AWSはFISC安全対策基準に対応しているか?

AWSはFISC安全対策基準に対応しているか?

FISC安全対策基準は日本の国内規格です。英語版も存在しますが、海外向けというよりも、外国銀行の日本支店で確認するために作られたものと思われます。ということであれば、グローバルに展開しているクラウド事業者は、日本のFISC安全対策基準に対応しているのでしょうか、各社のサービスについて確認してみました。

AWS

https://aws.amazon.com/jp/compliance/fisc/

第8版と、その最終改訂版である第8版追補改訂までの基準について、AWSとしての対応内容と、利用者側で対応する必要のある内容が一覧で掲載されています(資料は第8版の対応資料と、第8版追補改訂で変更されている基準の対応資料の2つあります)。

第9版に準拠しているとは書かれていませんが、基準の並べ替えと文言の変更に留まっていることから、明確に打ち出していないのかもしれません。

Google

https://cloudplatform-jp.googleblog.com/2017/06/google-cloud-platform-fisc.html

こちらも、AWS同様、第8版追補改訂の基準について、対応内容が一覧で整理されています。やはり、第9版に対する言及はありません。

マイクロソフト

https://blogs.msdn.microsoft.com/windowsazurej/2015/01/29/6603/

マイクロソフトとして直接は掲載していませんでしたが、リンク先である三菱総研に資料がありました。

三菱総研:https://www.mri.co.jp/service/201501_017865.html

こちらに、Azure、Office365、Dynamic365に関する第9版への対応状況が記載されていました。内容を確認しましたが、AWSやGoogleと同様、各項目に対する対応状況が記載されています。

Oracle

https://blogs.oracle.com/oraclejapanpr/oracle-cloud-fisc-security

ユーザ登録が必要と記載されており、中身は確認できていませんが、第8版追補改訂の状態での対応状況の報告書と書かれています。

Cisco

https://www.cisco.com/c/ja_jp/about/fisc.html

第三者評価を行い、適合判断を取得している、と記載されていますが、第三者が誰で、どういう評価を行って、どういう結果となったのか、ということは一切記載されていません。

まとめ

結論としては、「対応状況は各社で公表している」ということになりますが、第9版への対応状況が記載されている資料は、マイクロソフト以外では確認できませんでした。

各社の資料には、「利用者側の責任において実施いただく内容です」といった表記がありました。これは、AWSやGoogleとして、実施すべきと判断した内容はすべて実施しているが、利用者側が対応すべき内容は、利用者が責任をもって対応してほしい、ということです。

言い換えれば、AWSやGoogleがFISC安全対策基準に対応しているからといっても、その上に構築されたシステムがすべてFISC安全対策基準に対応しているわけではない、ということです。

いくつかの事業者では、資料中に「ISO27017認証を取得しています」と記載していました。これは、クラウドサービスに関する情報セキュリティに関する規格で、正式にはISO27017:2015(日本ではJIS Q 27017:2016)と呼ばれます。クラウドに特化した、ISMS(ISO27001)認証にアドオンして取得する認証規格です。

この規格では、「クラウドサービスプロバイダ」(クラウドサービスの提供事業者)と「クラウドサービスカスタマ」(クラウドサービスの利用者)という概念が定義されています。今回取り上げているAWSやGoogleは「クラウドサービスプロバイダ」です。つまり、「プロバイダ」としての責任範囲において、FISC安全対策基準に対応している、ということを示しています。このため、利用者であるカスタマの範囲については、カスタマが自分たちの責任で対応してください、ということです。

各社が公開している対応状況を、FISC安全対策基準の対応チェックリストとして利用すると、「プロバイダ側が対応すべき項目」、「カスタマが対応すべき項目」、「プロバイダでも対応するが、カスタマでも対応が必要な項目」を確認することができますが、初心者にはかなり難しい内容にみえてしまいます。これは、著作権の都合上、各社の資料にはFISC安全対策基準のタイトルしか表示できず、詳細が表記できないことから、タイトルと対応状況にギャップがあるように見えることが原因です。

オンプレミスよりもクラウドを利用した方が早く、安く作れることから、クラウドサービスを利用するのは、なにも仮想通貨を取り扱う事業者に限りませんが、仮想通貨を取り扱う以上、FISC安全対策基準への対応は必須です。

CRYPTOMOでは、FISC安全対策基準への対応にあたって、幅広くコンサルティングサービスを提供しております。ぜひお気軽にご相談ください。