金融リファレンスアーキテクチャ日本版における FISC 安全対策基準・解説書（第11版）対応及びパートナー様での活用

本ブログは、「金融機関向け AWS FISC 安全対策基準対応リファレンス」における「金融機関等コンピュータシステムの安全対策基準・解説書（第11版）」（以下、「FISC 安全対策基準・解説書（第11版）」）への対応についてまとめています。また、「金融リファレンスアーキテクチャ日本版」における「FISC 安全対策基準・解説書（第11版）」対応の概要についても記載しています。最後に、パートナー様における「金融リファレンスアーキテクチャ日本版」の活用事例をご紹介いたします。

1. FISC 安全対策基準・解説書に関しての AWS およびパートナー様の今までの取り組みの紹介

「FISC 安全対策基準・解説書」は、1985年に初版が発行されて以来、金融機関のシステムアーキテクチャおよび運用に関する指針として多くの金融機関によって活用されています。より安全に AWS をご活用いただくために、AWS は「金融機関向け AWS FISC 安全対策基準対応リファレンス 」を提供しています。これは「FISC 安全対策基準・解説書」が求める各管理策に対する AWS の取り組みとお客様の責任範囲で実施する事項をまとめており、お客様はどなたでも入手することが可能です。

一方、FISC 準拠支援のための AWS パートナーコンソーシアムはセキュリティ領域の知見を持ち寄り、金融業界における安全な AWS 活用を支援するために「AWS FISC 安全対策基準対応リファレンス 参考文書 」を提供しております。

さらに、「金融リファレンスアーキテクチャ日本版」は、金融で求められるセキュリティと可用性に関するベストプラクティスを提供するフレームワークとして、AWS が 2022年10月に正式版として発表し、多くのお客様にご利用いただいております。その後、皆様からいただいたご意見を踏まえ、2023年7月に複数のアップデートを行いました。

AWS では、Design for failure 等のサービス設計や運用のベストプラクティスを踏まえた AWS Well-Architected フレームワークの提供や、日本における災害対策を踏まえた「Resiliency in Japan-日本におけるAWSリージョンのレジリエンス-」ホワイトペーパーの提供等ににより、お客様のコンテンジェンシープランの策定を支援しています。

AWS が公開している FISC 関連の文書の位置付けを以下の表にまとめています。

2. FISC 安全対策基準対応リファレンスと FISC 安全対策基準・解説書（第11版）対応について

FISC は、2021年5月に、金融機関の様々なお客様のクラウドの安全な利活用を促進するために、「金融機関等におけるクラウド導入・運用に関する解説書（試行版）」を公表しました。その後、2023年5月に、「金融機関等におけるクラウド導入・運用に関する解説書（試行版）」の内容を正式に取り込んだ「FISC 安全対策基準・解説書（第11版）」を公表しました。第10版からの主要な変更点として、「クラウドサービス固有で対応すべき事項や特に留意すべき事項」に関する内容が追加されています。金融機関は、クラウドサービスの機能やクラウドサービスプロパイダーの運用などの情報を取得、確認した上で、クラウドサービスの機能やサードパーティのツールなどを利用して、金融機関が実施すべき手続きや対応を検討する必要があります。

AWS が提供している「金融機関向け AWS FISC 安全対策基準対応リファレンス 」は、「FISC 安全対策基準・解説書」の各項目のうち、AWS のサービスや情報に関連する事項に対して、AWS の対応状況と関連資料参照先の情報提供を行うための資料です。AWS を利用する金融機関のお客様は、当リファレンスを参照して、AWS が「FISC 安全対策基準・解説書」に対応できているかどうかを確認することができます。※1

今回、当リファレンスをアップデートし、「FISC 安全対策基準・解説書（第11版）」に対応する内容の追加を行いました。第11版で追加された「クラウドサービス固有で対応すべき事項や特に留意すべき事項」に対応する際に参考となる、関連する AWS の機能や運用に関する情報、および  AWS Well-Architected フレームワークなどのベストプラクティスに関する情報を追加しました。第10版から追加された部分は、当リファレンスの変更履歴からご確認いただけます。金融機関のお客様は、アップデートされたリファレンスを参照することで、AWS の最新の対応状況をより効率的に確認し、クラウド移行や運用におけるセキュリティ対策の検討に活用することができます。

※1：「FISC 安全対策基準・解説書」には AWS のサービスが該当しない項目があること、かつ情報システムに対する安全対策の達成目標は、個々の情報システムのリスク特性に応じて、お客様のご判断で適切な内容で決定されるべきであることから、当リファレンスは AWS を利用するお客様が「FISC 安全対策基準・解説書」に準拠できることを保証するものではございません。

3. 金融リファレンスアーキテクチャ日本版と FISC 安全対策基準・解説書（第11版）対応について

「金融リファレンスアーキテクチャ日本版」においても、「FISC 安全対策基準・解説書（第11版）」に対応する内容のアップデートを実施しました。変更点は以下のとおりです。

3.1 AWS Well-Architected フレームワーク FSI Lens for FISC におけるベストプラクティスの追加

「AWS Well-Architected フレームワーク FSI Lens for FISC」は、「FISC 安全対策基準・解説書」に沿って、回復力、セキュリティ、および運用パフォーマンスを促進する金融サービス業界 (FSI) のワークロードを設計、デプロイ、設計する方法に焦点を当てたベストプラクティス集です。今回、「FISC 安全対策基準・解説書（第11版）」で追加された内容に対応して、複数のベストプラクティスを追加しました。

AWS Well-Architected フレームワーク FSI Lens for FISC の位置付け

3.2 AWS Well-Architected フレームワーク FSI Lens for FISC における FISC 安全対策基準 実務基準 リファレンス項目一覧表の最新化

「AWS Well-Architected フレームワーク FSI Lens for FISC」では、「FISC 安全対策基準・解説書」の各実務基準において、参照すべき AWS Well-Architected フレームワーク、AWS Well-Architected フレームワーク FSI Lens for FISC の一覧表を提供しています。今回、「FISC 安全対策基準・解説書（第11版）」で追加された内容に対応して、一覧表の最新化を行いました。

3.3 FISC 安全対策基準 実務基準と AWS Control Tower コントロールの対応表の最新化

「FISC 安全対策基準・解説書」の観点から、有効化すべき AWS Control Tower のコントロールを抽出し、対応表を提供しています。今回、2023年10月13日時点の最新のコントロール（459個）に対して、「FISC 安全対策基準・解説書（第11版）」の内容を反映して最新化を行いました。

3.4 BLEA for FSI ガバナンスベース及び各金融ワークロード（勘定系、顧客チャネル、マーケットデータ、オープン API、データ分析プラットフォーム）における FISC 安全対策基準 実務基準に対する対策内容一覧の最新化

「FISC 安全対策基準・解説書」の各実務基準に対して、BLEA for FSI ガバナンスベース、および各金融ワークロードにおける対策内容の一覧を提供しています。今回、「FISC 安全対策基準・解説書（第11版）」で追加された内容に対応して、一覧の最新化を行いました。

4. パートナー様での金融リファレンスアーキテクチャ日本版活用について

パートナー様での金融リファレンスアーキテクチャ日本版活用について、シンプレクス株式会社様及びキンドリルジャパン株式会社様の事例を紹介いたします。

4.1 シンプレクス株式会社様

シンプレクス株式会社様（以下、Simplex様）では、AWS 上で提供する金融サービスのセキュリティベースラインとして、コストを抑える工夫を取り入れながら金融リファレンスアーキテクチャ日本版の BLEA for FSI を活用されています。さらに、「FISC 安全対策基準・解説書」実務基準の準拠状況を可視化するため AWS Well-Architected フレームワーク FSI Lens for FISC も活用されています。下記活用状況の詳細を記載します。

Simplex様では様々な金融サービスの構築・運用サービスを提供しています。AWS 環境で Simplex様が運用管理する原則全てのアカウントに適用されるセキュリティベースラインとして、Simplex様固有の要件を踏まえた実装に加え、金融リファレンスアーキテクチャ日本版の BLEA for FSI ガバナンスベースのエッセンスを取り入れています。以下ではSimplex様固有の要件とカスタマイズ内容を紹介いたします。

金融リファレンスアーキテクチャ日本版を適用する場合、基本的には AWS Control Tower にアカウントを登録する必要があります。Simplex様では開発当初はAWS環境の作り直しを頻繁に行うため、AWS Control Tower によるセキュリティ評価がその度に実行されコストが増大する課題がありました。この課題を解決すべく、開発フェーズに応じて AWS アカウントに二段階でセキュリティベースラインを適用する方式を採用しています。具体的にはまず AWS アカウント発行時には AWS Control Tower への登録はすぐには実施せず、Amazon GuardDuty 等のセキュリティサービスにて必要最低限のセキュリティ統制を効かせて開発を実施します。次に、開発が進み環境の作り直しが落ちついたタイミングで AWS Control Tower にアカウントを登録し、金融リファレンスアーキテクチャ日本版の BLEA for FSI ガバナンスベースを効かせることで、コストを抑えることを実現しています。

金融機関のお客様に提供するシステムは、FISC 安全対策基準の実務基準に準拠することが求められるケースがあります。Simplex様では AWS Well-Architected フレームワーク FSI Lens for FISC を AWS アカウントに追加適用することで、FISC 実務基準の準拠状況を定量的に可視化しています。

4.2 キンドリルジャパン株式会社様

キンドリルジャパン株式会社様（以下、キンドリル様）はお客様のビジネスアジリティを加速するためのプラットフォームを開発中です。本プラットフォームはキンドリル様で開発した標準テンプレートをポータル上で選択することで、AWS の各種クラウドサービスを活用したアプリ開発環境や必要なインフラストラクチャーの自動構築が可能となります。また、ポータルへの情報やリンクの集約を行うことにより、開発者や運用者の状況理解の負荷を軽減し、お客様の開発速度およびビジネスアジリティを加速します。

金融業界向けの標準テンプレートの開発にあたっては、金融業界の要求する品質やセキュリティー等への対応が求められます。キンドリル様ではこれまで金融業界向けの経験や実績をもとにしたコンテナー基盤を多くのお客様に提供してきましたが、FISC 準拠や災害対策など近年高まりつつあるお客様の懸念事項に対し、より一層の対応が求められます。

本プラットフォームの開発にあたっては、キンドリル様がこれまで培ってきた経験や実績に加えて、AWS 金融リファレンスアーキテクチャ日本版を活用することで高品質かつ迅速な市場への提供を実現します。具体的には、金融リファレンスアーキテクチャ日本版に含まれるオープン API と勘定系の２つのワークロードをテンプレート化の対象とし、AWS Well-Architected フレームワーク FSI Lens for FISC や金融グレードの統制への対策を組み込むことで、金融業界で求められる機密性と可用性に関するベストプラクティスを利用した高い安全性を確保します。また、他の業種向けの標準テンプレートの開発においても、金融リファレンスアーキテクチャ日本版の持つアーキテクチャおよび CDK テンプレートをベースとすることで、開発が加速され、本プラットフォームの持つケーパビリティーの拡大に寄与しています。

謝辞

アマゾン ウェブ サービス ジャパン合同会社の下記メンバーで FISC 安全対策基準・解説書（第11版）対応を行いました。
FISC 安全対策基準対応リファレンス：高野、松本(照)、保坂、能仁、富永、立花、阿部、渡邉、神部
金融リファレンスアーキテクチャ日本版：木村、保坂、北嵐、畑、遠藤、疋田、都築、辻本、松本(耕)、佐藤、神部