AWSのパートナー企業で構成するFISC対応APNコンソーシアムは2024年8月28日、「AWS FISC安全対策基準対応リファレンス 参考文書」の第2版(50ページPDF)を無料で公開した。FISC安全対策基準 第11版およびAWS FISC 安全対策基準対応リファレンス 2023年7月版に基づいている。金融機関は、AWSで構築したシステムがFISC安全対策基準に準拠しているかを判断する参考情報として参考文書を活用できる。
FISC対応APNコンソーシアムの「AWS FISC安全対策基準対応リファレンス 参考文書」は、AWSで構築したシステムがFISC安全対策基準に準拠しているかを判断するための50ページのPDF文書である。同コンソーシアム参画メンバー全10社の共同著作物として、金融機関に向けて無料で公開する(表1、関連記事:AWSパートナー10社、金融機関がFISC安全対策基準に対応するための参考資料を公開)。
FISC安全対策基準の正式名称は、『金融機関等コンピュータシステムの安全対策基準・解説書』。FISC(公益財団法人金融情報システムセンター)が提供しているガイドライン・解説書である。1985年12月の初版発刊以降改訂を重ね、現行版は2023年5月刊行の第11版である。
Amazon Web Services(AWS)は、同基準に対応した独自のガイドライン「AWS FISC安全対策基準対応リファレンス」を公開している。FISC対応APNコンソーシアムは、ノウハウを集めてAWSのガイドラインをより使いやすくするものとして参考文書を公開している。
「金融機関が安全にクラウドサービスを利用するためにはFISC安全対策基準を満たす必要がある一方で、FISC安全対策基準の項目は多岐にわたり、クラウドサービスを活用して構築したシステムの準拠性を確認する作業が負荷になっている」(FISC対応APNコンソーシアム)
今回、参考文書の第2版を公開開始した。内容は、FISC安全対策基準 第11版およびAWS FISC 安全対策基準対応リファレンス 2023年7月版に基づいている。
図1:「AWS FISC安全対策基準対応リファレンス」参考文書の概要と活用イメージ(出典:SCSK)拡大画像表示
図1は参考文書の概要と活用イメージである。金融機関は、AWSで構築したシステムがFISC安全対策基準に準拠しているかを判断する参考情報として、参考文書を活用できる。加えて、AWSによるFISC安全対策基準への準拠状況を把握できるように、準拠性の根拠となる第三者認証の該当項目を示している。これにより、準拠性の確認にかかる負荷を軽減できる。
図2:「AWS FISC安全対策基準対応リファレンス」参考文書の構成例(画面は2022年2月公開の第1版)(出典:NTTデータ)拡大画像表示
図2は参考文書の構成例である。FISC安全対策基準の各項目について、 AWS FISC安全対策基準対応リファレンスの記載の抜粋と、その内容に対する同コンソーシアムによる付加情報を記載している。
| 社名 | 参考文書のダウンロードURL |
|---|---|
| NEC | https://jpn.nec.com/cloud/service/aws/fisc_reference/index.html |
| NTTデータ | https://www.nttdata.com/jp/ja/services/cloud/aws-security-reference-for-fisc/ |
| SCSK | https://www.scsk.jp/product/srf/awssrf.html |
| TIS | https://www.tis.jp/special/security_ref/ |
| シンプレクス | https://www.simplex.inc/service/cloud/ |
| 電通総研 | https://www.isid.co.jp/solution/finance_awssrf.html |
| トレンドマイクロ | https://www.trendmicro.com/ja_jp/business/capabilities/solutions-for/finance.html |
| 野村総合研究所 | https://www.nri.com/jp/service/solution/ips/cloud_risk |
| 日立製作所 | 要問い合わせ |
| 富士通 | https://www.fujitsu.com/jp/solutions/industry/financial/news/20220214.html |
FISC対応APNコンソーシアム / AWS / 金融 / FISC / ガイドライン
- 業務システム 2027年4月強制適用へ待ったなし、施行迫る「新リース会計基準」対応の勘所【IT Leaders特別編集版】
- 生成AI/AIエージェント 成否のカギは「データ基盤」に─生成AI時代のデータマネジメント【IT Leaders特別編集号】
- フィジカルAI AI/ロボット─Society 5.0に向けた社会実装が広がる【DIGITAL X/IT Leaders特別編集号】
- メールセキュリティ 導入のみならず運用時の“ポリシー上げ”が肝心[DMARC導入&運用の極意]【IT Leaders特別編集号】
- ゼロトラスト戦略 ランサムウェア、AI詐欺…最新脅威に抗するデジタル免疫力を![前提のゼロトラスト、不断のサイバーハイジーン]【IT Leaders特別編集号】
-
VDIの導入コストを抑制! コストコンシャスなエンタープライズクラスの仮想デスクトップ「Parallels RAS」とは
-
AI時代の“基幹インフラ”へ──NEC・NOT A HOTEL・DeNAが語るZoomを核にしたコミュニケーション変革とAI活用法
-
加速するZoomの進化、エージェント型AIでコミュニケーションの全領域を変革─「Zoom主催リアルイベント Zoomtopia On the Road Japan」レポート
-
14年ぶりに到来したチャンスをどう活かす?企業価値向上とセキュリティ強化・運用効率化をもたらす自社だけの“ドメイン”とは
-
-
-
-
生成AIからAgentic AIへ―HCLSoftware CRO Rajiv Shesh氏に聞く、企業価値創造の課題に応える「X-D-Oフレームワーク」
-
-
-
「プラグアンドゲイン・アプローチ」がプロセス変革のゲームチェンジャー。業務プロセスの持続的な改善を後押しする「SAP Signavio」
-
BPMとプロセスマイニングで継続的なプロセス改善を行う仕組みを構築、NTTデータ イントラマートがすすめる変革のアプローチ
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
