5G時代における金融機関のクラウド活用の最前線~FISC安全対策基準のクラウドサービス利用におけるポイント~

5G時代における金融機関のクラウド活用の最前線~FISC安全対策基準のクラウドサービス利用におけるポイント~

印刷用ページ

昨今のFinTechやクラウドサービスの普及を受け、金融機関の中でもクラウド活用を検討する動きが広がっている。その動きを後押しするように、金融業界のガイドラインともいえる金融情報システムセンター(FISC)の安全対策基準にもクラウドサービスの利用に関する基準が盛り込まれた。この連載では3回にわたって、クラウドを利用する際の金融機関が注意すべき点と、クラウドの導入事例を紹介していく。今回は、FISCの安全対策基準で新たに再編された4つの分類項目や、新基準のリスク特性に基づいた対策や検討のポイントを解説する。

  1. 関連サービスの普及に伴い基準分類を4項目に再編
  2. システムの特性に応じたリスクベースアプローチ

関連サービスの普及に伴い基準分類を4項目に再編

FISCの安全対策基準は、実質的に金融システム導入における業界標準のガイドラインとして位置付けられている。FISCは、その時々の環境に応じた課題を会員企業からヒアリングをした上で有識者による議論を行い、安全対策基準を改訂してきた。

これまでの安全対策基準の改訂の流れを振り返ると、2011年3月公表の第8版から8版追補、8版追補改訂までは、「サイバー攻撃に対する対応」「クラウドサービスの利用」「外部委託先による不正」などが主要な検討テーマとなっていた。

金融情報システムセンター監査安全部総括主任研究員の坂上昇氏は、「ここ数年は、コスト削減やシステムの早期導入、システム運用負担の軽減などのメリットからクラウドを導入する企業が増加傾向にある一方、金融機関はクラウドの導入に対して慎重な姿勢を見せてきた。その理由として、顧客データ保護など情報セキュリティに対する不安や、サービスの信頼性、規制に対する懸念などが挙げられるほか、安全対策基準にもクラウド利用に関する判断基準が盛り込まれていなかったことが関係しているのではないか」と話す。

こうした状況を踏まえ、「金融機関におけるクラウド利用に関する有識者検討会」を開催し、その検討結果が第8版追補改訂(2015年6月発刊)に反映された。

その後、多様化する基幹業務系以外のシステムに対して安全対策を一律に実施するのではなく、リスクに応じて安全対策が策定されるよう、再び安全対策基準は改訂されることとなった。

第9版への改訂に際し、「外部委託有識者検討会」と「FinTech有識者検討会」を開催。主な検討テーマとなったのが、「外部委託におけるリスク管理」と「FinTechに関する安全対策の在り方」だ。それぞれ有識者検討会から上がった提言を踏まえ、安全対策専門委員会でさらなる議論を重ね、2018年3月に第9版を公表した。

第9版のポイントの一つ目が、システムのリスク評価における基準分類が再編された点だ。従来、FISCの安全対策基準は、「技術」「運用」「設備」の3つに分かれており、各金融機関は業務の実態に即して、それぞれの基準と照らし合わせながら対策を進めてきた。

しかし、FinTechやクラウドサービスなどを具体的に検討する金融機関が増える中で、第8版追補から、クラウドに関する基準を追加。第8版追補改訂でも基準の追加を含めた見直しを行ってきた。

坂上氏は、「第9版ではクラウドを外部委託の一形態として位置づけ、クラウドを含む外部委託などに関する対応の在り方を整理するため、新たに「統制」の項目を追加するとともに、基準項目の分類は「統制」「実務」「設備」「監査」の4分類に再編した。

システムの特性に応じたリスクベースアプローチ

第9版のそのほかのポイントとしてはリスクベースアプローチの導入が挙げられる。リスクベースアプローチとは、情報システムのリスク特性を踏まえた評価を適切に行い、重要な情報システムに対しては高い安全対策を適用し、その他のシステムにおいては相応の安全対策で問題ないという考え方に基づく、リスク対応の在り方を指す。具体的に新基準では金融情報システムに対してリスク評価を実施する際、システムのリスク特性に応じた安全対策基準の適用が考えられている。

旧基準からの変更点としては、金融機関の情報システムが「特定システム」と「通常システム」に分類されたことが挙げられる。このうち「特定システム」は、「重大な外部性を有するシステム(システム障害などが発生した場合の社会的な影響が大きく、個別金融機関などでは影響をコントロールできない可能性があるシステム)や、機微情報(要配慮個人情報を含む)を有するシステム(機微情報<要配慮個人情報を含む>の漏えいなどにより顧客に広範な損失を与える可能性があるシステム)」を指す。一方「通常システム」は、「特定システム以外の金融情報システム。なお、特定システムの一部について、リスクの影響が限定的である場合、特定システムから切り離し『通常システム』とすることも可能」と定義している。

また、同分類に応じて適用する基準項目に「基礎基準」と「付加基準」の区分が設定された。基礎基準とは、特定システムや通常システムに関わらず、金融情報システムが最低限適用すべき基準とされている一方、付加基準は基礎基準以外のうちリスク特性に応じて追加・選択すべき基準とされている。

さらに、新基準では基礎基準や付加基準の解説部分で「必要である」と記載されている対策を「必須対策」と位置付けることにより、対策が必須なのか任意なのかを明確にした。坂上氏は、「ただし、解説文の言葉の表現や基準項目の区分に引っ張られ過ぎず、自社のシステムにとって必要な対策であれば個社ごとに検討した上で対応してほしい」と語る。

FISCは2019年3月、第9版刊行時の継続検討課題を踏まえ安全対策基準を改訂した。

「改訂のポイントの一つが、金融機関のパスワードの扱いについてだ。2018年、これまでパスワードの定期変更を推奨してきた総務省が一転してパスワードの定期変更は望ましくないとの見解を示した。これは、頻繁にパスワードの変更を推奨することが顧客のパスワードを単純化させ、漏えいリスクにつながると考えられるためだ。総務省の立場の変更を受け、FISCとしても漏えいリスクのない場合はパスワードの変更を求めない対応策を示した。また、スマートデバイスによるキャッシュレス決済の利用が広がる中、使用に関するセキュリティについて言及している」(坂上氏)

安全基準対策の改訂を踏まえ、今後、金融機関はどのような対応から着手すればよいのだろうか。坂上氏は、「クラウドの利用などが情報システム戦略上の選択肢の一つになり得ると考えられるが、すべての金融機関に対してクラウド利用を推奨しているわけではない。クラウド利用はあくまで手段であるべきだ。また、クラウド利用に伴いある程度クラウドの知識を持つ人材を社内に配置する必要が出てくる可能性もある。そうした経営判断を含め、金融機関には自社にとってクラウド導入にメリットがあるのかどうか総合的に判断してほしい」と語る。

FISCでは2019年3月、第9版を改訂したほか「金融機関等のシステム監査基準」を刊行した(図表1)。監査基準の中でもクラウドに関する項目をあげている。

この記事へのご意見をお聞かせください
この記事はいかがでしたか?
上記の理由やご要望、お気づきの点がありましたら、ご記入ください。