FISC安全対策基準とは

FISC安全対策基準とは

まず、FISC安全対策基準とは何か、というところから解説しましょう。金融機関、それもシステム部門に関連のない仕事をされていると、あまり知名度は高くないかもしれませんが、金融システムに関係されたことのある人であれば、きっと聞いたことのある名前だと思います。

公益財団法人 金融情報システムセンター(https://www.fisc.or.jp/)で発刊している「金融機関等コンピュータシステムに関する安全対策基準・解説書」の通称です。

発行時のFISCの報道発表:https://www.fisc.or.jp/isolate/?id=954&c=topics&sid=392

日本の金融機関や、そのシステム、データセンタ事業者はこれに沿った安全対策を行っています。システム部門にとっては、「安全対策基準に従うこと」は何よりも重要なことです。金融機関がFISC安全対策基準に従う根拠は、金融庁の検査マニュアルに記載があることによるものです。

金融庁の金融検査マニュアル(預金等受入金融機関に係る検査マニュアル)にも、以下のような記載があります。

http://www.fsa.go.jp/manual/manualj/yoki_h290530.pdf

(注意:リンク先はPDFです)

記載場所は、別紙2「経営陣によるシステムリスク管理態勢の整備・確立状況」の「Ⅰ. 経営陣によるシステムリスク管理態勢の整備・確立状況」にある検証ポイント、です。(下線と太字は著者による)

検査官は、システムリスク管理態勢に問題点が見られ、さらに深く業務の具体的検証をすることが必要と認められる場合には、「金融機関等コンピュータシステムの安全対策基準・解説書」(公益財団法人金融情報システムセンター編)等に基づき確認する

また、「Ⅲ.個別の問題点」という記載があり、ここにはFISC安全対策基準のエッセンスとも言える内容が記載されています。

金融庁の検査官が参照するものとして、明示的にFISC安全対策基準が示されている他に、検査官の確認すべき項目として取り上げられています。これが、金融機関が「FISC安全対策基準に従う」ことを大切にしている根拠です。

今回取り上げている金融検査マニュアルが平成27年(2015年)11月に発行されたもので、FISC安全対策基準第9版が発刊された2018年3月より前なので、今の9版の内容と完全な一致ではありませんが、今後、第9版の内容にそって検査マニュアルの内容も改版されることも十分に考えられます。・・・と思っていたら、金融検査マニュアルは2018年度をもって廃止されるという記事が出ていました(2018/07/09付け金融財政事情)。金融庁でも、その旨は公表されていました。

「金融検査・監督の考え方と進め方(検査・監督基本方針)」(案)へのパブリックコメントの結果等について(金融庁):https://www.fsa.go.jp/news/30/wp/wp_revised.html

FISC安全対策基準は、時代の流れにより、新しく追加された項目や、技術的に使用されなくなった内容を削除しています。例えば、サイバー攻撃に対する基準が追加されたり、クラウドに関する基準が追加されると共に、使用されなくなった「ポケットベル」や「テレックス」といった文言が削除されていますし、第9版では、リスクベースアプローチを採用して、これまでより踏み込んだ内容に進化しています。

では、データセンタ事業者が、FISC安全対策基準に準拠している、と明確に示しているのはなぜでしょうか。

データセンタでFISC安全対策基準に準拠していると表明している例:

AWS:https://aws.amazon.com/jp/compliance/fisc/
Google:https://cloud.google.com/files/FISC_guide_JP.pdf
SalesForce:https://www.salesforce.com/jp/blog/2015/08/FISC_safety_standard.html

※いずれも、確認日時点では9版に準拠しているとは表明していませんが、設備の基準については9版でも変更がないので、そのままにしていると推測しています。

今では、インターネットにより、各業界の安全基準が比較的簡単に見つかるようになっていますが、FISC安全対策基準の初版ができたのは昭和60年です。銀行が参考にしている基準を満たしていれば、データセンタとして利用する際にもわかりやすいということで、FISC安全対策基準の設備基準というのが、日本のデータセンタにおける基本基準として整備されています。
(また、FISC安全対策基準の設備に関する基準は、おおむねJEITAの内容に準拠しているとされています)

ただし、データセンタだけではなく、金融機関に対しても、FISCでは安全対策基準に対する適合性評価は行っていません。検査機関や監査法人が内容を解釈して、適合性を評価しています。上述のとおり、金融庁の検査で参照される文書ですから、誰かが認定することはあまり重視されていません。(各社のデータセンタが「準拠」と言っているのは、各社の解釈により準拠していると自己評価しているものです)。

CRYPTOMOでは、FISC安全対策基準の表面的な理解だけではなく、守らなかった場合の事件や事故の事例を解説するとともに、仮想通貨等を取り扱う場合、さらに国内だけではなく海外で運営する場合のFISC安全対策基準の準用方法についても解説していきます。もちろん、勉強会や準拠するためのご相談にも応じております。

なお、FISC安全対策基準はFISCから販売されているものです。このため、その解説にあたってはFISC安全対策基準をお持ちであることが前提となります(著作権の都合上、全文引用はできません)ので、その点はご容赦ください。