金融機関が情報システムを構築する際の安全対策基準「FISC安全対策基準」とは？

FISCとは？

FISCとは、金融情報システムに関連する様々な問題についての研究調査や、安全対策の普及・推進活動を行うため、1984年に設立された財団法人（2011年に公益財団法人へと移行）です。FISCには、国内の銀行・保険・証券・クレジット会社といった主要な金融機関をはじめ、コンピューターメーカーや通信企業なども多く加盟している組織です。

FISC安全対策基準とは？

FISCは、その活動の一環として金融情報システムにおけるシステム監査基準や安全対策基準といった、さまざまなガイドラインを発刊しています。「金融機関等コンピュータシステムの安全対策基準・解説書」もそうしたガイドラインの中の1つです。「FISC安全対策基準（またはFISC安対）」とも呼ばれるこのガイドラインは、高い信頼性とセキュリティが求められる金融情報システムを構築する際の、安全対策の共通の指針となることを目的に、1985年に策定されました。

FISC安全対策基準は、法的な強制力を持たない自主基準です。しかし、金融機関が情報システムを構築する際の安全対策基準として、事実上の標準ガイドラインとなっています。実際に金融庁が金融機関に対して行う金融検査においても、情報システムのリスク管理に関してはこのガイドラインに基づいて行われています。

FISC安全対策基準とクラウドサービス

日本の金融機関の歴史を紐解くと、その情報システムはかなり早い段階からIT化が進んでいたことがわかります。しかし、それゆえにメインフレーム時代の古いシステムが長年改修されながらも使い続けられてしまっているという問題も発生しています。

いわゆる「レガシーシステム」を使い続けることで、金融情報システムの維持管理・運用・改修にかかるコストは増大し続けています。その結果として、利便性の高い金融サービスをITで提供する「フィンテック」が市場を拡大する現在、サービス面で競争力を保てなくなってきています。これは典型的な「2025年の崖」問題であると言えるでしょう。

この状況を打開するためには、基幹システムも含む金融機関のITインフラの刷新は避けられません。そして、レガシーシステムの刷新という課題を解決する方法として注目されているのが、クラウドの活用です。

厳しい安定運用やセキュリティが要求される業務系や勘定系のシステムは「聖域」とも呼ばれ、オンプレミスで運用するのが従来の常識でした。しかし、2017年に三菱UFJフィナンシャル・グループ（MUFG）が「クラウドファースト」を打ち出し、パブリッククラウドであるAWSへの移行を発表しました。メガバンクがパブリッククラウドを導入するという話題が業界に与えたインパクトは大きく、この出来事は後に「MUFGショック」などと呼ばれることになります。そして、現在ではMUFGの後に続くように、業務系・勘定系でもクラウドの活用が次第に進んできています。

とはいえ、高い信頼性とセキュリティを求められる金融機関の情報システムにクラウドという新しい技術を使用するにあたっては、ほかの業界と同様にセキュリティに対する危惧の声は当然ながら存在しました。そこで、クラウドの安全性を証明・可視化するためにクラウド事業者が作成したのが、FISC安全対策基準への準拠性を証明するリファレンス文書でした。

しかし、従来のFISC安全対策基準はオンプレミス環境を前提として策定されているため、クラウドサービスに適用するのは困難な部分もありました。そこで、政府は金融庁・日本銀行・経産省・総務省をオブザーバーとして、金融機関やクラウド事業者をはじめとする関係者間でクラウド利用を健全に促進させることを目的に「金融機関におけるクラウド利用に関する有識者検討会」を開設しました。この検討会によってまとめられたのが「金融機関におけるクラウド利用に関する有識者検討会報告書」です。これは、金融機関がクラウド技術の特性とリスクを正しく把握した上でリスクを適切に管理し、クラウドを利用するための安全対策の在り方をまとめた報告書です。この報告書を受けて、FISC安全対策基準もクラウド利用を前提とした内容に改訂が進められることになりました。

FISC最新版（第9版）の特長

FISC安全対策基準は、こうした時代の変遷にともなう環境の変化を取り入れ、改訂が続けられています。2020年12月現在の最新版は、2018年3月に公開された「FISC安全対策基準（第9版）」となっています。この第9版では、クラウドの普及に伴う外部委託の進展とフィンテックなどの活用を踏まえて、リスクベースアプローチの導入という大きな変更が行われました。

リスクベースアプローチとは、すべてのシステムに一律に同じ安全基準を適用するのではなく、システム個々のリスク特性に応じた対策を講じる考え方です。また、旧基準で「技術」「運用」「設備」の3つに分類されていた基準が「統制」「実務」「設備」「監査」の4つに再編されました。外部委託とクラウドに関する項目は、「統制」の基準に集約されています。さらに、基準項目として「中長期的なシステム計画策定」「クラウド固有リスクの対策」「共同センター利用時の対策」の3つが新たに追加されています。

第9版の公開後も激化するサイバー攻撃対策やスマートフォンを利用した決済による不正事件、異常気象による自然災害の増加といった社会情勢の変化を踏まえて、2020年3月には安全対策項目の具体化といった実践的な改訂が行われました。

クラウドサービスのFISC安全対策基準への準拠性を確認する方法

実際にクラウドサービスを利用する前にそのサービスがFISC安全対策基準へ準拠しているかを確認する必要があるでしょう。その際には、クラウド事業者が公開しているFISC安全対策基準への準拠性を解説したリファレンス文書を参照するのが一般的です。例えば、ニフクラではFISC安全対策基準への準拠状況をチェックリスト形式のドキュメントとして公開しています。

ここで重要なのは、クラウドにおける共同責任モデルを理解することです。クラウドのユーザー（ここでは金融機関または開発や運用を受託するSIベンダー）とクラウド事業者の間には、それぞれがインフラ基盤のどこからどこまでを担当するか定めた境界である「責任分界点」があり、それぞれが自分の担当領域における責任を負うことになっています。

メインフレームの時代であれば、すべての責任は金融機関や受託したSIベンダーが負う必要がありました。しかし、クラウドを利用すれば、インフラ部分（OSやアプリケーションレイヤーを除く）に関しては、クラウド事業者の責任範囲とすることが可能になっています。

注意点とまとめ

FISC安全対策基準は頻繁にアップデートが行われています。そのため、金融機関の情報システムのオーナーは、適宜その改訂箇所を確認し、必要ならば安全対策を追加する必要があるでしょう。その際、改訂箇所がクラウド事業者の責任範囲にあたる場合は、必要に応じてクラウド事業者へ問い合わせましょう。

金融機関が新規にクラウドサービスを利用する場合は、クラウド事業者が公開しているFISC安全対策基準のリファレンス情報を参照しながら、利用する事業者を選定することになります。ここで注意すべき点は、必ず「自分の情報システムに必要な安全対策が実装されているかどうかを確認する」ことです。そもそも、FISC安全対策基準への準拠性を認証する機関は存在せず、こうしたリファレンス情報もクラウド事業者の自己宣言に過ぎません。「文書上ではすべてに準拠しているので安全」と安易に考えず、事前の確認が必須であることは覚えておきましょう。