Amazonクラウドで国内金融機関の安全基準は満たせる。SCSK、ISID、NRIの3社が調査結果を公開

一般に、国内の金融機関は厳しいセキュリティ要件を求められるため、クラウドでそれを満たすのは難しいだろうと考えられていました。

しかしSCSK、電通国際情報サービス（ISID）、野村総合研究所（NRI）の3社は、金融庁の外郭団体である金融情報システムセンター（FISC）が策定したセキュリティに関する自主基準「金融機関等コンピュータシステムの安全対策基準」について、Amazonクラウドで対応するためのガイドライン「金融機関向け『Amazon Web Services』対応セキュリティリファレンス」（以下、セキュリティリファレンス）を公開しました。

セキュリティリファレンスは、全部で295305項目あるFISCの安全対策基準の項目それぞれについて、クラウド事業者であるAmazonクラウドの対応とSI事業者や利用者での対応を調査してまとめたもの。「ATM（自動現金預け払い機）のような、クラウドとは関係ないものは対象外として、それ以外の項目はすべて適合可能という結果になった」（ISID エグゼクティブプロジェクトディレクター クラウドエバンジェリスト 渥美俊英氏）。

調査にはAmazonクラウドも全面協力し、非公開の情報も入手、同社の公式見解として記述されています。適合可能とされたのは東京リージョンに限らず、Amazonクラウドの全データセンターが対象。

これにより、国内金融機関の情報システムにおけるクラウド活用への道筋が開けるだけでなく、金融機関以外の企業にとってもクラウド上で構築するシステムに対するセキュリティ基準を明確にすることが容易になるため、あらゆる業種業態でのクラウド活用の推進が期待されます。

自社のSI案件や、別のクラウド事業者による活用も可能

セキュリティリファレンスには、公開情報のみに基づいて対応状況の概要が記載された「サマリー版」と、Amazonクラウドの非公開情報を含み詳細に記載された「詳細版」の2種類があります。

サマリー版は複製、改変、改変後の再配布も許可されているため、これを入手したSI事業者などが必要なセキュリティ項目を抜き出して自社案件のセキュリティ要件整理のために用いたり、あるいはクラウド事業者がAmazonクラウドの項目部分を自社クラウドの対応状況に置き換えて再配布するなども可能。

これは、セキュリティリファレンスを作成した3社がこのドキュメントをクラウドやSI事業者の発展に役立ててほしいと考えたため。

一方、詳細版の入手は基本的には案件があることを前提とし、3社のいずれかに連絡したうえでAmazonクラウドと情報の秘密保持契約を結ぶ必要があります。

セキュリティリファレンスの入手先はSCSK、ISID、NRIのいずれかから。

データセンターに立ち入る必要はないのか？

金融機関の情報システムでは、「検査のためにデータセンターに立ち入ることが必要だからクラウドでは無理なのでは？」などと言われていました。しかし「FISC安全対策基準には、『現物確認せよ』というような項目はない。『現地で確認することが望ましい』といった表現はあるが、それは確認することが目的なのではなく、なんらかの目的のための手段であって、今回のセキュリティリファレンスではその目的にクラウドがどう対応しているのか、といったことが整理されている」（渥美氏）とのこと。

ただし、FISC安全対策基準を満たせばそれでいいのかというと、そうではありません。実際にこのセキュリティリファレンスに沿って構築したシステムを、監督機関である金融庁の検査官や監査法人がどう判断するのかは、これから構築される個々の案件に依存します。「監査などで見解が分かれたときに、そこを議論していくことでより改善していくことがこれから大事になってくる」（SCSK ITマネジメント事業部門 クラウド事業本部 基盤統括部 第一開発課長 瀧澤与一氏）。

大手金融機関によるクラウドの採用事例が相次いでくれば、大手企業や政府自治体などのクラウド利用も大きく促進されることでしょう。