカードのサービスを提供していない損保会社には不要な項目です。
また、これから金融機関で下記のような案件が多くなると予想されます。
・老朽化してきた情報システムを刷新したい
・フィンテックに対応したい
・DXに対応した機能を追加したい
こういったニーズが出てきた場合、外部の開発会社・SIerなどに開発・構築・運用などを委託する場合がでてきます。 その場合に、「FISC安全対策基準」をどのように活用するかを説明します。
開発会社/SIer/(金融情報システムの構築・運用・管理者)
金融機関に限らず、何らかのシステム構築を外部に発注する場合、開発会社/SIerにRFP(提案依頼書)を提出して、システム提案と見積もりの作成を求めることが多いと思います。
その際に、前提条件として「FISC安全対策基準」に準拠したシステムを作ることができるかどうかを確認項目として入れます。そうすると、金融機関の案件に慣れている企業ならばチェックシート形式で準拠性を証明する「リファレンス情報」を添付してくるはずです。
金融機関側は、その「リファレンス情報」を見て自社に必須の項目にどのような対策が行われているかを確認します。 恐らく複数企業に相見積もりを行うと思うので、それぞれの企業が提出してきた「リファレンス情報」に記載された「自社がセキュリティ面で重視している項目に対してどのような対策を行っているか?」を比較材料にする場合もあります。
そこで、金融機関のRFPの中「システム構築はクラウドを基盤とすること」という内容があったとします。その場合、開発会社/SIerは、自社が顧客に提案する際に利用するいくつかのクラウドサービスの中から、金融機関の要件に合致しそうなものを選定することになります。
クラウド事業者(金融情報システムのインフラ部分を提供)
開発会社/SIerは開発会社/SIer、提案に使用する予定のクラウドサービスが公開している「FISC安全対策基準」のリファレンス情報(だいたいチェックシート形式です)をダウンロードします。
そして、金融機関が求めているセキュリティ要件に対してそのクラウドサービスがどのような対策を行っているかを「リファレンス情報」を読んで確認します。
つまり、開発会社/SIerとクラウド事業者とどちらの責任範囲で対策を行うかを分担することになります。 これは、クラウドサービスのセキュリティの考え方で基本となる考え方「共同責任モデル」と呼ばれるものです。
共同責任モデルに基づくリファレンス情報
ニフクラもそうですが、多くのクラウド事業者の公開している「FISC安全対策基準」のリファレンス情報では、下記のように安全対策をクラウド事業者とユーザー(多くは開発会社/SIer)のどちらの責任で行うかが記載されているはずです。
これは、クラウド事業者の中でもIaaS/PaaS/SaaSによって責任範囲が変わってくるのですが、IaaSの場合はおおむね下記のような責任分界点が存在します。
しかしながら、きっちり責任分界点が定まらないケースもあり、その場合は双方が共同で管理策を講じなければならないこともあります。非常に判断が難しいところではありますが、実際に利用される方が判断を迷うような記述は極力避けたいという思いはあります。
当社のクラウドはFISC安全対策基準に適合しています!?
金融機関や開発会社/SIerから、クラウド事業者に「御社のクラウドはFISC安全対策基準に適合していますか?」という問い合わせが入る場合があります。
ここで、「FISC安全対策基準」のリファレンス情報を用意しているクラウド事業者は
「もちろんうちのクラウドはFISC安全対策基準に適合しています」
という回答をしたくなると思います。 スパッと明快な回答したいのはやまやまですが、「厳密には誤り」です。 なぜなら、「FISC安全対策基準」のリファレンス情報は、各社が自主的に調査し公開した情報です。
「FISC安全対策基準」への準拠・適合を認証する機関はありません。
監査法人に準拠性・適合性を確認してもらうという方法も実際に取られているようですが、公的認証では無いことは事実です。
繰り返しになりますが、あくまで各項目に記載されたさまざまなリスクへの対応策を各事業者が説明している資料です。 安易に「○○クラウドは「FISC安全対策基準」適合しているから安全だ!」と、考えるのではなく
「自社システムに生じうるリスクへの安全管理策がどのように実装されているか」
を確認するようにしましょう。
「FISC安全対策基準」9版(令和2年3月)とニフクラの準拠状況
それでは、最後にせっかくですので、コロナ禍の真っ最中に更新された「FISC安全対策基準」9版(令和2年3月)について要点をご説明します。そもそも、2018年3月に改定された9版で、クラウド利用を前提とした大幅な見直しが行われたあとの、細かいアップデートが中心になります。
今回の改訂では、まず継続課題について、対応を急ぐもの及び軽微なものと、抜本的な考え方の見直しを伴うものや慎重に検討すべきものに整理した上で、前者について対応しました。次に、セキュリティ確保に向けた取組みとして、総務省及び内閣サイバーセキュリティセンターにおけるパスワードの取扱いに係る方針を受けて、パスワードに関する基準を見直したほか、社内システムへの多要素認証導入についても追記し、より踏み込んだ内容としています。さらに金融機関等によるスマートデバイスを利用した多様な金融サービスも展開されはじめていることから、スマートデバイスの固有リスクを調査・分析のうえ基準を見直したほか、最近注目されるQRコード決済についても金融機関等にて導入が確認されたサービスを対象とし、新基準を追加しております。
※引用元:金融機関等コンピュータシステムの安全対策基準・解説書(第9版令和2年3月版)公益財団法人 金融情報システムセンター
昨今の新しい社会情勢に対してかなり迅速にアップデートを実施しており、下記のような項目も追加されています。
・スマホアプリの脆弱性を利用した不正利用事件への対処
・サイバー攻撃に対応した組織・体制
・データセンターの自然災害対策
特に注目すべきは「パスワード対策の変更」ですが、総務省の歴史的な判断変更を受けています。
頻繁にパスワードを変更させると、パターン化を招き逆に強度が落ちるという判断です。
それを受けて、サービスやアプリケーションで初期設定されるパスワードの強度を高めるという項目が追加されたのでしょう。 また、多要素認証の利用を明確に記載してあるのも、時代の流れに適応しているといえます。
最後に、ちょっと面白い項目があったのでご紹介しておきます。ここ数年、地震はもちろん、台風や集中豪雨による被害が各地で相次いでいます。データセンターの災害への耐性を証明する項目が妙に細かくなっています。
大規模停電による電源喪失という事態を、あるデータセンター事業者が非常電源設備で乗り切ったという話が話題なりましたが、非常用電源を動かし続けるための発電機の燃料や冷却水の確保を確実に行えるかどうかまでチェックするようになっています。
また、下記のようなトラップもありました。
ガス系消火設備の放射音が機器に影響を与えるおそれがある。ガス系消火設備については、一般社団法人電子情報技術産業協会の『情報システム室の消火設備ガイドライン』参照
※引用元:金融機関等コンピュータシステムの安全対策基準・解説書(第9版令和2年3月版)公益財団法人 金融情報システムセンター
データセンターの担当者から、ガス消火器の放射音が危機に与える影響が一体何か『情報システム室の消火設備ガイドライン』で調べようとしたら会員限定でした!どうにかなりませんか?と言われ、「金融機関+ガス消火器+振動」で検索したところ、事態が把握できました。
ある金融機関のデーターセンターの消火訓練でガス消火器を使用したところ振動でHDDが壊れた事件があったらしいのです。それによって、振動対策が重視されるようになった模様。 これは、FISC安全対策基準の最新版を読んだだけでは解読できなかったです。
これからも定期的に、「ニフクラのFISC安全対策基準への対応状況について」を最新版にアップデートしてまいります。
とても、冷たい感じのドキュメントではございますが、人知れず苦労している人がいるということを心の片隅に留めながらご活用いただければ幸いです。
追伸:11月19日にウェビナーをやります。ご興味がある方は、どうぞお越しください。
金融機関のクラウド活用に必須の「FISC安全対策基準」とは?
