金融システムに求められるFISC安全対策基準~元金融庁検査官が解説!注目度急上昇のクラウドのセキュリティリスクについても解説~

  • セキュリティ

金融システムに求められるFISC安全対策基準~元金融庁検査官が解説!注目度急上昇のクラウドのセキュリティリスクについても解説~

市村 雅史
株式会社SHIFT「ヒンシツ大学」外部講師 エグゼクティブ・セキュリティ・コンサルタント
デジタルビジネス事業本部 金融事業統括部
市村 雅史

お役立ち資料

Introduction

我が国の金融システムは、年々急速に変化をしています。
特に、クラウドを含む外部委託の活用が急激に進展をしています。

さらに、サイバー攻撃やマルウェア被害の増大などにより、
金融機関のシステムに対するリスク環境は、ますます厳しさを増していることから、
セキュリティの強化に向けた取り組みがより一層求められており、
セキュリティ対策を怠ると倍返しどころか、10倍のフォローが必要です。

これから、金融当局がシステムに求める安全対策の基準とセキュリティ強化の具体的な対策を解説していきます。

目次

金融機関を取り巻く環境や、金融システムにおける具体的なリスク

金融機関には、低金利による収益悪化の改善や、
デジタル化によるビジネス変革を実現することが求められるようになってきました。

また、社会的に影響が大きかったシステム障害の根本原因(ルートコーズ)を分析してみると、
セキュリティ対策にその原因があったケースも多く、システムの設計段階や運用段階において、
セキュリティ対策をきちんととっておくことが重要になります。

ITガバナンスとは

金融機関のシステムに対するリスク環境が年々変化するなかで、
金融当局はITと経営戦略を連携させる「ITガバナンス」の発揮について、
金融機関と対話をしたいと考えるようになっています。

ITガバナンスとは

ITガバナンスとは、経営者がリーダーシップを発揮し、ITと経営戦略を連携させ、
企業価値の創出を実現するための仕組みのことです。

金融庁は従来、ITマネジメントおよびシステム統合リスク管理に重点を置いてきました。
しかしながら昨今では、金融機関へ低金利による収益悪化の改善や、
デジタル化によるビジネス変革を実現するよう求めており、ITガバナンスの強化は必須課題になっています。

もちろん、実効的なITマネジメントも大切ですが、以下の要素も大切になっています。
1.経営陣によるリーダーシップ
2.経営戦略と連携した「IT戦略」
3.IT戦略を実現する「IT組織」
4.最適化された「ITリソース」
5.企業価値の創出につながる「IT投資管理プロセス」
6.適切に管理された「ITリスク」

情報システムの安全対策に携わる関係者の役割について

ITマネジメントにおいて、管理者などの関係者は、それぞれの役割と責任を果たすことが求められます。

情報システムの安全対策に携わる関係者の役割

情報システムの安全対策に携わる関係者は、a.管理者、b.経営企画担当、c.ユーザーですが、
この三者が緊密に連携することが非常に大切になります。

仮に緊密に連携することなく、あるシステムを金融機関のお客様に提供した場合、
そのお客様の個人情報や金融資産が、大きなリスクにさらされることも考えられます。

つまり、金融機関のシステムには、お客様の大事な資産を預かるという大前提があるため、
経営層を含めたこの三者が密接に連携して、できる限りリスクを低減していくことが求められているのです。

管理者は、経営層によるITガバナンスのもとで、
システム担当(部門)やシステムリスク管理担当(部門)などを統括し、
安全対策上必要となるITマネジメントを担当することになります。

また、経営層に対しては、ITガバナンスにおいて必要となる情報を、迅速かつ正確に報告することが大切です。
1.内部規程・組織体制などの整備・見直し
2.個々の情報システムに対する安全対策の決定
3.安全対策上必要となる情報の経営層への報告

リスクベースアプローチとは

金融機関などがリスク特性の分析結果に基づき安全対策に優先順位を付けるなど、
合理的な意思決定に活用する考え方のことを、リスクベースアプローチ(RBA)といいます。

現在、金融機関においては、以下の3つの点が、大きく危惧されている内容となっています。

1.「基幹業務系以外の情報システム」に対する安全対策を
  「基幹業務系のコンピュータシステム」に設定しているのと同じレベルに設定しておけば安心。
           ➡ 安全性を一律にするという偏った選択

2.「安全対策基準の考え方」に、安全対策への経営資源配分や、
  安全対策と新規開発との経営資源配分の調整といった観点が示されていない。
           ➡ 適切ではない安全対策を最終的にそのまま実施

3.経営層の立場では、ひとたび重大なシステム障害が発生すれば、
  その事実だけをもって、直ちにその結果責任を追及されかねないといった懸念。
           ➡ 経営層はシステムにおいて、適切な水準を超えた安全対策を承認、自ら追求

リスクベースアプローチの手順は、金融機関が保有する各種システムを洗い出した後、
以下の1~5の手順を踏む必要があります。

リスクベースアプローチ

大事なことは、各種システムの特性(重要性、機密性、可用性など)をきちんと分析し、安全対策を決定することです。

また、地震や台風、さらにはサイバー攻撃などの大規模な災害やインシデント発生時に対応できるように、
コンティンジェンシープランを定めて日頃から内容の見直しや訓練を実施することも大切です。

FISC安全対策基準について~適切な安全対策の考え方~

金融機関等は、IT ガバナンスを適切に発揮し、リスクベースアプローチの考え方に基づき、
保有する情報システムに対する適切な安全対策を自ら決定することが求められています。
 
ただし、金融機関などの情報システムが、金融インフラの一部を構成している点を考慮し、
重大な外部性や機微性を有するシステムに対しては、社会的に合意されたガイドラインなどに基づく
「高い安全対策」を決定することが求められることになりました。

外部性とは、個別金融機関などにおけるシステム障害などによって、他の金融機関などや
その顧客に影響を与える可能性のある性質のことを指しています。

なかでも、金融機関などにおける為替や預金などを取り扱うシステムは、深刻なシステム障害が発生した場合、
他の金融機関などやその顧客に対して広く影響を及ぼし、社会全体に経済的損失を与える
「重大な外部性を有する」システムです。

金融機関におけるデータセンターの設備基準について

1.設備基準については第一に、各種災害や障害(ここでいう各種災害や障害とは、
火災、落雷、津波、高潮、出水、地震、電界・磁界障害、空気汚染、重塩害、振動、土壌汚染、放射能汚染などをいう)が
発生しやすい地域を避けることが大切になります。

すでにコンピュータセンターの建物が各種災害及び障害の発生しやすい地域に立地している場合、
または立地せざるをえない場合は、各種災害及び障害に対する適切な対応策を講じることが必要です。

なお、関係省庁、各地の自治体などが公表している災害などに関する資料を利用することが望ましいです。
内容としては以下のようなものになります。

  a.全国の地震の基礎データを取りまとめたもので、全国を概観した地震動予測報告
    全国地震動予測地図(自身調査研究推進本部地震調査委員会・平成22年5月更新)

  b.中央防災会議の専門調査会が特定地域における防災対策のシナリオをとりまとめた各専門調査会報告など
    例:首都直下地震対策専門調査会報告(中央防災会議首都直下地震対策専門調査会・平成17年7月)
    首都直下地震対策大綱(中央防災会議・平成22年1月修正)

  c.各地の自治体が独自の調査によりとりまとめた各地域の地震被害想定調査報告
    例:首都直下地震による東京の被害想定報告書(東京都防災会議・平成24年4月)
    地震に関する地域危険度測定調査報告(東京都都市整備局・平成20年2月)

  d.地震以外の調査報告など
    例:大規模水害対策に関する専門調査会報告(中央防災会議大規模水害対策に関する専門調査会・平成22年4月)

  e.各種災害に対応したハザードマップが一覧できるサイト
    例:ハザードマップポータルサイト(国土交通省)

つづけて、FISC安全対策基準では、具体的に以下の内容が定められています。

2.火災
火災の発生しやすい地域とは、以下のような地域をいう。
  a.木造建物の密集地域
  b.多量の可燃物を取り扱う施設のある地域
  c.火災時に爆発性のある危険物のある地域

3.落雷
金融機関等のコンピュータシステムに障害を及ぼす自然災害のうち、最も発生件数の多いのが落雷によるものである。
立地場所の検討にあたっては、一般に公表されている年間雷雨日数の資料を参考にすることが望ましい。

4.津波
  a.津波は地震等による海底変動により、周期の長い波が発生して海岸に伝播し、
    海岸部の浅瀬でさらに大きな波となって押し寄せる。
  b.津波の起こりやすいのは、沖合大地震の多い太平洋側で、かつ波の高くなるリアス式海岸の三陸沿岸、
    熊野灘沿岸、紀伊沿岸等である。

5.高潮
高潮は台風や強い低気圧により、海水面が以上に高くなり、強風とともに海水が陸に浸水してくる現象で、
V字形やU字形に開いた湾に起こりやすい。

6.出水
出水の危険性のある地域とは、以下のような地域をいう。
  a.都市化の進んだ丘陵地・台地内の谷底低地
  b.地盤沈下地域、ゼロメートル地帯、干拓地
  c.河川の合流点付近、屈曲した凹岸部、堤防に接して池のある地域

7.地震
地震による被害のおそれのある地域とは、以下のような地域をいう。
  a.過去に大地震があって、最近大地震が起きていない地域
  b.地震により過去に断層運動を起こしたことのある地域
  c.地殻活動が活発な地域

地震による液状化の可能性と判定

8.電界・磁界障害
電界・磁界障害のおそれのある地域とは、電波塔やマイクロ回線の近辺等、
電界・磁界が強く、コンピュータへの影響のある地域をいう。

9.空気汚染
空気汚染による被害のおそれがある地域とは、以下のような地域をいう。
  a.各種の工場等から発生する有害ガスや硫黄分を含んだ汚染空気の多い地域
  b.火山地帯、塵埃の多い鉱山近辺、土砂貯蔵施設の近辺

10.重塩害
重塩害地域とは、海岸に近い地域をいう。
塩害としては、送電線、通信回線の碍子(がいし)に風雨で塩水、塵埃が付着し、導電性を帯びて短絡(ショート)する被害等がある。

11.振動
振動による障害のあるおそれのある地域とは、鉄道道路、幹線道路等に近い地域をいう。

12.土壌汚染
土壌汚染のおそれのある地域とは、土壌中に重金属、農薬等の有害物質が溶け込んでおり、
人の健康や生活に大きな影響を及ぼすと考えられる地域をいう。

13.放射能汚染
放射能汚染による被害のおそれのある地域とは、原子力発電所や原子力関連施設の事故等により、
放射能や放射性物質が飛散し、人の健康や生活に大きな影響を及ぼすと考えられる地域をいう。

クラウドの導入と運用について

クラウドサービスについては、以下のようなモデルが定義され、
このモデルの構成要素ごとに具体的な安全対策基準が定められています。

金融機関は、この内容をベースに、リスク管理態勢を構築する必要があります。

クラウドの導入と運用

クラウドサービスの利用にあたっては、新しい技術によってサービス内容及び利用形態が変化する可能性があります。

そのため、検討時点から利用形態を十分に考慮して、金融機関とクラウドベンダーとの責任に分界点を明確にしたうえで、
クラウドの利用を開始する必要があります。

クラウドサービスに係る安全対策の実務と統制

クラウドのセキュリティで知っておくべきリスクと対策について

企業におけるクラウドの利用が圧倒的に増えた昨今、クラウドとオンプレミスのセキュリティリスクの違いを正しく理解して、適切な対策を行うことは今や重要です。当資料では、実際にあったインシデント事例をご紹介しながら、クラウドにおけるセキュリティの正しい知識を身につけ、実践するためのベストプラクティスをお伝えいたします。

企業におけるクラウドの利用が圧倒的に増えた昨今、クラウドとオンプレミスのセキュリティリスクの違いを正しく理解して、適切な対策を行うことは今や重要です。当資料では、実際にあったインシデント事例をご紹介しながら、クラウドにおけるセキュリティの正しい知識を身につけ、実践するためのベストプラクティスをお伝えいたします。

ダウンロード

関連サービスについて

金融システムに求める安全対策基準について体系的に学ぶためには

このつづきは、下記SHIFTヒンシツ大学の講座及びワークショップで受講(オンライン参加)することができます。
金融システムに求められる安全対策基準 ~元金融庁検査官が解説、注目度急上昇のクラウドのリスクについても解説~

以下のようなアジェンダに沿って金融システムに求める安全対策基準について押さえることができますので
ご参加お待ちしております。

「金融システムに求める安全対策基準」ヒンシツ大学の講座アジェンダ

この記事を書いた人

市村 雅史
株式会社SHIFT「ヒンシツ大学」外部講師 エグゼクティブ・セキュリティ・コンサルタント
デジタルビジネス事業本部 金融事業統括部
市村 雅史

大手SIerに入社。
金融システム、人材開発部に所属し、主に保険会社、銀行向けのシステム開発、品質・コスト管理業務および社員教育に従事。(21年間)
その間、FISC(金融情報システムセンター)へ出向(2年間)および、金融庁在職時に、オブザーバーとして、
安全対策基準、監査指針の改訂、FinTech有識者検討会議、監査セミナーの講師を担当。

SIer退職後、金融庁検査局にて、システムリスク、サイバー攻撃対応、仮想通貨、不正調査(デジタルフォレンジック)の分野で、
オンサイト(立入検査)とオフサイト・モニタリング業務に従事。(10年間)

社外活動、専門分野、保有資格

  • 社外活動:FISC(金融情報システムセンター)にて金融機関向けのセミナー講師
  • 専門分野:システムリスク、サイバーセキュリティ、システム安全対策、デジタルフォレンジック
  • 保有資格:CISA(公認情報システム監査人)

など多数

Top