FISC 安全対策基準が改訂、サイバー攻撃・クラウド利用への対応強化

　銀行、保険会社、証券会社など金融機関やITベンダーが参加する金融情報システムセンター（FISC）は2015年6月29日、『金融機関等コンピュータシステムの安全対策基準・解説書』の改訂版（第8版追補改訂）を発刊した（写真）。今回の改訂では、金融機関などにおける「サイバー攻撃対応」と「クラウド利用」を二大テーマとし、基準の新設や追加・修正を実施した。

写真●左は従来の『金融機関等コンピュータシステムの安全対策基準・解説書』第8版。右が今回発行された第8版追補改訂版

[画像のクリックで拡大表示]

　FISC 安全対策基準は、金融業界を中心に、情報システムに関する安全対策の共通指針として使われている。1985年に金融機関などの自主基準として策定された後、時代の要請に合わせて改訂されてきた。

　金融庁が金融機関を検査する際に手引き書として位置付けている「金融検査マニュアル」でも、「検査官は、システムリスク管理態勢に問題点が見られ、さらに深く業務の具体的検証をすることが必要と認められる場合には、『金融機関等コンピュータシステムの安全対策基準・解説書』（公益財団法人金融情報システムセンター編）等に基づき確認する」と記載されている。

　今回の改訂は『FISC 安全対策基準（第8版追補）』を発刊した2013年3月以来のこと。改訂に向け、FISCは2013年から2014年にかけてサイバー攻撃対応とクラウド利用に関する有識者検討会を開いた。FISC 安全対策基準について有識者検討会を開催するのは初めてだったという。

　FISC 総務部長の阪章伸氏は、有識者検討会を開催した意図をこう述べる。「サイバー攻撃の高度化や、クラウドに象徴されるITの急速な進歩の中で、時代に適合した基準にするために有識者の意見を集めた」。

　有識者検討会のメンバーは、学会、金融業界、ITベンダーのほか、金融庁のオブザーバー（観察者）などで構成した。例えばクラウド利用に関する有識者検討会には、アマゾン ジャパン、NTTコミュニケーションズ、セールスフォース・ドットコム、日本IBM、日立製作所の役員や管理職が名を連ねている。

　サイバー攻撃対応については、「サイバー攻撃対応態勢の整備（未然防止策、事前対策、検知策、対応策、教育・訓練）」に関する基準を新設した。例えば検知策としては「アクセス履歴の監査」や、不正アクセス監視の一環として「侵入検知システム等による自動監視等、ネットワークの監視を行うこと」との記載がある。

　ネットバンキングにおける不正送金被害が拡大していることから、顧客へのセキュリティ対策ソフトの配布などの記述も追加した。FISC 監査安全部 研究員の石黒雄三氏は「不正送金被害は金融機関側だけで全て防げるわけではない。顧客に注意喚起することでリスクを下げられる」と語る。