「FISC安全対策基準」をご存じでしょうか。クラウドサービスが急速に普及する一方で、サイバー攻撃も急増しており、政府や各業界でセキュリティ・ガイドラインが策定されています。FISC安全対策基準もそのうちの1つで、金融業界基準として策定されたものですが、その他の業界も指標として活用できます。
今回は、FISC安全対策基準について、概要や一般企業が利用する際のメリット、注意点などを解説します。
目次
- FISC安全対策基準とは?―概要と目的
- FISC安全対策基準の歴史と最新動向
- FISC安全対策基準におけるクラウドサービスの安全基準
- FISC安全対策基準を一般企業が活用するメリットとは?
- FISC安全対策基準に準じたクラウドサービスを見極める方法
- おわりに
FISC安全対策基準とは?―概要と目的
FISC安全対策基準(以下「FISC基準」)は、正式名称を「金融機関等コンピュータシステムの安全対策基準・解説書」といい、金融情報システムセンター(The Center for Financial Industry Information Systems|以下「FISC」)※によって策定された、金融情報システムの情報セキュリティ対策に関するガイドラインです。金融機関が情報セキュリティのリスクを適切に管理し、顧客情報や取引情報の安全性を確保するための指針を提供することを目的としています。
この基準そのものには法的な強制力はありませんが、情報セキュリティに関する標準的な指針が約300項目に渡ってまとめられており、金融庁の金融検査でもFISC基準に基づいた検査が行われるなど、金融・決済領域において広く認知されています。
※FISC(金融情報システムセンター)とは、1984年11月に財団法人として設立され、金融情報システムに関連する様々な問題についての研究調査や、安全対策の普及・推進活動を行う機関であり、現在は公益財団法人として活動しています。
FISC安全対策基準の歴史と最新動向
金融業界でも顧客情報や取引情報などの電子化が進み始めた頃、個人情報を含む重要な情報を取り扱う中で、情報保護が急務とされていました。そこで、金融機関が情報システムを構築する際の安全対策基準として定められたのが、FISC基準です。1985年12月に初版が刊行されて以降、時代ごとの課題へ対応するための施策を反映する形で繰り返し改訂が行われ、2025年2月現在、第12版が最新版として刊行されています。
特に近年は、低金利による収益悪化の改善に加え、金融機関でもフィンテック、DXなどデジタル化によるビジネス変革が求められており、金融機関のシステムのクラウド化が進められています。こうした金融機関を取り巻く事業環境の変化にあわせて、従前のオンプレミス環境を前提として策定されたセキュリティ基準が見直されることになり、2018年3月に刊行された第9版から、クラウド利用における安全対策が盛り込まれています。
FISC安全対策基準におけるクラウドサービスの安全基準
FISC基準の第9版には、クラウドサービスの安全基準として、次のような重要な指針が盛り込まれています。
●リスク管理の強化
サイバー攻撃やデータ漏洩、システム障害、自然災害など、金融機関が直面するリスクは多岐にわたります。そのため、FISC基準ではリスクの特定、評価、管理のプロセスを強化することが重視されています。特にクラウドサービスでは、事前のリスク評価と継続的な監視が求められます。
また、第9版では「リスクベースアプローチ」も強化されました。これは、全てのシステムに一律に同じ安全基準を適用するのではなく、リスクの重大度合いやシステムへの影響度に応じて対策を行うという考え方です。従来のチェックリスト型で管理するよりも、効率的にセキュリティ対策を行うことができます。
●サイバーセキュリティ対策の強化
昨今は、サイバー攻撃の高度化に伴い、強固なセキュリティ対策が求められています。従来は予防策については触れていませんでしたが、第9版から防御策をより強化し定期的な見直しを行うことが追加されました。
具体的には、侵入検知システム(IDS)や侵入防止システム(IPS)などの導入、DDoS攻撃への対応策などが該当します。また、セキュリティインシデントに対するシミュレーション演習や定期的なセキュリティ監査の実施なども含まれます。
●データ保護の強化
金融機関にとって、データの保護は最優先課題の1つです。第9版では、クラウドサービスを利用する際の、個人情報や重要なデータの保護に関する規定がさらに厳格化され、データの暗号化やアクセス履歴を記録して不正アクセスを監視する「アクセス制御」の実施、全てのネットワークを検証する「ゼロトラストモデル」の導入、多要素認証(MFA)の実装が推奨されています。
また、定期的なバックアップの実施やバックアップデータの安全な管理、データの保持期間や削除に関するルール※の明確化なども盛り込まれています。
※例えば、「USBメモリや個人端末へのコピーを禁止する」「クラウド環境に保存するデータのバックアップを定期的に実施し復旧計画を策定する」など
●インシデント対応の迅速化
セキュリティインシデントが発生した際は、迅速な対応が求められます。第9版では、インシデントが発生した場合の初動対応から復旧までのプロセスが詳細に規定されました。従来は、インシデントに対して個別対応になりがちで、迅速な処理が難しい側面がありましたが、インシデント対応チームの設置やインシデント対応計画の整備などを事前に準備し被害を最小限に抑えることが求められています。
また対応計画には、事後分析を通じて原因を特定し、再発防止策を策定することも含まれています。
●教育・訓練の強化
セキュリティ対策の多くは、技術的なアプローチだけでなく、社員のセキュリティリスクに対する意識改革も重要です。第9版では、社内研修やeラーニングなどで新たな脅威や技術に対応するための教育・訓練プログラムの強化、定期的な実施が求められています。また、セキュリティ意識の向上を図るためのキャンペーンや啓発活動も推奨されており、全社的なセキュリティ文化の醸成も求められます。
さらに、次版となる第10版(2022年12月改訂)では、2021年に発生したスマートフォンを利用した決済による不正事件、異常気象による自然災害の増加といった社会情勢の変化、2020年・2021年に改正された個人情報保護法※への対応が、また第12版ではATM設置形態の多様化や自然災害、サイバー攻撃の被害拡大を踏まえた安全対策が盛り込まれるなど、時流の変化に応じて内容が拡充されています。
※ 2020年・2021年の改正個人情報保護法では、個人データの漏えい時の報告義務が強化されるなど、企業に求められる対応が厳格化しました。
FISC安全対策基準を一般企業が活用するメリットとは?
FISC基準は“金融機関向け”の情報セキュリティ基準ではありますが、一般企業にとっても次のような活用メリットがあります。
●クラウドサービスのセキュリティ体制チェックに
例えば、一般企業でも、クラウドサービスのセキュリティ体制をチェックするのに活用できます。
近年急増するサイバー攻撃による被害は、大企業だけでなく中小企業にも及んでおり、企業規模を問わずサイバー攻撃に対する防御体制が求められています。
一般企業がFISC基準に準拠したクラウドサービスを利用すれば、自社の大事な情報を守る体制が整備されているため、情報漏洩のリスク低減になります。また、顧客情報が安全に取り扱われている証明にもなり、コンプライアンスの確保にもつながります。クラウドサービスのセキュリティ体制が心配な場合は、FISC基準を活用して契約前にセキュリティ対策が充分かをチェックすることもできます。
●社内セキュリティ対策の指針に
自社独自のセキュリティ対策にもFISC基準を活用することができます。
例えば、情報漏洩はヒューマンエラーが原因になることも多く、一度発生すると迅速かつ適切な対応をしなければ信用問題に発展しかねません。FISC基準に従って、データの取り扱い方をルール化したり自社用のインシデント対応計画を作成したりすれば、人的ミスを防ぎ、トラブル発生時も迅速な対応で被害を最小限に食い止めることができます。このような体制が整備されていることは、取引先に対しても信頼性の向上につながるでしょう。
また、クラウドサービスの責任領域と自社の責任領域が明確になり、それぞれの領域でFISC基準を活用することで、より強靱なセキュリティ体制が整備できます。
FISC安全対策基準に準じたクラウドサービスを見極める方法
FISC基準をもとにしたセキュリティ基準を採用しているクラウドサービスの多くは、奉行V ERPクラウドのようにサービスの公式サイト等に「FISC基準に準拠している」などと明記されています。
ただし、それだけで安易に“安全”と考えてしまうのは早計です。FISC基準に法的効力はなく、多くのベンダーが公開しているリファレンス情報も各社が自主的に調査して公開した情報であるため公的認証ではありません。そのため、あくまで「リスク管理の参考基準」として活用するのが適切と言えます。
クラウドサービスの選定で評価軸にする場合は、そのクラウドサービスがどの程度FISC基準に対応しているかを確認することが重要です。例えば、ISMS認証やSOC2レポート、ISMAP認証などのセキュリティ認証を取得している場合は、FISC基準の要求事項と重なる部分が多いため、セキュリティを評価する参考になります。
また、FISC基準で定められている重要なセキュリティ項目のうち、次の6項目についてチェックすることもおすすめです。
●必ずチェックしておきたいFISC安全対策基準の主要セキュリティ項目
- データの暗号化・アクセス制御:保存時と送信時の暗号化、多要素認証(MFA)、アクセスログの記録・監視など
- データの保管場所:日本国内のデータセンターでの保存
- インシデント対応:システム障害やサイバー攻撃などが発生した場合の対応フロー
- 監査対応:定期的なセキュリティ監査
- データの取り扱い:契約終了後のデータ削除、削除プロセスの定義の明確化
奉行V ERPクラウドの場合で見ると、利用者のデータは全てAES暗号化方式で暗号化し、他の利用者のデータとは隔離された状態で日本国内のデータセンターに保管します。アクセス認証には独自ID「OBCiD」を採用し、IDを完全に統合管理ができる一方で、パスワード認証に加え、「Authenticatorアプリ」で発行されたワンタイムパスワードによる2要素認証を設定することが可能で、権限を保持したユーザーのみがシステムにアクセスできるようになっています。
奉行V ERPクラウドがプラットフォームとしている「Microsoft Azure」もFISC基準に準拠していることから、プラットフォームから一貫したセキュリティ体制が構築されていることになります。特にMicrosoft Azureでは、奉行V ERPクラウドが採用している「Azure SQL Database」で月間稼働率99.9%と、常に安定した可用性を保証されています。
他にも、システムの利用状況、リソース状況などを自動で24時間365日運用監視しているほか、サービスのリリース時と年1回、定期的な脆弱性診断を実施しています。また、SOC1、SOC2、ISMAPも取得しており、適宜、監査法人の監査評価を受けています。
おわりに
2024年は、国内の法人組織に対するサイバー攻撃被害が過去最大にまで増加しました。従来のランサムウェア攻撃やアカウントの悪用による不正ログイン等に加え、生成AIを悪用した不正プログラムによる被害も報告されており、日々新たな脅威が出現しているのが実情です。
FISC基準は、そうした変化するインシデント要因にも応じられるよう、その都度改訂されています。奉行V ERPクラウドをはじめ、FISC基準に準拠するクラウドサービスの多くは、その基準改定にも常に対応しています。
FISC基準そのものは金融機関に特化したガイドラインですが、一般的な情報セキュリティの指標としても大いに役立つものです。まずは、FISC基準に準拠したクラウドサービスで、自社のセキュリティ向上の基盤作りを始めてみませんか。
関連リンク
こちらの記事もおすすめ
メルマガ読者20万人以上!
OBC 360のメルマガ登録はこちらから!
メルマガ登録
OBC 360のメルマガ登録はこちらから!
![公認会計士に聞く!<br>[2027年施行]新リース会計基準の会計処理|借手が押さえておきたいポイントとは](https://www.obc.co.jp/hubfs/360/img/article/pic_post435_thumb.png)
